Lors de la configuration d’un site de commerce électronique sur WordPress, la sécurité doit être votre priorité numéro un. Chaque fois que vous traitez des informations personnelles ou des données financières, vous devez être doublement prudent. Ne pas montrer que vous êtes un fournisseur digne de confiance via des logos de sécurité reconnaissables et cela pourrait vous faire perdre des clients. Mais ne pas tenir compte de la sécurité pourrait entraîner un résultat bien pire : le vol et la perte de données.
C’est le pire cauchemar des propriétaires de sites e-commerce. Heureusement, vous n’avez pas à laisser cela vous arriver. Ici, je vais discuter de certains des problèmes de sécurité les plus courants auxquels sont confrontés les sites de commerce électronique basés sur WordPress et vous expliquer les étapes à suivre pour colmater ces failles de sécurité une fois pour toutes.
Étape 1 : SSL
Lorsque vous travaillez dans le domaine du commerce électronique, une chose sur laquelle vous ne pouvez absolument pas faire de compromis est SSL. C’est Secure Sockets Layer pour les non-initiés et protège les informations sensibles (les vôtres et celles de vos clients) pendant qu’elles sont transmises pour traitement. Un bon moyen de garantir la sécurité des paiements sur votre site consiste à utiliser un système populaire comme PayPal. Cela permet de garder toutes les informations financières hors de votre site et entre les mains d’une entreprise spécialisée dans la protection de transactions comme celle-ci.
Bien qu’un SSL générique puisse être coûteux, bon nombre des meilleures options d’hébergement WordPress offrent un SSL gratuit via Let’s Encrypt. C’est simple, rapide et totalement gratuit.
Étape 2 : utilisez une plate-forme prête à l’emploi
Une façon de renforcer la sécurité du site consiste à utiliser une plate-forme de commerce électronique prête à l’emploi. Cela élimine les conjectures sur ce que vous devez et ne devez pas inclure et facilite grandement le démarrage. Il existe plusieurs plates-formes comme WooCommerce, Shopify et autres. Alors, faites vos recherches pour trouver une plateforme de commerce électronique qui conviendra à vos besoins.
Si vous décidez d’utiliser simplement un thème WordPress à la place, il est préférable d’utiliser uniquement ceux que vous trouvez dans le répertoire WordPress ou sur des sites Web à thème réputés. Les thèmes de mauvaise qualité manquent souvent des mesures de sécurité appropriées, ce qui met en danger votre site et les informations de vos clients.
Étape 3 : Modifier .htaccess
Une autre façon de remédier aux problèmes de sécurité potentiels de WordPress consiste à modifier le fichier .htaccess. De nombreuses attaques de sites sont effectuées sur la base de données qui prend en charge la plate-forme. Si la base de données est attaquée, elle ne pourra pas exécuter les scripts PHP qui font fonctionner votre site.
L’injection SQL est un moyen pour les pirates d’infiltrer votre site. Ils le font en plaçant leurs propres commandes dans une URL de votre base de données. Ces commandes peuvent forcer la base de données à produire des informations sur votre site, y compris des informations de connexion. Les variations de cette méthode de piratage peuvent entraîner l’exécution de scripts PHP spécifiques qui installent des logiciels malveillants sur votre site. Fondamentalement, tout cela est une mauvaise nouvelle pour quelqu’un qui essaie de gérer un site sécurisé que ses clients peuvent utiliser en toute confiance.
Heureusement, vous pouvez y remédier en modifiant le fichier .htaccess dans les fichiers de votre site WordPress. Il existe une excellente collection d’extraits de code .htaccess que vous pouvez placer dans le fichier pour renforcer la sécurité du site. Une fois ces règles en place, vous pouvez empêcher certaines personnes d’accéder à votre site, y compris des adresses IP spécifiques ainsi que des demandes d’URL spécifiques.
Vous pouvez également limiter les fichiers que les gens peuvent voir. Ces commandes peuvent également être ajoutées au .htaccess et vous permettent d’empêcher toute personne âgée d’accéder aux fichiers privés de votre serveur. Vous pouvez généralement y parvenir en bloquant l’accès aux listes de répertoires. Les visiteurs du site n’ont pas besoin de voir une liste de tous les fichiers sur notre site, donc le blocage de l’accès empêchera les utilisateurs malveillants de lancer une attaque en utilisant ces informations.
Étape 4 : ignorer l’administrateur
Une autre chose que vous devez absolument faire lors de la configuration de votre site WordPress de commerce électronique est de vous assurer que votre nom d’utilisateur et votre mot de passe sont composés d’une combinaison de lettres, de chiffres et de caractères. Vous ne devez jamais conserver votre nom d’utilisateur comme « admin » par défaut. C’est ce que les pirates « devinent » comme le nom d’utilisateur le plus souvent lors de la mise en place d’attaques par force brute (voir ci-dessous). Et vous ne voulez certainement pas rendre la vie des pirates plus facile. Alors fais ton nom d’utilisateur et mot de passe compliqué.
Vous pouvez également souhaiter installer une authentification en deux étapes sur votre site. Quelque chose comme Clé à deux facteurs pourrait faire l’affaire.
Étape 5 : Limiter les tentatives de connexion
Comme je l’ai mentionné ci-dessus, les gens peuvent accéder à votre site par le biais d’attaques par force brute. Ces attaques sont menées par des scripts automatisés qui tentent à plusieurs reprises de se connecter à votre site encore et encore. Étant donné que les scripts s’exécutent des milliers de fois, il y a de bonnes chances qu’ils finissent par réussir.
C’est-à-dire, à moins que vous ne mettiez en place une mesure de sécurité intégrée. L’une de ces sécurités est un limiteur de connexion. Un limiteur de connexion est un outil qui empêche des adresses IP ou des noms d’utilisateur spécifiques de se connecter un certain nombre de fois dans un laps de temps spécifié. Une limite typique de 10 fois en quelques minutes entraînera un délai d’attente d’une heure pour cet utilisateur ou cette adresse IP. Les attaquants par force brute ne sont pas efficaces lorsqu’ils sont confrontés à un limiteur de connexion, car ils ne peuvent pas effectuer les milliers ou les millions de tentatives de connexion nécessaires pour réussir. Ils quitteront souvent votre site à ce moment-là et chercheront un territoire plus facile.
Il existe de nombreux plugins de limitation de connexion disponibles, mais laissez-moi vous en citer quelques-uns que j’aime personnellement. D’abord, il y a Sécurité des iThèmes, qui est un plugin robuste conçu pour protéger votre site contre une grande variété d’attaques. En fait, in comprend plus de 30 façons de prévenir les attaques de sites, y compris les tactiques d’obscurité, la limitation de connexion, la détection de bots, etc.
Et puis il y a Limiter les tentatives de connexion, qui empêche les attaques par force brute en vous permettant de limiter le nombre de fois qu’une personne peut tenter de se connecter. Il est également entièrement personnalisable et fournit une journalisation facultative et des notifications par e-mail lorsque des verrouillages de site se produisent.
Il existe d’autres options, bien sûr, mais ce ne sont que deux que j’ai trouvées fiables.
Quel que soit le type de site que vous exploitez, il est important de garder à l’esprit la sécurité. Mais c’est encore plus important pour ceux qui gèrent des sites de commerce électronique. Lorsque vous êtes responsable des informations d’autres personnes, il est essentiel que vous fassiez tout ce qui est en votre pouvoir pour les protéger. Cela peut signifier utiliser une plate-forme de commerce électronique prête à l’emploi ou opter pour le traitement de toutes les transactions hors site via un service sécurisé. Ou, cela peut nécessiter d’entrer manuellement dans les fichiers de votre site WordPress et d’ajouter du code pour le protéger des attaquants malveillants. Et lorsque vous vous assurez que votre nom d’utilisateur et votre mot de passe sont à la hauteur ne suffit pas, vous pouvez même limiter les tentatives de connexion pour empêcher les attaques par force brute.
Toutes ces méthodes, lorsqu’elles sont utilisées conjointement, peuvent aider à renforcer la sécurité de votre site et à offrir une expérience d’achat plus sûre à vos clients. C’est un peu le but, tu ne penses pas ?
Maintenant à vous. Quelles méthodes utilisez-vous pour améliorer la sécurité du site WordPress pour les boutiques en ligne ? Quels outils ou plugins sont indispensables pour vous ? J’aimerais tout savoir dans les commentaires !
