Comment protéger votre site WooCommerce (étapes + outils de sécurité)

Voulez-vous sécuriser votre boutique WooCommerce au-delà des mesures de sécurité WordPress habituelles ?

Vous avez raison de le faire. La sécurité de WooCommerce est un jeu de balle différent puisque vous traiterez des données sensibles telles que le paiement et les informations personnelles de l'utilisateur.

Les magasins en ligne sont une cible lucrative pour les pirates, et comme la plupart des propriétaires d'entreprise ne prennent pas la sécurité au sérieux, ils deviennent également une cible facile. Ce qui est encore plus troublant, c'est que 60 % des entreprises en ligne confrontées à une violation de données font faillite dans les 6 mois.

Une fois piraté, c'est un chemin difficile et coûteux vers la récupération. La meilleure façon d'avancer est donc de se préparer avec des mesures préventives et proactives.

Dans ce guide, nous montrerons comment protéger votre site Web WooCommerce de tous les côtés afin que les pirates n'aient aucune chance de s'introduire.

WooCommerce est-il sécurisé ?

Oui, WooCommerce est une plate-forme sécurisée pour les magasins de commerce électronique. Il dispose de nombreuses mesures de sécurité intégrées pour assurer la sécurité de votre site Web et de ses données. Le plugin est également soutenu par une équipe d'experts et est régulièrement entretenu pour s'assurer qu'il répond aux normes de sécurité en constante évolution.

Cependant, il ne peut pas vous protéger contre les menaces de sécurité externes telles que les vulnérabilités des thèmes et plugins tiers, les attaques par force brute et les attaques DDoS. Vous devrez prendre des mesures par vous-même pour sécuriser votre site contre ces risques.

Pourquoi la sécurité de WooCommerce est si importante

Chaque site Web est confronté à des cybermenaces et au risque d'être piraté. Et tous les sites Web doivent prendre de nombreuses mesures de sécurité pour protéger leur site Web.

Cela dit, il existe une liste de raisons pour lesquelles les magasins WooCommerce sont plus à risque.

• Gestion des données utilisateur sensibles : les clients partagent des informations de paiement, des détails de carte de crédit, des adresses de livraison et des informations personnelles que vous devez garder confidentielles. Si ces informations sont volées, elles peuvent être vendues sur le marché noir et vos clients peuvent être victimes de spams et d'escroqueries marketing.
• Données commerciales critiques : lorsque vous collectez des paiements pour des produits, vous ne pouvez pas vous permettre d'effacer ou de perdre des informations de commande telles que les articles, l'expédition et les coordonnées. Les clients peuvent vous identifier comme fraudeur si vous acceptez des paiements et ne livrez pas.
• Risque de fraude et d'escroqueries : les pirates pourraient détourner votre site et vendre des produits frauduleux, détourner votre trafic et duper les clients.

Les clients attendent de vous que vous mettiez en place les bonnes mesures de sécurité. Lorsque les entreprises sont confrontées à une violation de données, elles perdent toute la confiance qu'elles ont bâtie avec leurs clients.

En fin de compte, vous risquez de perdre des clients, votre réputation et votre entreprise. Avec tant d'enjeux, la sécurité devrait idéalement être une priorité absolue.

Maintenant que vous savez à quel point la sécurité de WooCommerce est importante, plongeons dans les étapes à suivre pour vous assurer que votre site de commerce électronique est sécurisé.

Comment sécuriser mon site WooCommerce ?

Les cybermenaces évoluent constamment et les pirates trouvent de nouvelles façons de pénétrer rapidement les sites Web. Ainsi, les mesures de sécurité traditionnelles ne suffisent plus.

Voici 7 conseils de sécurité WooCommerce pour sécuriser votre boutique en ligne tout de suite.

1. Utilisez un hébergeur de bonne réputation
2. Activer les outils de sécurité essentiels
3. Protéger la connexion WooCommerce
4. Tableau de bord WooCommerce sécurisé
5. Utilisez des formulaires de paiement sécurisés
6. Gérer les thèmes et plugins WooCommerce
7. Gardez une sauvegarde WooCommerce en temps réel

Ci-dessous, nous avons détaillé comment mettre ces mesures en place. Nous vous indiquons également ce à quoi vous devez prêter une attention particulière pour la sécurité de WooCommerce.

1. Utilisez un hôte de bonne réputation

Votre fournisseur d'hébergement Web est le premier point de départ, car c'est là que les fichiers et la base de données de votre site Web sont stockés.

Sans une sécurité d'hébergement adéquate, l'ensemble de votre site Web pourrait être exposé aux pirates et aux regards du public.

Bien qu'un plan d'hébergement bon marché vous permette d'économiser quelques centimes, cela n'en vaut tout simplement pas la peine. Idéalement, vous voulez un hébergeur qui s'occupe de la sécurité, des fonctionnalités et des besoins d'hébergement spécifiques à WooCommerce.

Bluehost est la meilleure société d'hébergement Web et est également officiellement recommandée par WordPress.org.

Bluehost propose des plans d'hébergement conçus pour les magasins WooCommerce. Leurs plans WooCommerce commencent à seulement 12,95 $ par mois. Vous obtiendrez également un nom de domaine gratuit et un certificat SSL. De plus, avec ce plan, vous obtenez :

• WordPress et WooCommerce préinstallés
• Thème Storefont préinstallé
• Boutique en ligne entièrement personnalisable
• Passerelles de paiement sécurisées
• CDN boostant la vitesse gratuit
• Analyse quotidienne automatique des logiciels malveillants
• Sauvegarde quotidienne gratuite du site Web
• Surveillance des temps d'arrêt
• Analyse du trafic du site Web

Avec le plan Bluehost WooCommerce, une grande partie de vos détails de sécurité est prise en charge.

De plus, vous disposerez de suffisamment de bande passante et d'espace de stockage pour gérer votre boutique WooCommerce sans aucun problème.

Pour en savoir plus sur l'hébergement WooCommerce, consultez notre tour d'horizon des meilleurs plans d'hébergement WooCommerce pour comparer ce qui est disponible sur le marché.

2. Activez les outils de sécurité essentiels

Les pirates sont constamment à l'affût pour tenter de pirater des sites Web. Pour ce faire, ils programment des scanners et des robots malveillants pour trouver des sites vulnérables.

La meilleure façon de lutter contre cela consiste à utiliser des outils de sécurité avec analyse des logiciels malveillants, pare-feu et cryptage des données.

1. Utilisez un plugin de sécurité WordPress

Pour commencer, vous devrez activer un plugin de sécurité sur votre site. Ces plugins combinent généralement un pare-feu, un scanner de logiciels malveillants et un nettoyeur de logiciels malveillants.

Il existe de nombreux plugins de sécurité, mais tous ne vous offrent pas la protection dont vous avez besoin. Vous avez besoin d'un plugin qui analysera, surveillera et bloquera automatiquement les menaces potentielles avant qu'elles ne puissent accéder à votre site.

Le meilleur plugin de sécurité WooCommerce sur le marché est Sucuri.

Une fois que vous aurez ajouté ce plugin de sécurité tout-en-un à votre site, Sucuri :

• Ajoutez un pare-feu robuste pour filtrer le mauvais trafic
• Analysez et surveillez régulièrement les spams et les codes malveillants
• Vérifiez les listes noires avec les moteurs de recherche et d'autres autorités
• Surveiller la disponibilité du site Web
• Détecter les modifications apportées au DNS (système de noms de domaine) et SSL
• Vous envoyer des alertes de sécurité instantanées par e-mail, SMS, Slack et RSS

Avec Sucuri, vous pouvez également ajouter des mesures de sécurité recommandées à partir de votre tableau de bord.

Vous pouvez appliquer ces mesures de durcissement en un seul clic. Cela inclut des étapes techniques telles que le blocage des fichiers PHP dans des répertoires où ils n'ont pas besoin d'être.

Sucuri vous offre une configuration de sécurité robuste, mais elle a un prix élevé de 199,99 $ par an. Si cela dépasse votre budget, vous pouvez essayer d'autres plugins de sécurité comme :

1. Sécurité iThèmes
2. Sécurité à l'épreuve des balles
3. Verrouillage du site
4. MalCare

Lors de la sélection d'un plugin de sécurité, assurez-vous qu'il vous offre toutes les fonctionnalités dont vous avez besoin pour protéger votre boutique WooCommerce. L'investissement en vaut la peine, car le nettoyage et la récupération des logiciels malveillants coûteront beaucoup plus cher.

2. Installer le certificat SSL

Votre site Web WordPress transfère des données entre les navigateurs et les serveurs chaque fois qu'un visiteur vient sur votre site. Un certificat SSL cryptera ces données de sorte que si des pirates parviennent à voler les données pendant leur transit, ils ne pourront rien en faire car cela ressemblera à du charabia.

Lorsque vous activez SSL, vous verrez un cadenas à côté de votre URL dans la barre d'adresse du navigateur. Votre site Web utilisera également HTTPS qui est un protocole sécurisé pour transférer des données.

Certains fournisseurs d'hébergement Web s'occuperont de SSL pour vous ou vous permettront de l'acheter à un coût raisonnable.

Vous pouvez également obtenir des certificats SSL auprès de fournisseurs tels que :

• Lets Encrypt – Certificats gratuits et économiques
• SSL.com - Protection étendue à partir de 36,75 $ par an
• DigiCert – Certificats de haute sécurité à un large éventail de prix

Une autre bonne option consiste à utiliser le plugin Really Simple SSL. Il est incroyablement facile d'installer un certificat SSL par vous-même.

3. Protégez la connexion WooCommerce

L'une des zones les plus ciblées de votre site WooCommerce est votre page de connexion. Les pirates utilisent une méthode appelée attaques par force brute pour deviner vos informations d'identification et vous connecter simplement.

C'est donc l'un des domaines les plus importants à sécuriser et il existe de nombreuses façons de le faire.

1. Appliquez des informations d'identification sécurisées à tout moment : les pirates connaissent bien les noms d'utilisateur courants tels que "admin" ou votre propre nom, ce qui leur permet de le deviner facilement. Assurez-vous d'utiliser un nom d'administrateur unique et un mot de passe fort avec des lettres, des chiffres et des symboles, ce qui le rend difficile à déchiffrer.

Lorsque vous créez votre mot de passe, WordPress affichera un avertissement pour les mots de passe faibles. Vous pouvez suivre le niveau de force pour vous assurer de créer un mot de passe fort.

2. Faites expirer les mots de passe régulièrement : Avec n'importe quel compte en ligne, vous devez changer votre mot de passe régulièrement. Vous pouvez utiliser un plugin comme Expirer les mots de passe utilisateur.

Il obligera automatiquement chaque utilisateur de votre site à changer régulièrement de mot de passe avant de pouvoir se reconnecter.

Limiter les tentatives de connexion : vous pouvez limiter le nombre de tentatives d'un utilisateur pour saisir les bons identifiants et se connecter. Cela signifie que les pirates n'obtiendront que 3 essais avant de devoir passer à autre chose.

3. Utilisez l'authentification à 2 facteurs : cela ajoute un processus de vérification en 2 étapes à votre connexion où vous devez fournir un code d'accès unique qui vous est envoyé en temps réel via un SMS, un e-mail ou une application d'authentification.

Il est donc extrêmement difficile pour les pirates d'y accéder, car ils ne pourront pas se vérifier.

4. Restreindre l'accès à la page de connexion : vous pouvez masquer votre page de connexion et autoriser uniquement les utilisateurs de confiance à y accéder. Tous les autres utilisateurs seront automatiquement bloqués pour afficher cette page.

Si vous utilisez Sucuri, sous l'onglet Contrôle d'accès de votre tableau de bord, vous pouvez ajouter des adresses IP sur liste blanche.

En cochant cette case, Sucuri n'autorisera automatiquement que vos utilisateurs de confiance à accéder à la page de connexion.

5. Ajouter une authentification HTTP : L'authentification HTTP masque votre page de connexion et affiche une page vierge avec une boîte de connexion au-dessus. Un utilisateur devra d'abord entrer les informations d'identification HTTP pour accéder à la page de connexion.

Pour l'ajouter à votre site, connectez-vous à votre compte d'hébergement Web, accédez à cPanel et recherchez "Directory Privacy" .

À l'intérieur, dans la liste des dossiers, recherchez le dossier wp-admin et modifiez-le.

Sur la page suivante, activez d'abord l'option 'Mot de passe protéger ce répertoire' . Maintenant, cPanel vous demandera d'ajouter un nom d'utilisateur et un mot de passe.

Assurez-vous d'avoir enregistré vos paramètres avant de quitter cette page. Maintenant, votre répertoire d'administration WordPress est protégé par un mot de passe.

Lorsque vous ouvrez votre page wp-admin, vous verrez une invite de connexion pour entrer le nom d'utilisateur et le mot de passe que vous venez de créer.

4. Tableau de bord WooCommerce sécurisé

Maintenant, si un pirate informatique persistant est toujours capable de se connecter à votre panneau d'administration WordPress, vous pouvez lui compliquer la tâche.

S'ils effectuent une activité suspecte, votre plugin de sécurité l'enregistrera et vous alertera. En plus de cela, vous pouvez ajouter ces mesures :

1. Appliquer les autorisations de rôle d'utilisateur

Si plusieurs utilisateurs travaillent sur votre site WordPress, vous pouvez limiter les autorisations dont ils disposent en fonction de leur rôle.

Si un pirate parvient à détourner le compte d'un membre de votre équipe, il sera limité dans ce qu'il peut faire.

WordPress vous permet de créer des rôles pour :

• Super administrateur
• Administrateur
• Éditeur
• Auteur
• Donateur
• Abonné

Les rôles les plus puissants avec des laissez-passer pour tous les accès sont super administrateur et administrateur. Nous vous recommandons d'avoir le moins d'administrateurs possible.

2. Déconnexion automatique des utilisateurs inactifs

Une autre astuce utilisée par les pirates consiste à détourner des sessions de navigation et à voler des cookies. Cela leur permet d'accéder à votre site via un compte d'utilisateur actif sans que vous le sachiez.

La meilleure solution consiste à déconnecter périodiquement les utilisateurs inactifs.

De nombreux plugins de sécurité ont une fonction de déconnexion de session inactive ou vous pouvez utiliser le plugin de déconnexion inactive.

3. Désactiver le plugin et l'éditeur de thème

Si un pirate s'est introduit dans votre site, il utilise le plugin et l'éditeur de thème pour accéder directement au code de votre site Web.

Dans la plupart des cas, vous n'avez pas besoin de cet éditeur, vous pouvez donc simplement le désactiver. Si vous utilisez Sucuri, vous pouvez ajouter cette mesure en un seul clic sous les mesures de durcissement de WordPress.

Pour le désactiver par vous-même, nous vous suggérons de suivre ce guide de WPBeginner : Comment désactiver les éditeurs de thèmes et de plugins à partir du panneau d'administration WordPress.

5. Utilisez des formulaires de paiement sécurisés

Lorsqu'un formulaire est soumis sur votre site, les données client sont envoyées à votre base de données MySQL pour traitement. Si votre formulaire n'est pas sécurisé, un pirate peut saisir un code malveillant dans le champ de votre formulaire. Cela infiltrera alors votre base de données et votre site sera infecté par des logiciels malveillants.

Vous pouvez vous assurer que cela ne se produise pas en utilisant des formulaires Web sécurisés. WPForms est le constructeur de formulaires WordPress n°1 doté d'une sécurité intégrée pour chaque formulaire que vous créez.

Qu'il s'agisse d'un formulaire de contact ou de paiement, la protection anti-spam est déjà activée.

Et si vous souhaitez ajouter des couches de protection supplémentaires, WPForms vous permet d'activer CAPTCHA sur vos formulaires.

Un utilisateur devra résoudre un petit puzzle ou cocher une case pour prouver qu'il est humain. Cela peut empêcher les bots de soumettre votre formulaire.

6. Gérer les thèmes et plugins WooCommerce

Les plugins et les thèmes sont créés par des développeurs tiers, il est donc important que vous n'utilisiez que des logiciels de confiance. En tant que propriétaire de boutique en ligne, vous ne devriez jamais opter pour des plugins et des thèmes annulés. Ils sont presque toujours livrés avec des logiciels malveillants préinstallés qui infecteront votre site à la seconde où vous les installerez.

De plus, les plugins, les thèmes et même votre installation principale de WordPress reçoivent régulièrement des mises à jour. Vous les verrez dans votre tableau de bord WordPress lorsqu'ils seront disponibles :

Les mises à jour contiennent généralement des corrections de bogues, de nouvelles fonctionnalités et des améliorations du logiciel. Mais il y a des moments où les développeurs trouvent des vulnérabilités et des problèmes de sécurité. Ils les corrigent et publient une nouvelle version mise à jour du logiciel. Ceux-ci sont connus sous le nom de correctifs de sécurité.

Vous pouvez voir si une mise à jour comporte un correctif de sécurité en affichant les détails de la mise à jour.

Si vous voyez qu'il s'agit d'une mise à jour de sécurité, exécutez-la immédiatement pour mettre à jour vers la dernière version. Ce faisant, vous éviterez tout risque lié à la vulnérabilité.

Si vous craignez que les mises à jour n'endommagent votre site, vous pouvez tester la mise à jour sur un site intermédiaire, puis l'exécuter sur votre site en ligne.

7. Gardez une sauvegarde WooCommerce en temps réel

Les sauvegardes sont votre filet de sécurité et un élément absolument essentiel. En cas de problème, vous pouvez utiliser la copie de sauvegarde WordPress pour restaurer votre site.   Pour les magasins WooCommerce, nous ne recommandons pas d'utiliser des sauvegardes gratuites ou des sauvegardes d'hébergeur Web. Les fonctionnalités qu'ils offrent ne suffisent tout simplement pas.

Tout d'abord, votre solution de sauvegarde doit prendre en charge WooCommerce. Certains outils ne sauvegardent pas la table de base de données WooCommerce.

Ensuite, vous avez besoin de sauvegardes automatisées en temps réel. Cela garantira que chaque nouvelle commande passée sera stockée immédiatement afin que vous ne perdiez aucune information de transaction.

Et une autre chose à rechercher est la technologie incrémentale. Cela signifie qu'il sauvegardera uniquement la modification et l'ajoutera à la copie de sauvegarde au lieu d'exécuter une sauvegarde complète à chaque fois.

Avec cela, les performances et la vitesse de votre site Web ne seront jamais affectées par un processus de sauvegarde lourd exécuté en arrière-plan.

En dehors de cela, voici quelques fonctionnalités dont vous bénéficierez :

• Stockage hors site
• Stockage à plusieurs emplacements
• Sauvegardes chiffrées
• Restauration en 1 clic
• Tableau de bord indépendant

UpdraftPlus est le meilleur plugin de sauvegarde pour les sites WordPress. Mais nous vous recommandons d'utiliser un plugin de sauvegarde qui offre des sauvegardes incrémentielles en temps réel avec une archive de 365 jours. Vous pouvez l'obtenir avec Jetpack Backups ou BlogVault.

Ils ont des plans dédiés aux sites WooCommerce et garantissent que vos fichiers et votre base de données WooCommerce sont toujours sauvegardés.

Pour plus d'options, consultez notre comparaison des meilleurs plugins de sauvegarde WordPress.

C'est tout ce que nous avons pour vous aujourd'hui. Nous espérons que cet article vous a donné tout ce dont vous avez besoin pour sécuriser votre site WooCommerce.

Pour en savoir plus sur la sécurité de WooCommerce, consultez nos ressources sur :

• Le guide complet de sécurité WordPress (convivial pour les débutants)
• 5 meilleurs scanners de vulnérabilité WordPress pour trouver les menaces
• 9 meilleurs plugins de journal d'activité pour suivre et auditer votre site WordPress

Ces publications vous donneront plus d'opportunités de sceller les vulnérabilités et de protéger votre site Web afin que vous puissiez gérer votre boutique en toute tranquillité.