La liste de contrôle complète de la sécurité WooCommerce (Guide 2022)

La sécurité est une préoccupation majeure pour tout magasin de commerce électronique. Après tout, vous n'avez pas seulement besoin de protéger votre contenu, vous devez également protéger les informations des clients et les données de commande.

Donc, si vous envisagez de démarrer une boutique en ligne, ou si elle représente déjà une partie de vos revenus, il est temps de vous assurer que vous avez entièrement sécurisé votre entreprise.

Pourquoi les boutiques en ligne nécessitent une plus grande sécurité

Lorsque vous vendez en ligne, vous traitez de nombreuses informations sensibles : noms personnels, numéros de carte de crédit, adresses, etc. Une boutique active collecte de nouvelles informations en permanence, vous avez donc un ensemble de données sans cesse croissant dont vous êtes responsable.

S'assurer que votre site dispose d'une sécurité de premier ordre vous permettra de :

• Protégez les informations personnelles de vos clients contre les pirates et les attaquants, permettant aux clients de faire leurs achats en toute confiance ;
• Protégez votre flux de revenus contre les interruptions et les ventes perdues ;
• Conserver toutes les données de vente minute par minute à des fins fiscales et juridiques ;
• Maintenez votre marque et votre réputation en tant qu'entreprise digne de confiance ; et
• Évitez les coûts liés à la reconstruction de votre entreprise après un piratage, comme les ventes perdues en raison de temps d'arrêt, les remboursements causés par des commandes non exécutées et les coûts de réparation du site Web

Comment identifier un piratage

Un piratage peut prendre plusieurs formes et vous ne réaliserez peut-être même pas que votre site a été compromis tout de suite.

Pour identifier un piratage, recherchez :

• Nouveaux comptes d'administrateur que vous n'avez pas créés.
• Liens indésirables vers des logiciels malveillants dans les commentaires, les descriptions de produits ou les avis.
• Boîtes d'alerte ou liens inhabituels qui redirigent vers des sites tiers.
• Alertes de Google indiquant que votre boutique a été signalée.
• Courriels clients étranges, inattendus ou manquants.
• Temps de chargement très lents ou erreurs de temporisation.

Mais la plupart des propriétaires d'entreprise sont trop occupés à travailler sur l'inventaire, le marketing ou l'exécution des commandes pour surveiller en permanence les problèmes ou les piratages. C'est pourquoi la première chose que vous devez ajouter est la surveillance des temps d'arrêt, qui vérifie automatiquement que votre site est opérationnel et vous alerte si ce n'est pas le cas. Cela vous permet d'agir immédiatement pour réparer et restaurer votre boutique en ligne.

Vous pouvez également bénéficier de Jetpack Scan, qui est un plugin d'analyse de logiciels malveillants de premier plan qui vérifie automatiquement la présence de piratages dans votre magasin afin que vous n'ayez pas à vous inquiéter ! Vous recevrez une alerte s'il trouve quelque chose de mal et vous pouvez même corriger la majorité des menaces connues en un seul clic.

La liste de contrôle de sécurité complète pour WooCommerce (14 étapes)

Il est toujours préférable d'arrêter les hacks avant qu'ils ne se produisent. Si vous pouvez répondre « oui » aux questions suivantes, alors vous êtes sur la bonne voie !

1. Hébergez-vous chez un fournisseur sécurisé et réputé ?

Votre hôte est la première ligne de défense contre les attaques. S'ils n'ont pas mis en place les mesures de sécurité appropriées, vos fichiers et votre base de données pourraient être vulnérables, même si vous faites tout le reste correctement.

Lorsque vous choisissez un hôte, recherchez-en un avec :

• Un pare-feu intégré . Un pare-feu contrôle qui peut accéder à votre serveur et qui ne le peut pas, éloignant les pirates et les robots des fichiers de votre site Web.
• Analyses de sécurité . De nombreux hébergeurs analysent régulièrement tous les sites de leur serveur et vous feront savoir s'ils remarquent quelque chose de suspect, comme un logiciel malveillant. Certains fournisseurs résolvent même ces problèmes pour vous, souvent moyennant des frais supplémentaires.
• Sauvegardes . Bien que vous souhaitiez également effectuer vos propres sauvegardes (nous en reparlerons plus tard), c'est une bonne idée d'avoir plusieurs copies de votre site. De nombreuses sociétés d'hébergement incluent des sauvegardes dans leurs plans, tandis que d'autres les proposent sous forme de mise à niveau payante.
• Une excellente équipe de soutien . Si vous rencontrez un problème, vous souhaitez que des experts soient disponibles pour vous aider à déterminer les étapes suivantes. Assurez-vous que votre hôte dispose d'une excellente équipe d'assistance qui peut être contactée par la méthode la plus pratique pour vous (chat en direct, téléphone, etc.)
• Une bonne réputation . Consultez les avis de vrais clients et découvrez leurs expériences. C'est le moyen le plus précis d'en savoir plus sur un fournisseur d'hébergement.

Vous ne savez pas par où commencer ? WooCommerce a dressé une liste de sociétés d'hébergement recommandées qui ont toutes été minutieusement examinées.

2. Avez-vous un certificat SSL ?

Un certificat SSL (Secure Socket Layer) crypte les informations envoyées par vos clients à votre site Web et authentifie l'identité de votre site. Cela sert de protection essentielle pour les informations telles que les données de carte de crédit et les adresses. Google en tient également compte lors de la détermination des classements des moteurs de recherche.

La plupart des hébergeurs proposent des certificats SSL gratuitement, bien que certains facturent des frais relativement minimes.

3. Utilisez-vous des versions sécurisées et sécurisées des thèmes et des plugins ?

Les plugins et thèmes nuls sont des versions piratées de plugins et thèmes premium et sont proposés gratuitement ou à bas prix. Non seulement ils ne sont pas pris en charge, mais ils ne sont pas non plus mis à jour, ils peuvent donc entrer en conflit avec WordPress ou d'autres plugins. Et, plus inquiétant encore, ils sont généralement pleins de logiciels malveillants qui peuvent compromettre votre site et les données de vos clients.

Téléchargez toujours les plugins et les thèmes à partir de sources fiables, comme le référentiel WordPress ou le marché WooCommerce.

4. Est-ce que tout est mis à jour sur votre site WordPress ?

Les mises à jour de WordPress, des thèmes et des plugins n'incluent pas toujours uniquement de nouvelles fonctionnalités ; ils corrigent souvent des bogues et des vulnérabilités dont les pirates peuvent tirer parti. Effectuez toujours les mises à jour lorsqu'elles sont disponibles pour assurer la sécurité de votre site et éviter les conflits.

Vous ne voulez pas suivre les mises à jour ? Jetpack a une option pour automatiser ce processus.

5. Utilisez-vous la dernière version de PHP ?

La majeure partie du noyau de WordPress est écrite en PHP, un langage de programmation. Vous devez mettre à jour la version de PHP que votre site utilise pour la même raison que vous devez mettre à jour les thèmes et les plugins : pour vous protéger contre les bogues et les vulnérabilités.

Vous pouvez mettre à jour votre version de PHP dans les paramètres de votre hébergeur ou demander à votre fournisseur d'hébergement de s'en charger pour vous. Consultez les dernières exigences WordPress.

6. Avez-vous revu vos autorisations d'utilisateur ?

Chaque utilisateur WordPress se voit attribuer un rôle, qui comprend un ensemble de fonctionnalités qui lui permettent d'effectuer certaines tâches sur votre site Web. Les administrateurs ont un accès complet à tout et peuvent apporter les modifications qu'ils souhaitent ; en tant que propriétaire de magasin, cela devrait être votre rôle. Les clients, cependant, n'ont pas accès au backend de votre site, mais peuvent modifier leurs propres informations de compte et afficher les commandes en cours et précédentes. Consultez la liste complète des rôles et autorisations des utilisateurs.

De temps en temps, révisez et nettoyez vos comptes d'utilisateurs. Chaque utilisateur ne doit disposer que des autorisations minimales nécessaires pour faire son travail et, si vous ne travaillez plus avec quelqu'un, assurez-vous de supprimer son compte. Par exemple, si vous avez travaillé avec une agence de développement Web pour créer votre site et que le projet est terminé, vous souhaiterez probablement supprimer son compte, à moins que des mises à jour cohérentes ne soient nécessaires à l'avenir.

7. Utilisez-vous un nom d'utilisateur et un mot de passe sécurisés ?

Les pirates utilisent souvent des robots pour essayer des milliers de combinaisons de nom d'utilisateur et de mot de passe différentes jusqu'à ce qu'ils trouvent la bonne (c'est ce qu'on appelle une attaque par force brute). Plus votre mot de passe est facile à deviner, plus il est probable qu'un pirate puisse accéder à votre boutique.

Un bon mot de passe comporte une lettre majuscule, une lettre minuscule, un chiffre et un symbole, et comporte au moins 20 caractères. Assurez-vous qu'au minimum, chaque utilisateur administrateur implémente ce type de mot de passe.

En ce qui concerne les noms d'utilisateur, évitez les titres courants tels que "Administrateur" ou "Administrateur". Au lieu de cela, créez un nom d'utilisateur spécifique pour chaque personne.

8. Avez-vous pensé à changer votre URL de connexion ?

Par défaut, chaque page de connexion WordPress est accessible à votre URL /wp-admin. Si vous souhaitez mettre en place des mesures de sécurité supplémentaires, vous pouvez modifier l'URL pour qu'il soit plus difficile pour les attaquants de deviner cette URL. Vous pouvez le faire en éditant votre fichier .htaccess ou, si vous n'êtes pas à l'aise pour changer de code, utilisez un plugin comme WP Hide Login.

9. Avez-vous activé l'authentification à deux facteurs pour les administrateurs ?

L'authentification à deux facteurs ajoute une couche de sécurité supplémentaire à votre page de connexion. Pour vous connecter, vous devez non seulement connaître quelque chose (un nom d'utilisateur et un mot de passe), mais aussi posséder physiquement quelque chose (votre appareil mobile). Cela réduit considérablement le risque qu'un pirate informatique puisse pénétrer dans votre magasin.

Jetpack facilite l'authentification à deux facteurs. Lorsque vous vous connecterez à votre site, vous recevrez un code spécial à usage unique sur votre téléphone, que vous devrez saisir pour terminer le processus de connexion. Vous pouvez même demander à tous les utilisateurs de le configurer. En savoir plus sur l'authentification à deux facteurs.

10. Bloquez-vous les attaques par force brute ?

Comme nous en avons discuté précédemment, les attaques par force brute se produisent lorsque les pirates utilisent des bots pour tester des combinaisons de noms d'utilisateur et de mots de passe encore et encore jusqu'à ce qu'ils trouvent le bon. Non seulement cela met en danger les données de votre magasin et de vos clients, mais cela peut également ralentir votre site Web.

Mais Jetpack bloque automatiquement ces attaques avant qu'elles n'atteignent votre site, vous n'avez donc pas à vous inquiéter.

11. Analysez-vous votre site à la recherche de logiciels malveillants ?

Que se passe-t-il si quelqu'un accède à votre site et injecte un logiciel malveillant ? Vous voudriez le savoir immédiatement afin de pouvoir supprimer ce logiciel malveillant et résoudre le problème le plus rapidement possible. Mais les pirates sont sournois - il n'est pas toujours immédiatement évident qu'ils se sont introduits.

Jetpack Scan vous avertit immédiatement de toute activité suspecte et, puisque l'analyse a lieu sur les serveurs de Jetpack, vous pouvez accéder à votre site même s'il tombe en panne. Il propose également des correctifs en un clic pour la majorité des menaces connues.

12. Avez-vous configuré un filtre anti-spam ?

Les commentaires de spam ne sont pas seulement ennuyeux ; ils vous donnent également l'air peu professionnel et peuvent contenir des liens qui dirigent vos clients vers des sites remplis de logiciels malveillants. Mais trier des centaines de commentaires par semaine est chronophage et frustrant.

C'est là qu'intervient Jetpack Anti-spam ! Il se débarrasse automatiquement du spam des commentaires et des formulaires, de sorte que vous n'ayez même jamais à le voir. Vous gagnerez du temps, protégerez votre site et offrirez une meilleure expérience utilisateur à la fois.

13. Surveillez-vous les temps d'arrêt de votre site ?

Si votre site tombe en panne, cela pourrait être une indication d'un piratage. Et, plus c'est long, plus vous perdez de ventes. Vous voulez le remettre en marche au plus vite !

Jetpack offre une surveillance gratuite des temps d'arrêt qui vérifie votre site depuis des emplacements du monde entier toutes les cinq minutes. Si votre site est en panne, vous recevrez une notification instantanée afin que vous puissiez résoudre le problème immédiatement.

14. Avez-vous configuré des sauvegardes régulières hors site ?

Si quelque chose arrive à votre site, la meilleure protection que vous pouvez avoir est une sauvegarde complète que vous pouvez restaurer rapidement et facilement. Même si votre hébergeur propose des sauvegardes, il est important que vous fassiez également les vôtres. Pourquoi? Parce que si votre serveur est compromis, toutes les sauvegardes qui y sont stockées peuvent également être compromises.

Jetpack Backup est une excellente solution. Il existe deux formules :

1. Sauvegardes quotidiennes, qui enregistrent une copie de votre site une fois par jour.
2. Sauvegardes en temps réel , qui enregistrent une copie de votre site chaque fois que vous mettez à jour une page, publiez un nouveau message ou effectuez une vente. Celles-ci sont particulièrement utiles pour les magasins en ligne, car vous n'avez jamais à vous soucier de perdre des informations de commande.

Jetpack stocke les fichiers de sauvegarde à plusieurs endroits, complètement séparés de votre site. Cela signifie que si votre serveur est compromis, vos sauvegardes ne le seront pas. Et dans la plupart des cas, vous pouvez même restaurer une sauvegarde si votre site est complètement indisponible !

Comment récupérer dans le pire des cas

Si votre boutique en ligne contient des logiciels malveillants et que vous avez Jetpack Security, vous recevrez une notification afin que vous puissiez vous occuper du problème immédiatement. Votre première étape devrait être de vérifier votre journal d'activité, où vous pouvez voir une liste complète de tout ce qui s'est passé sur votre site. Vous pouvez utiliser ces informations pour déterminer quand le piratage s'est produit en vérifiant les activités suspectes telles que les connexions inconnues et les pages modifiées.

Ensuite, le moyen le plus rapide de récupérer est avec Jetpack Backup. En quelques clics, votre site peut être à nouveau opérationnel avec un minimum de temps d'arrêt. Tout ce que vous avez à faire est de sélectionner une sauvegarde avant le piratage et d'attendre qu'elle soit restaurée. Ouais, c'est ça !

Une fois qu'une version propre de votre boutique est opérationnelle, utilisez Jetpack Scan pour vous assurer qu'il ne reste aucun logiciel malveillant sur votre site. Jetpack résout la majorité des menaces connues pour vous, donc si quelque chose est trouvé, vous n'aurez probablement pas à vous soucier du dépannage.

Enfin, prenez le temps de sécuriser votre site en changeant tous les mots de passe et en vérifiant que vos thèmes, plugins et fichiers principaux sont à jour.

Besoin d'aide? Jetpack Security inclut le support prioritaire d'une équipe technique expérimentée qui peut vous orienter dans la bonne direction.

Sécurisez votre boutique WooCommerce

Prendre le temps de sécuriser entièrement votre boutique WooCommerce garantira que vos clients pourront faire leurs achats en toute confiance et que vous n'aurez pas à vous soucier de vos données ou de votre réputation.

Et l'une des meilleures façons d'y parvenir est de combiner Jetpack Security et WooCommerce - c'est logique ! Ce sont deux plugins WordPress établis et respectés qui fonctionnent en synchronisation pour protéger votre site Web et ajouter des fonctionnalités. Ensemble, ils signifient moins de pièces mobiles, moins de plugins externes et une plus grande tranquillité d'esprit pour vous en tant que propriétaire d'entreprise.

Questions fréquemment posées

Un site Web WooCommerce peut-il être piraté ?

Oui, comme tout site, une boutique WooCommerce peut être piratée. Cependant, WordPress et WooCommerce incluent des fonctionnalités qui aideront à protéger votre contenu et les données de vos clients. Et, lorsque vous mettez en place quelques mesures de sécurité de base - comme choisir un bon hôte, garder les choses à jour et installer le meilleur plugin de sécurité - vous pouvez être tranquille, sachant que votre site est entre de bonnes mains.

Avez-vous besoin de SSL pour un site Web WooCommerce ?

Un certificat SSL crypte les informations (telles que les données de carte de crédit et les adresses) qui sont soumises sur votre site, le protégeant ainsi des personnes malveillantes. Si ces informations sont consultées par un pirate informatique, cela pourrait exposer votre entreprise à des risques juridiques et nuire à votre réputation. Et, non seulement un certificat SSL vous protège, vous et vos clients, mais il est également important pour votre classement dans les moteurs de recherche.

Bien qu'un certificat SSL soit recommandé pour tout site Web, il est encore plus important pour les magasins en ligne en raison du type de données qu'ils collectent pour traiter les transactions.

Quel certificat SSL est le meilleur pour les sites Web WooCommerce ?

La plupart des principaux fournisseurs d'hébergement incluent un certificat SSL dans leurs plans, tandis que d'autres les mettent à disposition moyennant des frais supplémentaires. Généralement, ceux-ci sont faciles à installer en quelques clics.

Cependant, si votre hébergeur ne propose pas cela, nous vous recommandons Let's Encrypt. C'est un service de confiance, offrant des certificats SSL gratuits pour prendre en charge un Web plus sécurisé. Remarque : de nombreux certificats SSL inclus dans les packs d'hébergement proviennent de Let's Encrypt.

En savoir plus sur l'installation d'un certificat SSL sur votre boutique WooCommerce.

Comment forcer le HTTPS sur un site WooCommerce ?

Lorsque vous ajoutez avec succès un certificat SSL à votre boutique, votre URL change de http://example.com à https://example.com. Le « s » dans « https » signifie SSL.

Lorsque vous forcez le HTTPS sur votre boutique, un visiteur qui tape la version « http » de votre site sera automatiquement redirigé vers la version « https ». Cela garantit que tout est correctement crypté pour chaque acheteur.

Vous pouvez soit forcer HTTPS en ajoutant quelques lignes de code à votre fichier .htaccess, soit en utilisant un plugin WordPress. Kinsta fournit un excellent guide pour ce faire.

WooCommerce est-il plus sûr que Shopify ?

Shopify est une plateforme hébergée qui gère la sécurité pour vous. Bien que cela ait ses avantages - vous n'avez pas à vous soucier de la mise en œuvre de mesures de sécurité - cela signifie également que vous n'avez pratiquement aucun contrôle sur votre propre protection.

Et cela ne signifie pas non plus que Shopify est plus sécurisé. Les pirates et les bots ne font pas de discrimination, après tout. Ils essaient simplement site après site jusqu'à ce qu'ils en trouvent un dans lequel ils peuvent entrer. Ainsi, si vous mettez en place des mesures de sécurité appropriées, votre magasin sera tout aussi sécurisé - et, dans de nombreux cas, plus sécurisé - que d'autres sur n'importe quelle plate-forme.

Il est également important de noter que WordPress et WooCommerce sont soutenus par une équipe passionnée pour vous aider à réussir. Ils travaillent constamment pour assurer la sécurité de la plate-forme, c'est pourquoi la mise à jour régulière de votre logiciel est si importante.

Ce guide de WooCommerce fournit plus de détails sur sa comparaison avec Shopify.