Les sites WooCommerce ont certainement des besoins uniques en termes de sécurité Web, et à mesure que le commerce électronique augmente dans le monde entier, le risque de fraude et de violation de la sécurité augmente également.
La sécurité en ligne est vraiment une exigence de base, tout comme la cote d’inspection sanitaire d’un restaurant, et tout problème qui survient dans votre boutique en ligne peut miner la confiance de votre visiteur Web.
Bien qu’il n’y ait pas de garantie à 100% en matière de sécurité, vous pouvez protéger vos visiteurs et votre entreprise en mettant en œuvre ces protocoles clés.
1. Mise en œuvre de mesures de sécurité au niveau du serveur
En matière de sécurité de site Web, votre serveur d’hébergement est la première ligne de défense. Même si vous disposez des meilleurs plugins et mesures de sécurité sur votre site WordPress, une brèche au niveau de l’hébergement rendra ces outils inutiles.
Lors de l’évaluation des options d’hébergement, tenez compte du fait qu’un environnement plus dédié signifie qu’il y a moins de risque qu’un autre site sur le serveur compromette le vôtre. Soyez très prudent en plaçant un site WooCommerce sur un budget, un environnement d’hébergement partagé avec une sécurité minimale.
Recherchez des options d’hébergement WordPress de qualité où il existe des mesures de sécurité au niveau du serveur, telles que des protections et des limitations en écriture sur disque. Protection en écriture sur le disque signifie que le serveur d’hébergement limite les processus qui peuvent écrire sur le disque, ce qui rend plus difficile pour un pirate d’exploiter une vulnérabilité de thème ou de plugin. D’une manière similaire, limitations d’écriture sur disque signifie que toutes les tentatives d’écriture sur le disque sont consignées, ce qui peut aider à détecter une activité malveillante.
Alors qu’un Certificat SSL est désormais une bonne pratique pour tous les sites, c’est une exigence des sites WooCommerce pour les normes de sécurité PCI. Assurez-vous donc de configurer (et de renouveler) votre certificat SSL auprès de la société d’hébergement.
Enfin, votre serveur d’hébergement et votre site Web doivent être régulièrement mis à jour vers la dernière version de PHP. Les anciennes versions de PHP présentent souvent des vulnérabilités de sécurité qui ne sont plus corrigées. Tout comme vous mettez à niveau WordPress et vos plugins, votre site Web et votre serveur doivent exécuter le dernier PHP pour la sécurité et la performance. WordPress a commencé à encourager les propriétaires de sites Web à rester informés de ces mises à jour en notant les versions PHP obsolètes dans le Vérification de l’état du site WordPress.
2. Rester au courant des mises à jour des plugins et de la sécurité
Effectuer des mises à jour régulières des plugins et rester au courant des versions principales de WordPress est l’une des étapes de sécurité les plus importantes. Une source courante d’infection pour les sites piratés est une vulnérabilité dans un plugin ou un thème obsolète. En 2019, Sucuri a rapporté que 56% des sites piratés étaient obsolètes au moment de l’infection.
Pour les sites WooCommerce, il est essentiel de rester au courant des dernières mises à jour de WooCommerce, car celles-ci incluent souvent des correctifs de sécurité et des correctifs de maintenance. Par exemple, le Mise à jour de WooCommerce 4.6.2 a été publié en novembre 2020 et comprenait un correctif pour un bogue qui permettait aux utilisateurs anonymes de créer un compte lors du paiement, même si ce paramètre était désactivé dans le tableau de bord. WooCommerce a encouragé les propriétaires de sites à mettre en œuvre cette mise à jour immédiatement. Retarder ces types de mises à jour peut exposer votre site de commerce électronique à de tels risques de sécurité.
Certains propriétaires de sites peuvent reporter la mise à jour des plugins par crainte que ces mises à jour ne provoquent des pannes sur le site ou entraînent un Problème de maintenance WooCommerce. Pour cette raison, il est recommandé d’effectuer toutes les mises à jour des plugins dans une zone de préparation ou un environnement de production avant de les implémenter sur votre site en ligne.
Même si vous maintenez activement vos plugins, il est possible que l’un de ces plugins installés soit abandonné par son développeur. WordPress supprime activement ces types de plugins du référentiel car ils peuvent poser un risque pour la sécurité et les performances.
Cependant, avec plus de 50000 plugins disponibles dans le référentiel WordPress et de nombreuses extensions WooCommerce, il peut être difficile d’attraper ces suppressions. Le plugin WordFence gratuit ou payant peut être une excellente ressource et une fois installé, WordFence enverra des notifications si des plugins installés sur votre site ont été supprimés et présentent un risque pour la sécurité.
3. Configurer la surveillance de la sécurité
Bien que la sécurité du niveau d’hébergement et la maintenance régulière réduisent les opportunités pour les pirates, cela ne couvrira toujours pas toutes les bases. Malheureusement, de nouvelles menaces se profilent constamment à l’horizon, dont certaines sont des attaques automatisées sur les sites WordPress et WooCommerce. Il est impossible de les bloquer vous-même 24 heures sur 24, 7 jours sur 7. Grâce aux outils de surveillance de la sécurité, vous n’aurez pas à le faire.
Pensez à mettre en place Surveillance de la sécurité 24h / 24 et 7j / 7 sur votre site WooCommerce pour détecter tout malware ou toute violation du site. La version gratuite et premium du Plug-in WordFence et Jus de fruitsLes services payants de sont des choix populaires pour les sites WordPress. Ces solutions proposent un scanner de malware et alerteront votre équipe de toute activité suspecte. Les services payants peuvent également inclure une suppression automatique des logiciels malveillants, ce qui peut aider à nettoyer rapidement le site après tout problème de sécurité.
Comme autre pratique de sécurité, il est préférable de minimiser le nombre de comptes d’administrateur WordPress. Passez en revue les comptes tous les quelques mois et supprimez activement tous les anciens employés ou anciens fournisseurs qui ne devraient plus avoir accès au site.
Pour un site de commerce électronique où tout temps d’arrêt peut avoir un impact sur les ventes, vous pouvez également envisager une sécurité supplémentaire avec un pare-feu d’application Web (WAF) grâce à des services tels que Cloudflare ou Sucuri. Cela peut protéger le site contre le trafic de robots malveillants ou une attaque DDoS, qui vise à faire tomber votre serveur ou votre site Web en l’inondant de mauvaises requêtes.
4. Conformité PCI-DSS et mesures antifraude
Bien que les protocoles de sécurité précédents puissent également être mis en œuvre sur les sites d’information, cette mesure est spécifiquement applicable aux sites de commerce électronique.
Chaque site Web qui traite des transactions par carte de crédit doit se conformer à PCI-DSS – Norme de sécurité des données de l’industrie des cartes de paiement. Ces normes mondiales ont été établies pour aider à réduire la fraude par carte de crédit.
L’un des meilleurs moyens de se conformer à ces exigences consiste à utiliser une passerelle de paiement sécurisée. Stripe, PayPal et Authorize.Net sont toutes des options populaires. WooCommerce prend également en charge ces normes en ne stockant jamais les détails de la carte de crédit sur le site. Si vous créez votre propre site de commerce électronique, assurez-vous de ne jamais configurer un formulaire de base qui stocke les informations de carte de crédit sur le site. Au lieu de cela, utiliser l’un des meilleurs plugins de passerelle WooCommerce est le choix le plus sûr.
Malheureusement, même si vous suivez ces normes et utilisez une passerelle de paiement sécurisée, votre boutique en ligne peut être affectée négativement par la fraude dans le commerce électronique. Il est assez courant de voir des utilisateurs tester des comptes de carte de crédit volés sur un site de commerce électronique. Le Antifraude WooCommerce L’extension est une excellente ressource pour détecter les transactions frauduleuses. Le plugin attribue à chaque transaction un score de risque et peut être configuré pour annuler ou suspendre automatiquement les transactions suspectes.
Enfin, il est important de protéger votre site contre les robots automatisés qui pourraient créer de faux comptes et des commandes d’invités sur le site. La meilleure défense est de configurer Google recaptcha sur tous les formulaires de paiement WooCommerce en utilisant le Recaptcha pour l’extension WooCommerce.
5. Effectuer des sauvegardes quotidiennes de la base de données
Ce dernier protocole de sécurité est votre filet de sécurité. Bien que toutes les étapes précédentes vous aideront à éviter les failles de sécurité, si le pire des cas se produit et que votre site est piraté, une sauvegarde de votre site et de votre base de données WordPress est une bouée de sauvetage.
Lorsqu’un site est piraté, vous passez généralement par un processus de nettoyage et supprimez tous les logiciels malveillants et fichiers infectés. Malheureusement, il existe des cas où un site est tellement piraté que des informations et des fichiers critiques sont perdus au cours du processus. Dans ce scénario, une sauvegarde propre du site est vitale et signifie que vous n’avez pas à reconstruire l’intégralité du site.
Il existe des environnements d’hébergement qui offrent une sauvegarde quotidienne automatique du site au niveau du serveur. Si vous ne disposez pas de cette option, vous pouvez également utiliser un plugin WordPress pour effectuer des sauvegardes automatiques du site sur une base quotidienne ou hebdomadaire. Ou suivez ce guide pour savoir comment sauvegarder WooCommerce pour vous assurer que votre site de commerce électronique est en sécurité.
En fonction de votre solution, surveillez les paramètres en termes de durée de stockage des fichiers. Ces fichiers de sauvegarde sont généralement assez volumineux. Si les sauvegardes sont stockées au niveau du site ou du serveur, cela peut augmenter la taille de la base de données de votre site, entraînant des coûts d’hébergement plus élevés. Une façon d’atténuer ce problème consiste à configurer des points de contrôle et à vous assurer que les anciennes sauvegardes ne sont stockées que pendant un certain temps.
Cependant, soyez prudent lorsque vous restaurez automatiquement une sauvegarde pour les sites WooCommerce, car cela écrasera toutes les transactions entrées depuis la sauvegarde. Une équipe de développement Web qualifiée peut s’assurer d’utiliser correctement les fichiers si vous rencontrez un problème de sécurité.
