Les sites WooCommerce ont certainement des besoins uniques en termes de sécurité Web, et à mesure que le commerce électronique augmente dans le monde, le risque de fraude et de failles de sécurité augmente également.
La sécurité en ligne est vraiment une exigence de base, tout comme la cote d’inspection sanitaire d’un restaurant, et tout problème qui survient dans votre boutique en ligne peut miner la confiance de votre visiteur Web.
Bien qu’il n’y ait pas de garantie à 100 % en matière de sécurité, vous pouvez protéger vos visiteurs et votre entreprise en mettant en œuvre ces protocoles clés.
1. Mettre en œuvre des mesures de sécurité au niveau du serveur
En matière de sécurité de site Web, votre serveur d’hébergement est la première ligne de défense. Même si vous disposez des meilleurs plugins et mesures de sécurité sur votre site WordPress, une brèche au niveau de l’hébergement rendra ces outils inutiles.
Lors de l’évaluation des options d’hébergement, considérez qu’un environnement plus dédié signifie qu’il y a moins de risque qu’un autre site sur le serveur compromette le vôtre. Soyez très prudent en plaçant un site WooCommerce sur un environnement d’hébergement partagé à petit budget avec une sécurité minimale.
Recherchez des options d’hébergement WordPress de qualité où il existe des mesures de sécurité au niveau du serveur, telles que des protections et des limitations en écriture sur disque. Protection en écriture du disque signifie que le serveur d’hébergement limite les processus qui peuvent écrire sur le disque, ce qui rend plus difficile pour un pirate d’exploiter une vulnérabilité de thème ou de plugin. D’une manière similaire, limitations d’écriture sur disque signifie que toutes les tentatives d’écriture sur le disque sont enregistrées, ce qui peut aider à détecter les activités malveillantes.
Alors qu’un Certificat SSL est désormais une bonne pratique pour tous les sites, c’est une exigence pour les sites WooCommerce pour les normes de sécurité PCI. Alors, assurez-vous de configurer (et de renouveler) votre certificat SSL avec l’hébergeur.
Enfin, votre serveur d’hébergement et votre site Web doivent être régulièrement mis à jour vers la dernière version de PHP. Les anciennes versions de PHP présentent souvent des failles de sécurité qui ne sont plus corrigées. Tout comme vous mettez à niveau WordPress et vos plugins, votre site Web et votre serveur doivent exécuter le dernier PHP tant pour la sécurité que pour les performances. WordPress a commencé à encourager les propriétaires de sites Web à rester au courant de ces mises à jour en notant les versions PHP obsolètes dans le Vérification de la santé du site WordPress.
2. Rester au top des mises à jour des plugins et de la sécurité
Effectuer des mises à jour régulières des plugins et rester au courant des versions principales de WordPress est l’une des étapes de sécurité les plus importantes. Une source courante d’infection pour les sites piratés est une vulnérabilité dans un plugin ou un thème obsolète. En 2019, Sucuri a rapporté que 56% des sites piratés étaient obsolètes au moment de l’infection.
Pour les sites WooCommerce, il est essentiel de rester au courant des dernières mises à jour de WooCommerce, car celles-ci incluent souvent des correctifs de sécurité et des correctifs de maintenance. Par exemple, le Mise à jour WooCommerce 4.6.2 a été publié en novembre 2020 et comprenait un correctif pour un bogue qui permettait aux utilisateurs anonymes de créer un compte lors du paiement même si ce paramètre était désactivé dans le tableau de bord. WooCommerce a encouragé les propriétaires de sites à mettre en œuvre cette mise à jour immédiatement. Retarder ces types de mises à jour peut exposer votre site de commerce électronique à de tels risques de sécurité.
Certains propriétaires de sites peuvent différer les mises à jour des plugins de peur que ces mises à jour ne provoquent des pannes sur le site ou entraînent un Problème de maintenance WooCommerce. Pour cette raison, c’est une bonne pratique d’effectuer d’abord toutes les mises à jour de plug-in dans une zone de transit ou un environnement de production avant de les implémenter sur votre site en ligne.
Même si vous maintenez activement vos plugins, il est possible qu’un de ces plugins installés soit abandonné par son développeur. WordPress supprime activement ces types de plugins du référentiel car ils peuvent présenter un risque pour la sécurité et les performances.
Cependant, avec plus de 50 000 plugins disponibles dans le référentiel WordPress et de nombreuses extensions WooCommerce, il peut être difficile de détecter ces suppressions. Le plugin WordFence gratuit ou payant peut être une excellente ressource et une fois installé, WordFence enverra des notifications si des plugins installés sur votre site ont été supprimés et constituent un risque pour la sécurité.
3. Configurer la surveillance de la sécurité
Alors que la sécurité au niveau de l’hébergement et la maintenance régulière réduiront les opportunités pour les pirates, cela ne couvrira toujours pas toutes les bases. Malheureusement, de nouvelles menaces se profilent constamment à l’horizon, dont certaines sont des attaques automatisées sur les sites WordPress et WooCommerce. Il est impossible de bloquer ces 24/7 par vous-même. Grâce aux outils de surveillance de la sécurité, vous n’aurez pas à le faire.
Pensez à mettre en place Surveillance de la sécurité 24h/24 et 7j/7 sur votre site WooCommerce pour détecter tout malware ou violation du site. La version gratuite et premium du Plugin WordFence et SucuriLes services payants de sont des choix populaires pour les sites WordPress. Ces solutions proposent un scanner de malware et alertent votre équipe de toute activité suspecte. Les services payants peuvent également inclure une suppression automatique des logiciels malveillants, ce qui peut aider à nettoyer rapidement le site après tout problème de sécurité.
Comme autre pratique de sécurité, il est préférable de minimiser le nombre de comptes administrateur WordPress. Examinez les comptes tous les quelques mois et supprimez activement tous les anciens employés ou anciens fournisseurs qui ne devraient plus avoir accès au site.
Pour un site de commerce électronique où tout temps d’arrêt peut avoir un impact sur les ventes, vous pouvez également envisager une sécurité supplémentaire avec un pare-feu applicatif Web (WAF) grâce à des services tels que Cloudflare ou Sucuri. Cela peut protéger le site contre le trafic de bots malveillants ou une attaque DDoS, qui vise à arrêter votre serveur ou votre site Web en l’inondant de mauvaises requêtes.
4. Conformité PCI-DSS et mesures anti-fraude
Alors que les protocoles de sécurité précédents peuvent également être mis en œuvre sur les sites d’information, cette mesure est spécifiquement applicable aux sites de commerce électronique.
Chaque site Web qui traite les transactions par carte de crédit doit se conformer aux PCI-DSS – Norme de sécurité des données de l’industrie des cartes de paiement. Ces normes mondiales ont été établies pour aider à réduire la fraude par carte de crédit.
L’un des meilleurs moyens de se conformer à ces exigences est d’utiliser une passerelle de paiement sécurisée. Stripe, PayPal et Authorize.Net sont toutes des options populaires. WooCommerce prend également en charge ces normes en ne stockant jamais les détails de la carte de crédit sur le site. Si vous configurez votre propre site de commerce électronique, assurez-vous de ne jamais configurer un formulaire de base qui stocke les informations de carte de crédit sur le site. Au lieu de cela, l’utilisation de l’un des meilleurs plugins de passerelle WooCommerce est le choix le plus sûr.
Malheureusement, même si vous suivez ces normes et utilisez une passerelle de paiement sécurisée, votre boutique en ligne peut être affectée négativement par la fraude au commerce électronique. Il est assez courant de voir des utilisateurs tester des comptes de cartes de crédit volés sur un site de commerce électronique. Les Anti-fraude WooCommerce L’extension est une excellente ressource pour détecter les transactions frauduleuses. Le plugin étiquette chaque transaction avec un score de risque et il peut être configuré pour annuler ou suspendre automatiquement les transactions suspectes.
Enfin, il est important de protéger votre site contre les robots automatisés qui pourraient créer de faux comptes et commandes d’invités sur le site. La meilleure défense consiste à configurer Google recaptcha sur tous les formulaires de paiement WooCommerce en utilisant le Recaptcha pour l’extension WooCommerce.
5. Effectuer des sauvegardes quotidiennes de la base de données
Ce dernier protocole de sécurité est votre filet de sécurité. Bien que toutes les étapes précédentes vous aident à éviter les failles de sécurité, si le pire des cas se produit et que votre site est piraté, une sauvegarde de votre site WordPress et de votre base de données est une bouée de sauvetage.
Lorsqu’un site est piraté, vous effectuez généralement un processus de nettoyage et supprimez tous les logiciels malveillants et les fichiers infectés. Malheureusement, dans certains cas, un site est tellement piraté que des informations et des fichiers critiques sont perdus au cours du processus. Dans ce scénario, avoir une sauvegarde propre du site est vital et signifie que vous n’avez pas à reconstruire l’intégralité du site.
Il existe des environnements d’hébergement qui offrent une sauvegarde quotidienne automatique du site au niveau du serveur. Si vous n’avez pas cette option, vous pouvez également utiliser un plugin WordPress pour effectuer des sauvegardes automatiques du site sur une base quotidienne ou hebdomadaire. Ou suivez ce guide sur la façon de sauvegarder WooCommerce pour vous assurer que votre site de commerce électronique est sûr.
Selon votre solution, surveillez les paramètres en termes de durée de stockage des fichiers. Ces fichiers de sauvegarde sont généralement assez volumineux. Si les sauvegardes sont stockées au niveau du site ou du serveur, cela peut augmenter la taille de la base de données de votre site, entraînant des coûts d’hébergement plus élevés. Une façon d’atténuer cela est de configurer des points de contrôle et de s’assurer que les anciennes sauvegardes ne sont stockées que pendant une certaine période.
Soyez prudent lorsque vous restaurez automatiquement une sauvegarde pour les sites WooCommerce, car cela écrasera toutes les transactions entrées depuis que la sauvegarde a été effectuée. Une équipe de développement Web qualifiée peut s’assurer d’utiliser correctement les fichiers si vous rencontrez un problème de sécurité.