WooCommerce compte des centaines de milliers d'utilisateurs, car il s'agit du moyen le plus simple de créer une boutique de commerce électronique avec WordPress, un CMS que des millions de personnes connaissent bien. Dans toute communauté de cette taille, il existe un large éventail de compétences et d’expériences, sans parler de nombreux mythes et malentendus.
Dans cet article, je vais passer en revue quelques-uns des mythes liés à la sécurité que j'ai rencontrés au cours de discussions avec des détaillants WooCommerce.
Votre fournisseur d'hébergement Web est responsable de la sécurité de WooCommerce
Ce mythe repose sur un noyau de vérité: les fournisseurs d’hébergement WooCommerce doivent s’occuper de la sécurité des centres de données, des réseaux et des serveurs. Ils doivent mettre à jour le logiciel serveur, y compris le système d'exploitation. Ils doivent s’assurer que leurs serveurs n’exécutent pas de logiciels vulnérables. Cependant, il existe une limite à ce qu'un fournisseur d'hébergement peut faire pour sécuriser une boutique WooCommerce.
Un fournisseur d'hébergement ne peut rien faire si un propriétaire de magasin WooCommerce installe un plugin ou un thème contenant des logiciels malveillants. oublie de mettre à jour WordPress, WooCommerce et d’autres plugins et thèmes; ou utilise un mot de passe facile à deviner avec le compte administrateur par défaut.
Le fournisseur d'hébergement et le propriétaire du magasin partagent la responsabilité de la sécurité WooCommerce. Un magasin peut être rendu vulnérable par des défaillances de part et d’autre du partenariat d’hébergement.
Votre magasin n’est pas assez important pour être piraté
La fausse hypothèse qui sous-tend ce mythe est que les criminels ne ciblent que les magasins comptant des dizaines de milliers de clients. Cela semble plausible car les grands magasins sont des cibles plus précieuses: ils ont plus de ressources, plus de données personnelles à exploiter, plus de visiteurs à infecter par des logiciels malveillants et plus de numéros de cartes de crédit à voler.
Mais, en réalité, même un petit magasin est utile aux criminels. Le coût de la compromission d'un magasin WooCommerce vulnérable – ou de toute application Web – est minime. La plupart des magasins sont compromis par des robots automatisés utilisant des vulnérabilités connues et des faiblesses évidentes. Les robots examinent des milliers de magasins et ne s’inquiètent pas de savoir si un magasin a dix ou dix mille visiteurs par jour. Les deux seront compromis et exploités s’ils ne sont pas correctement sécurisés.
Les grands magasins ont plus de valeur pour les criminels et ils peuvent leur donner l’attention qu’ils ne donnent pas aux petits magasins, mais une application Web comportant une vulnérabilité de sécurité sera éventuellement compromise, quelle que soit sa taille.
C’est bien de partager les mots de passe WordPress
Les détaillants peuvent avoir besoin de donner aux développeurs, aux concepteurs ou à d'autres employés un accès administrateur à leur boutique WooCommerce de temps à autre. Il y a deux façons de faire ça:
- Donnez-leur le nom d'utilisateur et le mot de passe d'un compte administrateur existant, utilisé par le propriétaire du magasin ou une autre personne de confiance.
- Créez un nouveau compte administrateur à utiliser uniquement par le professionnel.
La première d'entre elles est plus pratique à court terme, mais elle a des implications importantes pour la sécurité du site. À un moment donné, il sera nécessaire de retirer l’accès accordé, ce qui est plus difficile si plusieurs utilisateurs partagent le même mot de passe. En réalité, les comptes partagés sont rarement supprimés et les mots de passe partagés rarement modifiés. Il n'est pas rare que des entreprises mécontentes piratent des entreprises en utilisant d'anciens mots de passe qui n'ont jamais été modifiés.
Lorsque chaque utilisateur – administrateur ou non – a son propre compte, chacun peut se voir attribuer l'accès dont il a besoin et il peut être retiré ultérieurement sans inconvénient.
Les thèmes WordPress ne représentent pas un risque pour la sécurité
Les thèmes WordPress changent l'apparence d'un magasin WordPress, mais leur influence va plus loin que les changements de conception superficiels. Un thème WordPress n'est pas moins un logiciel qu'un plugin; un thème non sécurisé est aussi risqué qu'un plugin non sécurisé. Pour la plupart, les thèmes téléchargés à partir des référentiels officiels et des sites Web de développeurs de thèmes sont sécurisés s'ils sont tenus à jour. Les thèmes provenant d'ailleurs sont plus risqués.
Ce mythe est particulièrement difficile pour les détaillants WooCommerce qui installent des thèmes premium nulled (pirate). Les criminels ont pour tactique favorite d’injecter des logiciels malveillants dans des thèmes annulés. Lorsque des propriétaires de magasin WooCommerce insouciants installent un thème, ils installent également une porte dérobée qui donne à l’ensemble des criminels un accès au site.
Un pare-feu sécurisera votre boutique WooCommerce
Il existe plusieurs types de pare-feu et ils agissent pour repousser différentes catégories d'attaques. Le pare-feu fourni par un fournisseur d’hébergement WooCommerce fonctionne au niveau de la couche réseau (également appelée couche 3). Il peut arrêter le trafic dirigé vers des ports particuliers ou des adresses IP spécifiques. Il ne peut pas arrêter les attaques malveillantes visant à exploiter les failles de l’application Web elle-même; sur un pare-feu de couche 3, elles ressemblent à des requêtes Web légitimes pour le port 80.
Un pare-feu de couche 7 (couche d'application) est nécessaire pour intercepter des attaques telles que les attaques par injection SQL, les attaques par script intersite et les attaques visant à exploiter les failles logicielles de WordPress, WooCommerce ou de plug-ins. Également appelés pare-feu pour applications Web (WAF), ils constituent une couche de défense inestimable.
Les meilleurs fournisseurs d’hébergement WooCommerce offrent une fonctionnalité WAF intégrée, mais les détaillants WooCommerce peuvent installer un WAF via le Sucuri ou WordFence plugins.
La mise à jour des plugins est suffisante pour protéger votre site
Un magasin WooCommerce peut-il être piraté en raison d'une vulnérabilité de plug-in lorsque tous ses plug-ins sont à jour? Oui il peut. Il peut y avoir des vulnérabilités zéro jour dans les plugins; c’est-à-dire des vulnérabilités qui n’ont pas été corrigées car le développeur ne les connaît pas. Il n’ya pas grand chose qu'un propriétaire de magasin WooCommerce puisse faire à ce sujet. Mais il existe une autre source de risque pour les magasins à jour.
C’est une erreur de supposer que, du fait de la diligence avec laquelle vous mettez à jour des plugins, il en va de même pour les développeurs de plugins. Un propriétaire de magasin WooCommerce peut mettre à jour ses plug-ins de manière religieuse, mais que se passe-t-il si le développeur cesse de publier les mises à jour il y a 18 mois? Il se peut qu'une vulnérabilité ne soit jamais corrigée par le développeur et que le propriétaire du magasin qui se concentre uniquement sur les notifications de mise à jour n'en soit pas conscient.
En plus de la mise à jour des plugins, les détaillants WooCommerce doivent vérifier si les développeurs de plugins ont récemment publié une mise à jour. Un plugin qui n’a pas été mis à jour depuis des mois n’est pas forcément peu sûr, mais il mérite un peu de suspicion.
C’est une bonne idée de s’assurer que le plug-in n’a pas été abandonné et que le développeur envisage de publier une version mise à jour à un moment donné. Si vous ne pouvez pas vérifier qu’un plug-in retient l’attention de son développeur, songez à chercher une alternative.
Il est important de protéger votre boutique WooCommerce.
WooCommerce est une solution de commerce électronique puissante et facile à utiliser. Elle est aussi sécurisée que tout autre système de gestion de contenu ou application de commerce électronique. Toutefois, pour assurer leur sécurité, les détaillants doivent au moins comprendre les bases de la sécurité des applications Web. J'espère que cet article a effacé certaines idées fausses concernant la sécurité de WooCommerce et aidera les détaillants à assurer la sécurité de leur magasin et de leurs clients.
