Comment gérer les vulnérabilités de WooCommerce ?


En tant que plate-forme populaire largement utilisée dans le monde, les vulnérabilités de WooCommerce pourraient être un problème majeur pour les propriétaires de magasins. Si vous êtes touché par une vulnérabilité de sécurité de WooCommerce, comment allez-vous la gérer. Dans cet article, nous discuterons de certaines des précautions que vous pouvez prendre pour faire face aux vulnérabilités de WooCommerce.

Vulnérabilité critique WooCommerce 13 juillet 2021

Une vulnérabilité critique a été signalée pour WooCommerce et le plugin WooCommerce Blocks le 13 juillet 2021. Cette vulnérabilité a été signalée par un chercheur en sécurité Josh via le Programme de sécurité HackerOne d’Automattic. Une fois la vulnérabilité détectée, WooCommerce a mené une enquête approfondie, suivie du développement d’un correctif de sécurité. Ce correctif de sécurité a été déployé automatiquement sur toutes les versions impactées du plugin.

Actions recommandées pour lutter contre la vulnérabilité critique du 13 juillet

WooCommerce déploiera automatiquement le correctif de sécurité sur tous les magasins concernés. Du point de vue d’un propriétaire de magasin, il est recommandé de vous assurer que les blocs WooCommerce et WooCommerce sont mis à jour vers leurs dernières versions (5.5.1). Il est également préférable de mettre à jour vos mots de passe pour les utilisateurs administrateurs. Une autre suggestion consiste à faire pivoter les clés API et les clés de passerelle de paiement utilisées sur le magasin.

WooCommerce a également publié une liste de versions de correctifs dans cet article, et si votre version n’est pas dans la liste, vous pouvez mettre à jour les plugins WooCommerce et WooCommerce Block vers la version la plus élevée disponible.

Raisons pour lesquelles le correctif de sécurité n’est pas reçu automatiquement

Il peut y avoir plusieurs raisons pour lesquelles votre boutique ne reçoit pas le correctif de sécurité. Ceux-ci sont:

  1. Votre boutique fonctionne sur une ancienne version de WooCommerce (inférieure à la version 3.3)
  2. Vous avez désactivé les mises à jour automatiques sur votre boutique.
  3. Il est possible que le système de fichiers soit en lecture seule.
  4. Il peut y avoir des conflits avec certains plugins installés sur votre site.

Pour les magasins fonctionnant sur des versions plus anciennes, aucune autre action n’est requise car cette vulnérabilité de sécurité particulière n’aura aucun impact. Cependant, pour toutes les autres raisons mentionnées ci-dessus, WooCommerce conseille aux propriétaires de magasins d’essayer de mettre à jour manuellement le plugin.

Comment savoir si des données ont été compromises ?

Selon WooCommerce, il n’existe aucun moyen précis de confirmer quelles informations ont été exposées lors de l’exploit. Si un site est exposé à ce problème, toutes les informations stockées peuvent être affectées. Dans le cas d’une boutique WooCommerce, il peut s’agir d’informations sur les clients, les commandes ou d’autres données administratives.

Une façon de savoir si cette vulnérabilité a été exploitée est de vérifier les journaux d’accès de votre serveur Web. WooCommerce a également fourni des exemples de formats de demande qui pourraient indiquer une éventuelle tentative d’exploitation. En outre, ils ont fourni des adresses IP d’où provenaient la majorité des tentatives d’exploitation. Vous pouvez lire plus de détails à ce sujet sur ce article sur la vulnérabilité critique WooCommerce.

Y a-t-il une possibilité de compromission du mot de passe ?

Selon WooCommerce, la possibilité que cet exploit puisse conduire à la compromission des mots de passe est pratiquement nulle. En effet, les mots de passe WordPress utilisent la fonction de hachage cryptographique et sont impossibles à déchiffrer. Si vous suivez les directives de gestion des mots de passe de WordPress, votre mot de passe sera sécurisé. Cependant, si un plugin que vous utilisez a stocké des mots de passe de manière moins sécurisée, cela pourrait avoir un impact.

Précautions suggérées

Si vous êtes un développeur WooCommerce ou possédez un outil SaaS basé sur l’API WooCommerce, vous devrez peut-être informer vos clients et abonnés de cette vulnérabilité et les encourager à passer à une version sécurisée. Si vous êtes propriétaire d’une boutique WooCommerce, WooCommerce vous recommande de modifier toutes les données privées stockées dans votre base de données WordPress, telles que les clés API ainsi que les clés publiques ou privées pour l’intégration de la passerelle de paiement. Il est également conseillé de modifier le(s) mot(s) de passe administrateur, s’ils sont utilisés sur d’autres sites. La réinitialisation des mots de passe des clients n’est pas une étape nécessaire, bien que vous puissiez le faire comme mesure de précaution supplémentaire.

Conseils de sécurité généraux pour protéger votre boutique des vulnérabilités WooCommerce

Si votre boutique en ligne fonctionne sur WooCommerce, vous devrez peut-être suivre certaines consignes de sécurité. Voici une liste de choses auxquelles faire attention afin que vous puissiez facilement faire face à de telles vulnérabilités et exploits possibles.

Utiliser un plugin de sécurité

L’une des choses de base que vous pouvez faire pour traiter les vulnérabilités de sécurité est d’obtenir un plugin de sécurité. Il existe plusieurs options populaires qui assureront la sécurité de votre site grâce à une surveillance régulière, l’intégration du pare-feu d’application Web (WAF) et des options de réparation rapide. Certaines des solutions préférées pour la sécurité du site WooCommerce sont Jetpack, MalCare, Jus, etc.

Comment gérer les vulnérabilités de WooCommerce ? 1
Jetpack est l’une des solutions de sécurité les plus complètes pour votre boutique WooCommerce.

Obtenez un certificat SSL

Un certificat SSL garantira que les données échangées entre vos clients et la boutique seront cryptées. Cela garantira une meilleure sécurité du site et vous pourrez stocker en toute tranquillité les détails du client, y compris les informations de paiement, sur votre boutique WooCommerce elle-même. La plupart des plans d’hébergement offrent un certificat SSL gratuit, et vous pouvez même configurer un SSL gratuit à l’aide de Let’s Encrypt.

Assurer la sécurité de connexion

La page de connexion d’un site WordPress est l’une des cibles les plus courantes des attaques malveillantes. Les experts recommandent plusieurs étapes pour assurer la sécurité de votre magasin. Ceux-ci sont:

  • Autoriser uniquement les tentatives de connexion limitées
  • Ne pas conserver le nom d’utilisateur ‘admin’ par défaut
  • Activer l’authentification à deux facteurs (2FA)

Gérer les profils utilisateurs de manière sécurisée

Pour un site WordPress ou une boutique WooCommerce, il y aura des scénarios où une personne seule ne pourra pas gérer tous les aspects administratifs ou de gestion de boutique. Ainsi, vous créerez naturellement plus d’utilisateurs pour la gestion du site. L’un des aspects fondamentaux à garantir ici est de fournir uniquement les capacités essentielles aux utilisateurs. Vous pouvez en savoir plus sur les stratégies de restriction de contenu dans une boutique WooCommerce pour mieux comprendre ces aspects. L’application de mots de passe forts pour tous les utilisateurs est une autre stratégie importante qui contribuera à la gestion sécurisée des utilisateurs.

Plugins de champs d'enregistrement utilisateur personnalisés WooCommerce
Une option riche en fonctionnalités, ce plugin vous aidera à créer des formulaires de connexion personnalisables avec une interface simple.

Utilisez uniquement des thèmes et des plugins sécurisés

Même si votre site est sécurisé, un plugin ou un thème compromis peut créer des problèmes de sécurité pour vous. La solution consiste à n’utiliser que des plugins et des thèmes téléchargés à partir de sources fiables. Ceux-ci incluent le référentiel de plugins WordPress, le répertoire de thèmes, le marché WooCommerce, des développeurs tiers réputés, etc. Vous pouvez lire l’article sur les sources fiables pour acheter des plugins pour plus d’informations.

Utilisez une solution de sauvegarde solide

Un autre facteur important est d’avoir une solution de sauvegarde solide. Assurez-vous d’avoir des calendriers de sauvegarde flexibles avec l’outil que vous utilisez. UpdraftPlus est une solution de sauvegarde hautement recommandée pour les magasins WooCommerce.

Plugins de sauvegarde WordPress
UpdraftPlus est l’un des plugins de sauvegarde WordPress les plus sécurisés et les plus flexibles.

Assurer des mises à jour régulières

Une autre recommandation de sécurité pour les magasins WooCommerce est de maintenir un calendrier de mise à jour régulier. La simple mise à jour de WordPress et WooCommerce ne garantira pas une sécurité totale si vous utilisez plusieurs plugins différents. Vous devez vous assurer que tous les plugins que vous utilisez sur votre boutique sont également mis à jour régulièrement. Une approche pratique pour y parvenir consistera à maintenir un calendrier de mise à jour afin que vous ne le manquiez pas. Cela vous aidera également à être mieux préparé à faire face à des problèmes inattendus.

Nous espérons que cet article vous a fourni une bonne idée sur la façon de gérer les vulnérabilités de WooCommerce. Si vous souhaitez partager votre expérience dans une telle situation, n’hésitez pas à laisser un commentaire dans la section ci-dessous.

Lectures complémentaires

Partagez cet article

Newsletter

Inscrivez-vous à notre newsletter pour profiter de toutes nos astuces !

Laissez une réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *