S’il offre un degré d’accessibilité impressionnant, le commerce électronique n’est pas un domaine facile à réussir. Le niveau de concurrence sur le marché est tel que tous les vendeurs ambitieux doivent s’obstiner à améliorer leurs magasins ou être facilement surpassés par leurs différents rivaux. Rendre un magasin génial nécessite bien entendu de cocher de nombreuses cases : tout, du référencement technique à la copie sur la page, exige une attention particulière. Cependant, un facteur est souvent négligé : la cyber-sécurité.
Il est facile de comprendre pourquoi c’est le cas. Les problèmes de sécurité majeurs sont relativement rares, et le petit commerçant moyen peut ne jamais en rencontrer, ce qui l’amène à supposer qu’investir sur le terrain est une perte de temps et d’argent. Mais plus vous visez à accomplir, plus il y a de risques, et plus vous mettez en danger votre marque en ne faisant pas de la cybersécurité une priorité.
WooCommerce, fonctionnant bien sûr sur le CMS WordPress hyper-populaire, fait partie des plateformes de commerce électronique les plus fiables au monde. Il est utilisé et recommandé par les entreprises, grandes et petites, et offre un puissant mélange de puissance, de flexibilité et de facilité d’utilisation, ainsi que des fonctionnalités et une conception robuste. Mais aucune plate-forme n’est parfaite et WooCommerce ne fait pas exception.
Dans cet article, nous allons examiner trois des failles de sécurité les plus courantes affectant les magasins WooCommerce. Ce faisant, nous expliquerons comment vous les abordez et les résolvez, rendant votre boutique WooCommerce aussi difficile que possible. Commençons.
Faiblesse aux tentatives de connexion répétées
Un problème récurrent avec les systèmes en ligne de toutes sortes est l’apathie concernant la force des informations de connexion. Les gens savent qu’ils sont supposé pour définir des mots de passe forts, les changer semi-fréquemment et même ajouter une authentification multifacteur (une bonne idée pour lutter contre la fraude), mais ils pensent qu’ils ne le font pas avoir besoin car ils ne feront pas l’objet de tentatives de piratage. Ainsi, lorsque ces tentatives arrivent (et elles sont plus fréquentes que beaucoup ne le supposent), elles entraînent des problèmes majeurs.
Mais la faiblesse de WooCommerce dans ce domaine ne concerne pas les informations de connexion inadéquates : c’est un problème générique, après tout. Au lieu de cela, il s’agit de la perspective de connexions répétées tentatives, cependant infructueux. L’adresse par défaut du panneau d’administration est ouverte à tous, ce qui signifie que quelqu’un qui veut essayer un piratage par force brute du système peut simplement lancer des tentatives de connexion par milliers à l’aide d’un réseau de bots. Même si cela ne mène nulle part, l’hébergement aura du mal à gérer correctement les tentatives de connexion, ce qui entraînera un ralentissement massif.
Maintenant, vous pouvez certainement configurer un système pour bloquer des adresses IP particulières qui ont été associées à des attaques par force brute, mais les pirates informatiques d’aujourd’hui utiliseront des proxys essentiellement illimités pour rendre cela pratiquement inefficace (si vous ne savez pas comment fonctionne un proxy, voici un explication simple). Alors quelle est la solution ? En fin de compte, il s’agit d’établir des règles sensées.
WordPress (et WooCommerce par extension) peut s’appuyer sur de nombreux plugins de sécurité puissants tels que Sécurité Wordfence (voir ci-dessus), dont la plupart permettent de définir des règles de circulation. Si une adresse inconnue tente plus de quelques tentatives de connexion au cours d’une certaine période, elle peut être mise sur liste noire jusqu’à ce que l’utilisateur derrière elle (s’il y a est un utilisateur derrière) entre en contact pour demander l’approbation. C’est le meilleur moyen de garder votre magasin accessible sans le laisser vulnérable aux attaques.
Plugins conflictuels ou vulnérables
Plus vous voulez que votre boutique en fasse, plus vous pouvez envisager d’installer de plugins. Dans la plupart des cas, cela n’entraîne aucun problème, à part un ralentissement général résultant du fait que tant de choses doivent être chargées et fonctionner en même temps. Dans certains cas, cependant, vous pouvez avoir plusieurs plugins essayant d’accéder et de modifier les mêmes fichiers, conduisant à des résultats inattendus.
Vous remarquerez peut-être que des fonctions clés échouent, que des éléments ne se chargent pas ou que des pages entières tombent. Et si l’un des plugins en conflit a des rôles relatifs à la sécurité, votre site peut être laissé dans un état beaucoup plus vulnérable. Pour éviter les conflits de plugins, vous devez lire très attentivement les descriptions (attention aux conflits connus), vous abstenir d’installer plusieurs plugins d’un type donné (n’installez pas deux services de marketing par e-mail, par exemple) et envisager de résoudre le problème de plugin avec un autre plugin si nécessaire (oui, il y a un plugin pour identifier les conflits – voir ci-dessous).
Cependant, ce n’est pas le seul problème lié aux plugins. Même si vous n’avez aucun conflit entre eux, tout plugin que vous utilisez peut être intrinsèquement vulnérable – et lorsque vous autorisez un accès de plugin vulnérable à l’arrière-plan de votre système, vous rendez l’ensemble du système vulnérable. C’est pourquoi il est si important de lire les critiques de plugins et de vérifier la réputation des développeurs avant d’installer et d’activer quelque chose avec une puissance de niveau administrateur. Développeur intentions ne suffisent pas : ils doivent savoir ce qu’ils font et comprendre comment corriger les problèmes que les gens trouvent.
Fondements logiciels obsolètes
WordPress est mis à jour très régulièrement : il a à mettre à jour régulièrement compte tenu du nombre de personnes qui en dépendent, car cette popularité (ainsi que son accessibilité) en fait une cible attrayante. Trouver une nouvelle vulnérabilité dans WordPress peut rendre des millions de sites Web piratables en un clin d’œil, et la plate-forme perdrait beaucoup de confiance si l’une de ces vulnérabilités restait sans réponse pendant longtemps.
WooCommerce est beaucoup mis à jour moins régulièrement, mais cela est dû à une plus grande concentration sur les itérations substantielles : chaque version est testée de manière plus approfondie et peut s’appuyer dans une mesure décente sur la sécurité innée de la plate-forme WordPress. Ce n’est pas une indication d’un manque d’effort de la part des développeurs. Donc, si les deux parties du puzzle sont en cours de développement, quel est le problème ?
Assez simplement, le problème ici est que WordPress, même étendu avec WooCommerce, est principalement une solution auto-hébergée. Cela signifie que le logiciel n’est pas géré au nom du commerçant. Les mises à jour continueront d’être disponibles, mais elles ne seront pas forcées à moins que les mises à jour automatiques ne soient activées : c’est une bonne conception car les propriétaires de magasins peuvent vouloir attendre en dehors des heures de travail pour installer les mises à jour, mais cela présente également un risque évident.
La solution dépend donc de la situation. Une option consiste à payer pour un service d’hébergement dédié qui propose l’installation de la mise à jour en tant que service principal. L’autre est d’activer les mises à jour automatiques pour tout ce qui les acceptera et d’entrer dans une routine de révision et d’installation des mises à jour au moins une fois par semaine (si vous lisez un exploit récemment identifié et que vous vous sentez concerné, vous pouvez vérifier plus tôt).
Un plugin comme Mise à jour automatique du compagnon peut faciliter les choses en vous envoyant des notifications par e-mail lorsque des mises à jour sont disponibles, ce qui vous permet d’ignorer une vérification hebdomadaire au cas où de telles notifications n’arriveraient pas. C’est à vous de décider comment procéder : tout ce qui compte, c’est que vous gardiez tous les aspects de votre magasin à jour.
Ces trois défauts sont assez courants avec WooCommerce. Ils ne sont pas incroyablement préoccupants – c’est une plate-forme solide dans l’ensemble – mais cela ne signifie pas que vous pouvez vous permettre de ne pas agir. Considérez les solutions que nous avons présentées ici et faites ce que vous pouvez pour rendre votre site WooCommerce plus résilient. Vous serez content de l’avoir fait.
