Comment protéger votre site WooCommerce (Étapes + Outils de sécurité)

Voulez-vous sécuriser votre boutique WooCommerce au-delà des mesures de sécurité WordPress habituelles ?

Vous avez raison de le faire. La sécurité de WooCommerce est un jeu différent puisque vous traiterez des données sensibles comme les informations de paiement et personnelles des utilisateurs.

Les boutiques en ligne sont une cible lucrative pour les pirates informatiques, et comme la plupart des propriétaires d'entreprises ne prennent pas la sécurité au sérieux, elles deviennent aussi une cible facile. Ce qui est encore plus troublant, c'est que 60 % des entreprises en ligne qui subissent une violation de données font faillite dans les 6 mois.

Une fois piraté, le rétablissement est une voie longue et coûteuse. La meilleure approche est donc d'être préparé avec des mesures préventives et proactives.

Dans ce guide, nous vous montrerons comment protéger votre site WooCommerce de tous les côtés afin que les pirates informatiques n'aient aucune chance de s'introduire.

WooCommerce est-il sécurisé ?

Oui, WooCommerce est une plateforme sécurisée pour les boutiques de commerce électronique. Il dispose de nombreuses mesures de sécurité intégrées pour protéger votre site Web et ses données. Le plugin est également soutenu par une équipe d'experts et est régulièrement mis à jour pour garantir qu'il répond aux normes de sécurité en constante évolution.

Cependant, il ne peut pas vous protéger contre les menaces de sécurité externes telles que les vulnérabilités des thèmes et plugins tiers, les attaques par force brute et les attaques DDoS. Vous devrez prendre des mesures vous-même pour sécuriser votre site contre ces risques.

Pourquoi la sécurité de WooCommerce est-elle si importante ?

Chaque site Web est confronté à des cybermenaces et au risque d'être piraté. Et tous les sites Web doivent prendre des mesures de sécurité suffisantes pour protéger leur site Web.

Cela dit, il y a une liste de raisons pour lesquelles les boutiques WooCommerce sont plus à risque.

• Gestion des données utilisateur sensibles : Les clients partagent des informations de paiement, des détails de carte de crédit, des adresses de livraison et des informations personnelles que vous devez garder confidentielles. Si ces informations sont volées, elles peuvent être vendues sur le marché noir et vos clients peuvent être victimes de spam marketing et d'arnaques.
• Données commerciales critiques : Lorsque vous collectez des paiements pour des produits, vous ne pouvez pas vous permettre que des informations de commande soient effacées ou perdues, telles que les articles, l'expédition et les coordonnées. Les clients peuvent vous qualifier de fraudeur si vous acceptez des paiements et ne livrez pas.
• Risque de fraude et d'arnaques : Les pirates informatiques pourraient détourner votre site et vendre des marchandises frauduleuses, détourner votre trafic et tromper les clients.

Les clients s'attendent à ce que vous mettiez en place les bonnes mesures de sécurité. Lorsque les entreprises sont confrontées à une violation de données, elles perdent toute la confiance qu'elles ont bâtie avec leurs clients.

En fin de compte, vous risquez de perdre des clients, votre réputation et votre entreprise. Avec autant d'enjeux, la sécurité devrait idéalement être une priorité absolue.

Maintenant que vous savez à quel point la sécurité de WooCommerce est importante, plongeons dans les étapes que vous devez suivre pour vous assurer que votre site de commerce électronique est sécurisé.

Comment sécuriser mon site WooCommerce ?

Les cybermenaces évoluent constamment et les pirates informatiques trouvent de nouvelles façons de pénétrer rapidement dans les sites Web. Les mesures de sécurité traditionnelles ne suffisent donc plus.

Voici 7 conseils de sécurité WooCommerce pour sécuriser votre boutique en ligne immédiatement.

1. Utilisez un hébergeur réputé
2. Activez les outils de sécurité essentiels
3. Protégez la connexion WooCommerce
4. Sécurisez le tableau de bord WooCommerce
5. Gérez les thèmes et plugins WooCommerce
6. Utilisez des formulaires de paiement sécurisés
7. Gardez une sauvegarde WooCommerce en temps réel

Ci-dessous, nous avons détaillé comment mettre en place ces mesures. Nous vous indiquons également ce à quoi vous devez prêter une attention particulière pour la sécurité de WooCommerce.

1. Utilisez un hébergeur réputé

Votre fournisseur d'hébergement Web est le premier endroit où commencer, car c'est là que les fichiers et la base de données de votre site Web sont stockés.

Sans une sécurité d'hébergement adéquate, l'ensemble de votre site Web pourrait être exposé aux pirates informatiques et au regard du public.

Bien qu'un plan d'hébergement bon marché vous permette d'économiser quelques centimes, cela n'en vaut tout simplement pas la peine. Idéalement, vous voulez un hébergeur Web qui s'occupe de la sécurité, de la fonctionnalité et des besoins d'hébergement spécifiques à WooCommerce.

Bluehost est la meilleure société d'hébergement Web et est également officiellement recommandée par WordPress.org.

Bluehost propose des plans d'hébergement conçus pour les boutiques WooCommerce. Leurs plans WooCommerce commencent à seulement 9,95 $ par mois. Vous obtiendrez également un nom de domaine et un certificat SSL gratuits. De plus, avec ce plan, vous obtenez :

• WordPress et WooCommerce préinstallés
• Thème Storefront préinstallé
• Boutique en ligne entièrement personnalisable
• Passerelles de paiement sécurisées
• CDN gratuit pour accélérer le site
• Analyse quotidienne automatique des logiciels malveillants
• Sauvegarde quotidienne gratuite du site Web
• Surveillance des temps d'arrêt
• Analyses du trafic du site Web

Avec le plan WooCommerce de Bluehost, une grande partie de votre sécurité est prise en charge.

De plus, vous obtiendrez suffisamment de bande passante et d'espace de stockage pour faire fonctionner votre boutique WooCommerce sans aucun problème.

Nous recommandons également Hostinger et SiteGround comme principaux concurrents.

Pour en savoir plus sur l'hébergement WooCommerce, consultez notre comparatif des meilleurs plans d'hébergement WooCommerce pour comparer ce qui est disponible sur le marché.

2. Activer les outils de sécurité essentiels

Les pirates informatiques sont constamment à l'affût pour pirater des sites Web. Ils le font en programmant des scanners et des robots malveillants pour trouver des sites vulnérables.

La meilleure façon de lutter contre cela est d'utiliser des outils de sécurité avec analyse de logiciels malveillants, des pare-feu et le chiffrement des données.

1. Utilisez un plugin de sécurité WordPress

Pour commencer, vous devrez activer un plugin de sécurité sur votre site. Ces plugins combinent généralement un pare-feu, un scanner de logiciels malveillants et un nettoyeur de logiciels malveillants.

Il existe de nombreux plugins de sécurité, mais tous ne vous offrent pas la protection dont vous avez besoin. Vous avez besoin d'un plugin qui analysera, surveillera et bloquera automatiquement les menaces potentielles avant qu'elles n'atteignent votre site.

Le meilleur plugin de sécurité WooCommerce sur le marché est Sucuri.

Une fois que vous aurez ajouté ce plugin de sécurité tout-en-un à votre site, Sucuri :

• Ajouter un pare-feu robuste pour filtrer le trafic indésirable
• Analyser et surveiller régulièrement le spam et le code malveillant
• Vérifier les listes noires auprès des moteurs de recherche et d'autres autorités
• Surveiller la disponibilité du site Web
• Détecter les modifications apportées au DNS (système de noms de domaine) et au SSL
• Vous alerter instantanément en cas de problème de sécurité par e-mail, SMS, Slack et RSS

Avec Sucuri, vous pouvez également ajouter des mesures de sécurité recommandées depuis votre tableau de bord.

Vous pouvez appliquer ces mesures de renforcement en un seul clic. Cela inclut des étapes techniques comme le blocage des fichiers PHP dans les répertoires où ils ne sont pas nécessaires.

Sucuri vous offre une configuration de sécurité robuste, mais cela a un coût élevé de 199,99 $ par an. Si cela dépasse votre budget, vous pouvez essayer d'autres plugins de sécurité comme :

1. iThemes Security
2. BulletProof Security
3. SiteLock
4. MalCare

Lors de la sélection d'un plugin de sécurité, assurez-vous qu'il vous offre toutes les fonctionnalités dont vous avez besoin pour protéger votre boutique WooCommerce. L'investissement en vaut la peine car le nettoyage et la récupération après un logiciel malveillant seront beaucoup plus coûteux.

2. Installer un certificat SSL

Votre site Web WordPress transfère des données entre les navigateurs et les serveurs chaque fois qu'un visiteur accède à votre site. Un certificat SSL cryptera ces données afin que si des pirates parviennent à voler les données pendant leur transit, ils ne pourront rien en faire car elles ressembleront à du charabia.

Lorsque vous activez le SSL, vous verrez un cadenas à côté de votre URL dans la barre d'adresse du navigateur. Votre site Web utilisera également HTTPS, qui est un protocole sécurisé pour le transfert de données.

Certains fournisseurs d'hébergement Web s'occuperont du SSL pour vous ou vous permettront de l'acheter à un coût raisonnable.

Vous pouvez également obtenir des certificats SSL auprès de fournisseurs tels que :

• Lets Encrypt – Certificats gratuits et économiques
• SSL.com – Protection complète à partir de 36,75 $ par an
• DigiCert – Certificats de haute sécurité à une large gamme de prix

Une autre bonne option est d'utiliser le plugin Really Simple SSL. Il est incroyablement facile d'installer un certificat SSL soi-même.

3. Protéger la connexion WooCommerce

L'une des zones les plus ciblées de votre site WooCommerce est votre page de connexion. Les pirates utilisent une méthode appelée attaques par force brute pour deviner vos identifiants et se connecter.

C'est donc l'un des domaines les plus importants à sécuriser, et il existe de nombreuses façons d'y parvenir.

1. Imposer des identifiants sécurisés en permanence : Les pirates connaissent bien les noms d'utilisateur courants comme « admin » ou votre propre nom, ce qui leur permet de les deviner facilement. Assurez-vous d'utiliser un nom d'administrateur unique et un mot de passe fort avec des lettres, des chiffres et des symboles, ce qui rend le piratage difficile.

Lorsque vous créez votre mot de passe, WordPress affichera un avertissement pour les mots de passe faibles. Vous pouvez suivre le niveau de force pour vous assurer que vous créez un mot de passe fort.

2. Faire expirer les mots de passe régulièrement : Pour tout compte en ligne, vous devriez changer votre mot de passe régulièrement. Vous pouvez utiliser un plugin comme Expire User Passwords.

Il forcera automatiquement tous les utilisateurs de votre site à changer de mot de passe périodiquement avant de pouvoir se reconnecter.

Limiter les tentatives de connexion : Vous pouvez limiter le nombre de tentatives qu'un utilisateur a pour entrer les bons identifiants et se connecter. Cela signifie que les pirates n'auront que 3 essais avant de devoir passer à autre chose.

3. Utilisez l'authentification à 2 facteurs : Cela ajoute un processus de vérification en 2 étapes à votre connexion où vous devez fournir un code d'accès unique qui vous est envoyé en temps réel via SMS, e-mail ou une application d'authentification.

Cela rend extrêmement difficile pour les pirates d'obtenir l'accès car ils ne pourront pas se vérifier.

4. Restreindre l'accès à la page de connexion : Vous pouvez masquer votre page de connexion et n'autoriser que les utilisateurs de confiance à y accéder. Tous les autres utilisateurs seront automatiquement bloqués de la visualisation de cette page.

Si vous utilisez Sucuri, sous l'onglet Contrôle d'accès de votre tableau de bord, vous pouvez ajouter des adresses IP autorisées.

En cochant cette case, Sucuri autorisera automatiquement seuls vos utilisateurs de confiance à accéder à la page de connexion.

5. Ajouter l'authentification HTTP : L'authentification HTTP masque votre page de connexion et affiche une page vierge avec une boîte de connexion par-dessus. Un utilisateur devra d'abord entrer les identifiants HTTP pour accéder à la page de connexion.

Pour ajouter cela à votre site, connectez-vous à votre compte d'hébergement web, accédez à cPanel et recherchez 'Confidentialité du répertoire'.

À l'intérieur, dans la liste des dossiers, localisez le dossier wp-admin et modifiez-le.

Sur la page suivante, activez d'abord l'option 'Protéger ce répertoire par mot de passe'. cPanel vous demandera alors d'ajouter un nom d'utilisateur et un mot de passe.

Assurez-vous de sauvegarder vos paramètres avant de quitter cette page. Votre répertoire d'administration WordPress est maintenant protégé par mot de passe.

Lorsque vous ouvrirez votre page wp-admin, vous verrez une invite de connexion pour entrer le nom d'utilisateur et le mot de passe que vous venez de créer.

4. Sécuriser le tableau de bord WooCommerce

Maintenant, si un pirate persistant parvient toujours à se connecter à votre panneau d'administration WordPress, vous pouvez lui rendre la tâche difficile pour qu'il ne puisse rien faire.

S'il effectue une activité suspecte, votre plugin de sécurité l'enregistrera et vous alertera. En dehors de cela, vous pouvez ajouter ces mesures :

1. Appliquer les autorisations de rôle utilisateur

Si vous avez plusieurs utilisateurs qui travaillent sur votre site WordPress, vous pouvez limiter les autorisations qu'ils ont en fonction de leur rôle.

Si un pirate parvient à détourner le compte de votre membre d'équipe, il sera limité dans ce qu'il pourra faire.

WordPress vous permet de créer des rôles pour :

• Super Administrateur
• Administrateur
• Éditeur
• Author
• Contributeur
• Abonné

Les rôles les plus puissants avec des laissez-passer complets sont super administrateur et administrateur. Nous recommandons d'avoir le moins d'administrateurs possible.

2. Déconnexion automatique des utilisateurs inactifs

Une autre astuce que les pirates utilisent est de détourner les sessions de navigation et de voler les cookies. Cela leur permet d'accéder à votre site via un compte utilisateur actif sans que vous le sachiez.

La meilleure façon d'y remédier est de déconnecter périodiquement les utilisateurs inactifs.

De nombreux plugins de sécurité disposent d'une fonction de déconnexion des sessions inactives ou vous pouvez utiliser le plugin Inactive Logout.

3. Désactiver l'éditeur de plugins et de thèmes

Si un pirate informatique a pénétré sur votre site, il utilise l'éditeur de plugins et de thèmes pour accéder directement au code de votre site web.

Dans la plupart des cas, vous n'avez pas besoin de cet éditeur, vous pouvez donc simplement le désactiver. Si vous utilisez Sucuri, vous pouvez ajouter cette mesure en un clic sous les mesures de renforcement de WordPress.

Pour le désactiver vous-même, nous vous suggérons de suivre ce guide de WPBeginner : Comment désactiver les éditeurs de thèmes et de plugins depuis le panneau d'administration WordPress.

5. Gérer les thèmes et plugins WooCommerce

Les plugins et thèmes sont créés par des développeurs tiers, il est donc important que vous utilisiez uniquement des logiciels de confiance. En tant que propriétaire d'une boutique en ligne, vous ne devriez jamais opter pour des plugins et thèmes piratés. Ils contiennent presque toujours des malwares préinstallés qui infecteront votre site dès que vous les installerez

De plus, les plugins, les thèmes et même votre installation WordPress de base reçoivent des mises à jour régulières. Vous les verrez dans votre tableau de bord WordPress lorsqu'elles seront disponibles :

Les mises à jour apportent généralement des corrections de bugs, de nouvelles fonctionnalités et des améliorations au logiciel. Mais il arrive que les développeurs découvrent des vulnérabilités et des problèmes de sécurité. Ils les corrigent et publient une nouvelle version mise à jour du logiciel. Ce sont les correctifs de sécurité.

Vous pouvez savoir si une mise à jour contient un correctif de sécurité en consultant les détails de la mise à jour.

Si vous voyez qu'il s'agit d'une mise à jour de sécurité, exécutez-la immédiatement pour passer à la dernière version. Ce faisant, vous éviterez tout risque lié à la vulnérabilité.

Si vous craignez que les mises à jour ne plantent votre site, vous pouvez tester la mise à jour sur un site de staging, puis l'exécuter sur votre site en direct.

6. Utilisez des formulaires de paiement sécurisés

Lorsqu'un formulaire est soumis sur votre site, les données client sont envoyées à votre base de données MySQL pour traitement. Si votre formulaire n'est pas sécurisé, un pirate informatique peut insérer du code malveillant dans votre champ de formulaire. Cela infiltrera alors votre base de données et votre site sera infecté par des logiciels malveillants.

Vous pouvez vous assurer que cela ne se produise pas en utilisant des formulaires web sécurisés. WPForms est le constructeur de formulaires WordPress n°1 qui intègre une sécurité pour chaque formulaire que vous créez.

Qu'il s'agisse d'un formulaire de contact ou de paiement, la protection anti-spam est déjà activée.

Et si vous souhaitez ajouter des couches de protection supplémentaires, WPForms vous permet d'activer le CAPTCHA sur vos formulaires.

Un utilisateur devra résoudre une petite énigme ou cocher une case pour prouver qu'il est humain. Cela peut empêcher les bots de soumettre votre formulaire.

7. Conservez une sauvegarde WooCommerce en temps réel

Les sauvegardes sont votre filet de sécurité et un élément absolument essentiel. Lorsque les choses tournent mal, vous pouvez utiliser la copie de sauvegarde WordPress pour restaurer votre site. Pour les boutiques WooCommerce, nous ne recommandons pas l'utilisation de sauvegardes gratuites ou de sauvegardes d'hébergeur web. Les fonctionnalités qu'ils offrent ne sont tout simplement pas suffisantes.

Premièrement, votre solution de sauvegarde doit prendre en charge WooCommerce. Certains outils ne sauvegardent pas la table de la base de données WooCommerce.

Ensuite, vous avez besoin de sauvegardes automatisées en temps réel. Cela garantira que chaque nouvelle commande passée sera stockée immédiatement afin que vous ne perdiez aucune information de transaction.

Et une autre chose à rechercher est la technologie incrémentielle. Cela signifie qu'il ne sauvegardera que le changement et l'ajoutera à la copie de sauvegarde au lieu d'exécuter une sauvegarde complète à chaque fois.

Avec cela, les performances et la vitesse de votre site Web ne seront jamais affectées par un processus de sauvegarde lourd fonctionnant en arrière-plan.

En dehors de cela, voici quelques fonctionnalités dont vous bénéficierez :

• Stockage hors site
• Stockage multi-emplacements
• Sauvegardes cryptées
• Restauration en 1 clic
• Tableau de bord indépendant

Duplicator est le meilleur plugin de sauvegarde pour les sites WordPress. Mais nous recommandons d'utiliser un plugin de sauvegarde qui offre des sauvegardes incrémentielles en temps réel ainsi qu'une archive de 365 jours. Vous pouvez l'obtenir avec Jetpack Backups ou BlogVault.

Ils ont des plans dédiés aux sites WooCommerce et garantissent que vos fichiers et votre base de données WooCommerce sont toujours sauvegardés.

Pour plus d'options, consultez notre comparaison des meilleurs plugins de sauvegarde WordPress.

C'est tout pour aujourd'hui. Nous espérons que cet article vous a donné tout ce dont vous avez besoin pour sécuriser votre site WooCommerce.

Pour en savoir plus sur la sécurité de WooCommerce, consultez nos ressources sur :

• Le guide complet de la sécurité WordPress (adapté aux débutants)
• 5 meilleurs scanners de vulnérabilité WordPress pour trouver des menaces
• 9 meilleurs plugins de journal d'activité pour suivre et auditer votre site WordPress

Ces articles vous donneront plus d'opportunités de colmater les vulnérabilités et de protéger votre site web afin que vous puissiez gérer votre boutique en toute tranquillité.