Comment protéger votre site WooCommerce (étapes + outils de sécurité)

Vous souhaitez sécuriser votre boutique WooCommerce au-delà des mesures de sécurité habituelles de WordPress ?

Vous avez raison de le faire. La sécurité de WooCommerce est une autre paire de manches puisque vous manipulez des données sensibles comme les paiements et les informations personnelles des utilisateurs.

Les boutiques en ligne sont une cible lucrative pour les pirates informatiques, et comme la plupart des propriétaires d’entreprises ne prennent pas la sécurité au sérieux, ils deviennent eux aussi une cible facile. Ce qui est encore plus inquiétant, c’est que 60 % des entreprises en ligne victimes d’une violation de données cessent leurs activités dans les six mois qui suivent.

Une fois piraté, le retour à la normale est difficile et coûteux. La meilleure façon d’avancer est donc de se préparer par des mesures préventives et proactives.

Dans ce guide, nous allons vous montrer comment protéger votre site WooCommerce de tous les côtés afin que les pirates n’aient aucune chance de s’y introduire.

WooCommerce est-il sécurisé ?

Oui, WooCommerce est une plateforme sécurisée pour les boutiques de commerce électronique. Il dispose de nombreuses mesures de sécurité intégrées pour assurer la sécurité de votre site web et de ses données. Le plugin est également soutenu par une équipe d’experts et est régulièrement mis à jour pour s’assurer qu’il répond aux normes de sécurité en constante évolution.

Cependant, il ne peut pas vous protéger contre les menaces de sécurité externes telles que les vulnérabilités des thèmes et des plugins tiers, les attaques par force brute et les attaques par déni de service (DDoS). Vous devrez prendre vos propres mesures pour protéger votre site contre ces risques.

Pourquoi la sécurité de WooCommerce est si importante

Chaque site web est confronté à des cybermenaces et au risque d’être piraté. Et tous les sites web doivent prendre de nombreuses mesures de sécurité pour protéger leur site web.

Cela dit, il y a une liste de raisons pour lesquelles les magasins WooCommerce sont plus à risque.

• Traitement des données sensibles des utilisateurs : Les clients partagent des informations de paiement, des données de carte de crédit, des adresses de livraison et des données personnelles que vous devez garder confidentielles. Si ces informations sont volées, elles peuvent être vendues sur le marché noir et vos clients peuvent être victimes de spams et d’escroqueries.
• Données commerciales essentielles : Lorsque vous encaissez des paiements pour des produits, vous ne pouvez pas vous permettre d’effacer ou de perdre les informations relatives à la commande, telles que les articles, les frais d’expédition et les coordonnées. Les clients peuvent vous qualifier de fraudeur si vous encaissez des paiements et ne livrez pas.
• Risque de fraude et d’escroquerie : Des pirates informatiques peuvent détourner votre site et vendre des produits frauduleux, détourner votre trafic et tromper vos clients.

Les clients attendent de vous que vous mettiez en place les bonnes mesures de sécurité. Lorsque les entreprises sont confrontées à une violation de données, elles perdent toute la confiance qu’elles avaient acquise auprès de leurs clients.

Au bout du compte, vous risquez de perdre des clients, votre réputation et votre entreprise. Avec autant d’enjeux, la sécurité devrait idéalement être une priorité absolue.

Maintenant que vous savez à quel point la sécurité de WooCommerce est importante, nous allons nous plonger dans les étapes que vous devez suivre pour vous assurer que votre site de commerce électronique est sécurisé.

Comment sécuriser mon site WooCommerce ?

Les cybermenaces évoluent constamment et les pirates informatiques trouvent rapidement de nouveaux moyens de s’introduire dans les sites web. Les mesures de sécurité traditionnelles ne suffisent donc plus.

Voici 7 conseils de sécurité WooCommerce pour sécuriser votre boutique en ligne dès maintenant.

1. Utiliser un hébergeur réputé
2. Activer les outils de sécurité essentiels
3. Protéger le login de WooCommerce
4. Sécuriser le tableau de bord de WooCommerce
5. Gérer les thèmes et les plugins de WooCommerce
6. Utiliser des formulaires de paiement sécurisés
7. Garder une sauvegarde en temps réel de WooCommerce

Nous vous expliquons ci-dessous comment mettre en place ces mesures. Nous vous indiquons également ce à quoi vous devez prêter une attention particulière pour la sécurité de WooCommerce.

1. Utiliser un hébergeur réputé

Votre hébergeur est le premier point de départ, car c’est là que sont stockés les fichiers et la base de données de votre site web.

Sans une sécurité d’hébergement adéquate, l’ensemble de votre site web pourrait être exposé aux pirates informatiques et aux regards du public.

Bien qu’un plan d’hébergement bon marché vous permette d’économiser quelques centimes, cela n’en vaut pas la peine. Idéalement, vous voulez un hébergeur qui s’occupe de la sécurité, de la fonctionnalité et des besoins d’hébergement spécifiques à WooCommerce.

Bluehost est la meilleure société d’hébergement web et est également officiellement recommandée par WordPress.org.

Bluehost propose des plans d’hébergement conçus pour les boutiques WooCommerce. Leurs plans WooCommerce commencent à seulement 9,95 $ par mois. Vous obtiendrez également un nom de domaine et un certificat SSL gratuits. De plus, avec ce plan, vous obtenez :

• WordPress et WooCommerce préinstallés
• Thème Storefont préinstallé
• Boutique en ligne entièrement personnalisable
• Passerelles de paiement sécurisées
• CDN gratuit pour augmenter la vitesse
• Analyse quotidienne automatique des logiciels malveillants
• Sauvegarde quotidienne gratuite du site web
• Surveillance des temps d’arrêt
• Analyse du trafic du site web

Avec le plan Bluehost WooCommerce, la plupart des détails de sécurité sont pris en charge.

De plus, vous disposerez de suffisamment de bande passante et d’espace de stockage pour faire fonctionner votre boutique WooCommerce sans problème.

Nous recommandons également Hostinger et SiteGround.

Pour en savoir plus sur l’hébergement WooCommerce, consultez notre récapitulatif des meilleurs plans d’hébergement WooCommerce pour comparer ce qui est disponible sur le marché.

2. Activer les outils de sécurité essentiels

Les pirates informatiques sont constamment à l’affût pour tenter de s’introduire dans les sites web. Pour ce faire, ils programment des scanners et des robots malveillants afin de trouver des sites vulnérables.

La meilleure façon de lutter contre ce phénomène est d’utiliser des outils de sécurité tels que la recherche de logiciels malveillants, les pare-feux et le cryptage des données.

1. Utiliser un plugin de sécurité WordPress

Pour commencer, vous devez activer un plugin de sécurité sur votre site. Ces plugins combinent généralement un pare-feu, un scanner de logiciels malveillants et un nettoyeur de logiciels malveillants.

Il existe de nombreux plugins de sécurité, mais tous ne vous offrent pas la protection dont vous avez besoin. Vous avez besoin d’un plugin qui analysera, surveillera et bloquera automatiquement les menaces potentielles avant qu’elles n’accèdent à votre site.

Le meilleur plugin de sécurité pour WooCommerce sur le marché est Sucuri.

Une fois que vous aurez ajouté ce plugin de sécurité tout-en-un à votre site, Sucuri s’en chargera :

• Ajouter un pare-feu robuste pour filtrer le mauvais trafic
• Examinez et surveillez régulièrement les spams et les codes malveillants.
• Vérifier l’existence de listes noires auprès des moteurs de recherche et d’autres autorités
• Contrôler le temps de fonctionnement du site web
• Détecter les modifications apportées au DNS (système de noms de domaine) et au SSL
• vous envoyer des alertes de sécurité instantanées par e-mail, SMS, Slack et RSS.

Avec Sucuri, vous pouvez également recommander des mesures de sécurité à partir de votre tableau de bord.

Vous pouvez appliquer ces mesures de renforcement en un seul clic. Cela inclut des étapes techniques telles que le blocage des fichiers PHP dans des répertoires où ils n’ont pas besoin d’être.

Sucuri vous offre une configuration de sécurité robuste, mais à un prix élevé de 199,99 $ par an. Si ce n’est pas dans votre budget, vous pouvez essayer d’autres plugins de sécurité comme :

1. Sécurité iThemes
2. Sécurité BulletProof
3. SiteLock
4. MalCare

Lors de la sélection d’un plugin de sécurité, assurez-vous qu’il vous offre toutes les fonctionnalités dont vous avez besoin pour protéger votre boutique WooCommerce. L’investissement en vaut la peine, car le nettoyage et la récupération des logiciels malveillants seront beaucoup plus coûteux.

2. Installer le certificat SSL

Votre site web WordPress transfère des données entre les navigateurs et les serveurs chaque fois qu’un visiteur arrive sur votre site. Un certificat SSL crypte ces données de sorte que si des pirates parviennent à les voler pendant qu’elles sont en transit, ils ne pourront rien en faire car elles ressembleront à du charabia.

Lorsque vous activez le SSL, un cadenas apparaît à côté de votre URL dans la barre d’adresse du navigateur. Votre site web utilisera également le protocole HTTPS, qui est un protocole sécurisé pour le transfert de données.

Certains hébergeurs s’occupent du SSL pour vous ou vous permettent de l’acheter à un prix raisonnable.

Vous pouvez également obtenir des certificats SSL auprès de fournisseurs tels que :

• Lets Encrypt – Certificats gratuits et économiques
• SSL.com – Protection étendue à partir de 36,75 $ par an
• DigiCert – Certificats de haute sécurité à un large éventail de prix

Une autre bonne option consiste à utiliser le plugin Really Simple SSL. Il rend incroyablement facile l’installation d’un certificat SSL par vous-même.

3. Protéger le login de WooCommerce

L’une des zones les plus ciblées de votre site WooCommerce est votre page de connexion. Les pirates utilisent une méthode appelée attaque par force brute pour deviner vos informations d’identification et se connecter simplement.

Il s’agit donc de l’un des domaines les plus importants à sécuriser et il existe de nombreuses façons de le faire.

1. Veillez à ce que les informations d’identification soient toujours sûres : Les pirates informatiques connaissent bien les noms d’utilisateur courants tels que “admin” ou votre propre nom, ce qui leur permet de les deviner facilement. Veillez à utiliser un nom d’administrateur unique et un mot de passe fort, composé de lettres, de chiffres et de symboles, afin qu’il soit difficile à deviner.

Lorsque vous créez votre mot de passe, WordPress affiche un avertissement concernant les mots de passe faibles. Vous pouvez suivre le niveau de force pour vous assurer que vous créez un mot de passe fort.

2. Expirer régulièrement les mots de passe : Pour tout compte en ligne, vous devez changer votre mot de passe régulièrement. Vous pouvez utiliser un plugin comme Expire User Passwords.

Il obligera automatiquement chaque utilisateur de votre site à changer périodiquement de mot de passe avant de pouvoir se reconnecter.

Limiter les tentatives de connexion: Vous pouvez limiter le nombre de tentatives d’un utilisateur pour entrer les bonnes informations d’identification et se connecter. Ainsi, les pirates n’auront droit qu’à trois tentatives avant de passer à autre chose.

3. Utilisez l’authentification à 2 facteurs: Cela ajoute un processus de vérification en deux étapes à votre connexion, au cours duquel vous devez fournir un code d’accès unique qui vous est envoyé en temps réel par SMS, e-mail ou application d’authentification.

Il est donc extrêmement difficile pour les pirates d’obtenir un accès, car ils ne pourront pas se vérifier eux-mêmes.

4. Restreindre l’accès à la page de connexion: Vous pouvez masquer votre page de connexion et n’autoriser que les utilisateurs de confiance à y accéder. Tous les autres utilisateurs se verront automatiquement interdire l’accès à cette page.

Si vous utilisez Sucuri, sous l’onglet Contrôle d’accès de votre tableau de bord, vous pouvez ajouter des adresses IP sur liste blanche.

En cochant cette case, Sucuri n’autorisera automatiquement que vos utilisateurs de confiance à accéder à la page de connexion.

5. Ajoutez l’authentification HTTP : L’authentification HTTP masque votre page de connexion et affiche une page vierge sur laquelle figure une boîte de connexion. L’utilisateur devra d’abord saisir ses identifiants HTTP pour accéder à la page de connexion.

Pour l’ajouter à votre site, connectez-vous à votre compte d’hébergement, accédez à cPanel et trouvez “Directory Privacy”.

A l’intérieur, dans la liste des dossiers, localisez le dossier wp-admin et modifiez-le.

Sur la page suivante, activez d’abord l’option “Protéger ce répertoire par un mot de passe”. Maintenant, cPanel vous demandera d’ajouter un nom d’utilisateur et un mot de passe.

Assurez-vous de sauvegarder vos réglages avant de quitter cette page. Votre répertoire d’administration de WordPress est maintenant protégé par un mot de passe.

Lorsque vous ouvrez votre page wp-admin, vous verrez une invite à entrer le nom d’utilisateur et le mot de passe que vous venez de créer.

4. Tableau de bord sécurisé de WooCommerce

Si un pirate persistant est toujours en mesure de se connecter à votre panneau d’administration WordPress, vous pouvez faire en sorte qu’il lui soit difficile de faire quoi que ce soit avec ce panneau.

S’ils mènent une activité suspecte, votre plugin de sécurité l’enregistrera et vous alertera. En outre, vous pouvez ajouter les mesures suivantes :

1. Appliquer les autorisations du rôle de l’utilisateur

Si plusieurs utilisateurs travaillent sur votre site WordPress, vous pouvez limiter les autorisations dont ils disposent en fonction de leur rôle.

Si un pirate informatique parvient à détourner le compte d’un membre de votre équipe, il sera limité dans ses actions.

WordPress vous permet de créer des rôles pour :

• Super Administrateur
• Administrateur
• Éditeur
• Auteur
• Contributeur
• Abonné

Les rôles les plus puissants avec des autorisations d’accès sont super admin et admin. Nous recommandons d’avoir le moins d’administrateurs possible.

2. Déconnexion automatique des utilisateurs inactifs

Une autre astuce utilisée par les pirates consiste à détourner les sessions de navigation et à voler les cookies. Cela leur permet d’accéder à votre site par l’intermédiaire d’un compte d’utilisateur actif sans que vous le sachiez.

La meilleure façon de contourner ce problème est de déconnecter périodiquement les utilisateurs inactifs.

De nombreux plugins de sécurité disposent d’une fonction de déconnexion de session inactive ou vous pouvez utiliser le plugin Inactive Logout.

3. Désactiver l’éditeur de plugins et de thèmes

Si un pirate s’est introduit dans votre site, il utilise l’éditeur de plugins et de thèmes pour accéder directement au code de votre site web.

Dans la plupart des cas, vous n’avez pas besoin de cet éditeur et vous pouvez donc simplement le désactiver. Si vous utilisez Sucuri, vous pouvez ajouter cette mesure en un seul clic sous les mesures de renforcement de WordPress.

Pour le désactiver vous-même, nous vous suggérons de suivre ce guide de WPBeginner : Comment désactiver les éditeurs de thèmes et de plugins depuis le panneau d’administration de WordPress.

5. Gérer les thèmes et les plugins WooCommerce

Les plugins et les thèmes sont créés par des développeurs tiers, il est donc important que vous n’utilisiez que des logiciels fiables. En tant que propriétaire d’une boutique en ligne, vous ne devez jamais opter pour des plugins et des thèmes non validés. Ils sont presque toujours accompagnés de logiciels malveillants préinstallés qui infecteront votre site à la seconde où vous les installerez

De plus, les plugins, les thèmes et même l’installation principale de WordPress sont régulièrement mis à jour. Vous les verrez dans votre tableau de bord WordPress lorsqu’elles seront disponibles :

Les mises à jour apportent généralement des corrections de bogues, de nouvelles fonctionnalités et des améliorations au logiciel. Mais il arrive que les développeurs découvrent des vulnérabilités et des problèmes de sécurité. Ils les corrigent et publient une nouvelle version actualisée du logiciel. C’est ce qu’on appelle les correctifs de sécurité.

Vous pouvez vérifier si une mise à jour contient un correctif de sécurité en consultant les détails de la mise à jour.

Si vous voyez qu’il s’agit d’une mise à jour de sécurité, exécutez-la immédiatement pour passer à la dernière version. Vous éviterez ainsi tout risque lié à la vulnérabilité.

Si vous craignez que les mises à jour n’endommagent votre site, vous pouvez tester la mise à jour sur un site d’essai, puis l’exécuter sur votre site réel.

6. Utiliser des formulaires de paiement sécurisés

Lorsqu’un formulaire est soumis sur votre site, les données du client sont envoyées à votre base de données MySQL pour y être traitées. Si votre formulaire n’est pas sécurisé, un pirate peut saisir un code malveillant dans le champ du formulaire. Celui-ci s’infiltrera alors dans votre base de données et votre site sera infecté par des logiciels malveillants.

Vous pouvez vous assurer que cela n’arrive pas en utilisant des formulaires web sécurisés. WPForms est le n°1 des constructeurs de formulaires WordPress qui intègre la sécurité pour chaque formulaire que vous créez.

Qu’il s’agisse d’un formulaire de contact ou de paiement, la protection anti-spam est déjà activée.

Et si vous souhaitez ajouter des couches de protection supplémentaires, WPForms vous permet d’activer les CAPTCHA sur vos formulaires.

L’utilisateur devra résoudre une petite énigme ou cocher une case pour prouver qu’il est humain. Cela peut empêcher les robots de soumettre votre formulaire.

7. Conserver une sauvegarde en temps réel de WooCommerce

Les sauvegardes sont votre filet de sécurité et sont absolument essentielles. En cas de problème, vous pouvez utiliser la copie de sauvegarde de WordPress pour restaurer votre site. Pour les boutiques WooCommerce, nous ne recommandons pas d’utiliser des sauvegardes gratuites ou des sauvegardes d’hébergeurs. Les fonctionnalités qu’ils offrent ne sont tout simplement pas suffisantes.

Tout d’abord, votre solution de sauvegarde doit prendre en charge WooCommerce. Certains outils ne sauvegardent pas la table de la base de données WooCommerce.

Ensuite, vous avez besoin de sauvegardes automatisées en temps réel. Ainsi, chaque nouvelle commande passée sera immédiatement stockée, de sorte que vous ne perdrez aucune information sur les transactions.

Il convient également de rechercher une technologie incrémentale. Cela signifie qu’il ne sauvegardera que la modification et l’ajoutera à la copie de sauvegarde au lieu d’exécuter une sauvegarde complète à chaque fois.

Ainsi, les performances et la vitesse de votre site web ne seront jamais affectées par un processus de sauvegarde lourd fonctionnant en arrière-plan.

En outre, voici quelques caractéristiques dont vous bénéficierez :

• Stockage hors site
• Stockage sur plusieurs sites
• Sauvegardes cryptées
• Restauration en 1 clic
• Tableau de bord indépendant

Duplicator est le meilleur plugin de sauvegarde pour les sites WordPress. Mais nous recommandons d’utiliser un plugin de sauvegarde qui offre des sauvegardes incrémentales en temps réel ainsi qu’une archive de 365 jours. Vous pouvez obtenir cela avec Jetpack Backups ou BlogVault.

Ils ont des plans dédiés aux sites WooCommerce et garantissent que vos fichiers WooCommerce et votre base de données sont toujours sauvegardés.

Pour plus d’options, consultez notre comparaison des meilleurs plugins de sauvegarde WordPress.

C’est tout ce que nous avons pour vous aujourd’hui. Nous espérons que cet article vous a donné tout ce dont vous avez besoin pour sécuriser votre site WooCommerce.

Pour en savoir plus sur la sécurité de WooCommerce, consultez nos ressources sur :

• Le guide complet de la sécurité sur WordPress (pour les débutants)
• 5 meilleurs scanners de vulnérabilité WordPress pour trouver des menaces
• 9 meilleurs plugins de journal d’activité pour suivre et auditer votre site WordPress

Ces articles vous donneront davantage d’occasions de colmater les failles et de protéger votre site web afin que vous puissiez gérer votre magasin en toute sérénité.