La sécurité est une préoccupation majeure pour toute boutique d’e-commerce. Après tout, vous ne devez pas seulement protéger votre contenu, mais aussi les informations des clients et les données de commande.
Si vous envisagez de démarrer une boutique en ligne, ou si elle fait déjà partie de vos revenus, il est temps de vous assurer que vous avez pleinement sécurisé votre entreprise.
Pourquoi les boutiques en ligne nécessitent une sécurité renforcée
Lorsque vous vendez en ligne, vous traitez de nombreuses informations sensibles : noms personnels, numéros de carte de crédit, adresses, etc. Une boutique active collecte en permanence de nouvelles informations, vous avez donc un ensemble de données en constante augmentation dont vous êtes responsable.
Assurer une sécurité de premier ordre à votre site vous permet de :
- Protéger les informations personnelles de vos clients contre les pirates et les attaquants, permettant aux clients de faire leurs achats en toute confiance ;
- Protéger votre flux de revenus contre les interruptions et les ventes perdues ;
- Conserver toutes les données de vente minute par minute à des fins fiscales et légales ;
- Maintenir votre marque et votre réputation d’entreprise dignes de confiance ; et
- Éviter les coûts liés à la reconstruction de votre entreprise après un piratage, tels que les ventes perdues en raison de temps d’arrêt, les remboursements causés par des commandes non honorées et les coûts de réparation du site Web.
Comment détecter un piratage
Un piratage peut prendre de nombreuses formes et vous pourriez ne pas vous rendre compte immédiatement que votre site a été compromis.
Pour détecter un piratage, recherchez :
- De nouveaux comptes administrateur que vous n’avez pas créés.
- Des liens de spam vers des logiciels malveillants dans les commentaires, les descriptions de produits ou les avis.
- Des boîtes d’alerte inhabituelles ou des liens redirigeant vers des sites tiers.
- Des alertes de Google indiquant que votre boutique a été signalée.
- Des e-mails clients étranges, inattendus ou manquants.
- Des temps de chargement très lents ou des erreurs de délai d’attente.
La plupart des propriétaires d’entreprise sont trop occupés à gérer les stocks, le marketing ou l’exécution des commandes pour surveiller constamment les problèmes ou les piratages sur leur site. C’est pourquoi la première chose que vous devriez ajouter est la surveillance des temps d’arrêt, qui vérifie automatiquement que votre site est opérationnel et vous alerte en cas de problème. Cela vous permet d’agir immédiatement pour réparer et restaurer votre boutique en ligne.
Vous pouvez également bénéficier de Jetpack Scan, qui est une extension de surveillance de logiciels malveillants de premier plan qui analyse automatiquement votre boutique pour détecter les piratages sans que vous ayez à vous en soucier ! Vous recevez une alerte si elle trouve quelque chose d’anormal, et vous pouvez même résoudre la majorité des menaces connues en un seul clic.
Sécurité WooCommerce : liste de contrôle en 15 étapes pour sécuriser votre boutique
Il est toujours préférable d’empêcher les piratages avant qu’ils ne se produisent. Si vous pouvez répondre « oui » aux questions suivantes, vous êtes sur la bonne voie !
1. Hébergez-vous votre site chez un fournisseur sécurisé et réputé ?
Votre hébergeur est la première ligne de défense contre les attaques. S’ils n’ont pas de mesures de sécurité adéquates en place, vos fichiers et votre base de données pourraient être vulnérables, même si vous faites tout le reste correctement.
Lors du choix d’un hébergeur, recherchez-en un qui propose :
- Un pare-feu intégré. Un pare-feu contrôle qui peut accéder à votre serveur et qui ne le peut pas, en éloignant les pirates et les robots de vos fichiers de site Web.
- Des analyses de sécurité. De nombreux hébergeurs scannent régulièrement tous les sites de leur serveur et vous préviennent s’ils remarquent quelque chose de suspect, comme des logiciels malveillants. Certains fournisseurs corrigent même ces problèmes pour vous, souvent moyennant des frais supplémentaires.
- Des sauvegardes. Bien que vous deviez également effectuer vos propres sauvegardes (nous y reviendrons plus tard), il est bon d’avoir plusieurs copies de votre site. De nombreuses sociétés d’hébergement incluent des sauvegardes dans leurs plans, tandis que d’autres les proposent moyennant une mise à niveau payante.
- Une excellente équipe d’assistance. Si vous rencontrez un problème, vous souhaitez que des experts soient disponibles pour vous aider à définir les prochaines étapes. Assurez-vous que votre hébergeur dispose d’une excellente équipe d’assistance joignable par le moyen le plus pratique pour vous (chat en direct, téléphone, etc.)
- Une bonne réputation. Consultez les avis des vrais clients et renseignez-vous sur leurs expériences. C’est le moyen le plus sûr d’en savoir plus sur un fournisseur d’hébergement.
Vous ne savez pas par où commencer ? WooCommerce a dressé une liste de fournisseurs d’hébergement recommandés qui ont tous été soigneusement vérifiés.
2. Avez-vous un certificat SSL ?
Un certificat SSL (Secure Socket Layer) chiffre les informations envoyées de vos clients vers votre site Web et authentifie l’identité de votre site. Cela constitue une protection essentielle pour des informations telles que les données de carte de crédit et les adresses. Google en tient également compte lors de la détermination du classement dans les moteurs de recherche.
La plupart des hébergeurs proposent des certificats SSL gratuitement, bien que certains facturent des frais relativement minimes.
3. Utilisez-vous des versions sécurisées et sûres de thèmes et d’extensions ?
Les extensions et les thèmes nulled sont des versions piratées d’extensions et de thèmes premium et sont proposés gratuitement ou à un prix réduit. Non seulement ils ne sont pas pris en charge, mais ils ne sont pas non plus mis à jour, ils peuvent donc entrer en conflit avec WordPress ou d’autres extensions. De plus, ils sont généralement remplis de logiciels malveillants qui peuvent compromettre votre site et les données des clients.
Téléchargez toujours des extensions et des thèmes à partir de sources fiables, comme le répertoire WordPress ou le marché WooCommerce.
4. Tout est-il à jour sur votre site WordPress ?
Les mises à jour de WordPress, des thèmes et des extensions ne comprennent pas toujours de nouvelles fonctionnalités ; elles corrigent souvent des bugs et des vulnérabilités que les pirates peuvent exploiter. Effectuez toujours les mises à jour lorsqu’elles sont disponibles pour sécuriser votre site WordPress et éviter les conflits.
Vous ne voulez pas avoir à suivre les mises à jour ? Jetpack propose une option pour automatiser ce processus.
5. Utilisez-vous la dernière version de PHP ?
La majeure partie du noyau de WordPress est écrite en PHP, un langage de programmation. Vous devriez mettre à jour la version de PHP utilisée par votre site pour la même raison que vous devriez mettre à jour les thèmes et les extensions : pour vous protéger contre les bugs et les vulnérabilités.
Vous pouvez mettre à jour votre version de PHP dans les paramètres de votre hébergeur, ou demander à votre fournisseur d’hébergement de s’en charger pour vous. Consultez les dernières exigences de WordPress.
6. Avez-vous examiné vos autorisations utilisateur ?
Chaque utilisateur WordPress se voit attribuer un rôle d’utilisateur, qui comprend un ensemble d’autorisations leur permettant d’effectuer certaines tâches sur votre site Web. Les administrateurs ont un accès complet à tout et peuvent apporter toutes les modifications qu’ils souhaitent ; en tant que propriétaire de la boutique, c’est votre rôle. Les clients, en revanche, n’ont pas accès à l’arrière-plan de votre site, mais peuvent modifier leurs propres informations de compte et consulter les commandes en cours et précédentes. Consultez notre guide des rôles d’utilisateurs WordPress.
De temps en temps, examinez et nettoyez vos comptes d’utilisateurs. Chaque utilisateur ne doit avoir que les autorisations minimales nécessaires pour effectuer son travail, et si vous ne travaillez plus avec quelqu’un, assurez-vous de supprimer son compte. Par exemple, si vous avez travaillé avec une agence de développement Web pour créer votre site et que le projet est terminé, vous voudrez probablement supprimer leur compte à moins que des mises à jour régulières ne soient nécessaires à l’avenir.
7. Utilisez-vous un nom d’utilisateur et un mot de passe sécurisés ?
Les pirates utilisent souvent des robots pour essayer des milliers de combinaisons différentes de noms d’utilisateur et de mots de passe jusqu’à ce qu’ils trouvent le bon (c’est ce qu’on appelle une attaque par force brute). Plus votre mot de passe est facile à deviner, plus il est probable qu’un pirate puisse accéder à votre boutique.
Un bon mot de passe doit comporter au moins 20 caractères et contenir une lettre majuscule, une lettre minuscule, un chiffre et un symbole, et est d’au moins 20 caractères de long. Assurez-vous que, au minimum, chaque utilisateur administrateur met en place ce type de mot de passe.
En ce qui concerne les noms d’utilisateur, évitez les titres courants comme « Administrateur » ou « Admin ». Créez plutôt un nom d’utilisateur spécifique pour chaque personne.
8. Avez-vous envisagé de changer l’URL de connexion ?
Par défaut, chaque page de connexion WordPress peut être accessible à votre URL /wp-admin. Si vous souhaitez mettre en place des mesures de sécurité supplémentaires, vous voudrez peut-être changer l’URL pour la rendre plus difficile à deviner par les attaquants. Vous pouvez le faire en modifiant votre fichier .htaccess ou, si vous n’êtes pas à l’aise avec la modification du code, en utilisant une extension comme WP Hide Login.
9. Avez-vous activé l’authentification à deux facteurs pour les administrateurs ?
L’authentification à deux facteurs ajoute une couche de sécurité supplémentaire à votre page de connexion. Pour vous connecter, vous devez non seulement connaître quelque chose (un nom d’utilisateur et un mot de passe), mais vous devez également posséder physiquement quelque chose (votre appareil mobile). Cela rend beaucoup moins probable qu’un pirate puisse accéder à votre boutique.
Jetpack facilite l’authentification à deux facteurs. Lorsque vous vous connectez à votre site, vous recevez un code spécial, valable une seule fois, sur votre téléphone, que vous devez saisir pour terminer le processus de connexion. Vous pouvez même exiger que tous les utilisateurs configurent cette fonctionnalité. En savoir plus sur l’authentification à deux facteurs.
10. Bloquez-vous les attaques par force brute ?
Comme nous l’avons mentionné précédemment, les attaques par force brute se produisent lorsque des pirates utilisent des robots pour tester différentes combinaisons de noms d’utilisateur et de mots de passe jusqu’à ce qu’ils trouvent la bonne. Non seulement cela met votre boutique et les données de vos clients en danger, mais cela peut également ralentir votre site. C’est pourquoi il est important de prévenir efficacement les attaques par force brute.
Jetpack bloque automatiquement ces attaques avant qu’elles n’atteignent votre site, vous n’avez donc pas à vous en soucier.
11. Bloquez-vous les visiteurs indésirables avec un pare-feu d’application Web (WAF) ?
Un pare-feu d’application Web (WAF) est fortement recommandé comme première ligne de défense pour les boutiques en ligne. Les WAF analysent tout le trafic entrant et décident d’autoriser ou de bloquer le trafic en fonction de différentes règles. Cela ajoute une couche de protection importante à votre site, en particulier lorsque les attaquants exploitent activement des vulnérabilités non corrigées.
Un bon WAF WordPress doit être régulièrement mis à jour avec de nouvelles règles par des experts en sécurité WordPress, car de nouvelles vulnérabilités sont découvertes. Le pare-feu de Jetpack, inclus dans Jetpack Scan et les formules Jetpack Security & Complete, protège votre site en permanence et est continuellement mis à jour par les meilleurs experts en sécurité WordPress du secteur.
12. Analysez-vous votre site à la recherche de logiciels malveillants ?
Et si quelqu’un accède à votre site et y injecte des logiciels malveillants ? Vous voulez le savoir immédiatement pour pouvoir supprimer ces logiciels malveillants et résoudre le problème le plus rapidement possible. Mais les pirates sont rusés – leur infiltration ne saute pas toujours aux yeux.
Jetpack Scan vous alerte immédiatement en cas d’activité suspecte, et comme l’analyse se déroule sur les serveurs de Jetpack, vous pouvez accéder à votre site même s’il est hors ligne. De plus, Jetpack résout la majorité des menaces connues en un clic.
13. Avez-vous mis en place un filtre anti-spam ?
Les commentaires indésirables ne sont pas seulement ennuyeux, ils donnent également une image non professionnelle et peuvent contenir des liens vers des sites remplis de logiciels malveillants. Mais trier des centaines de commentaires chaque semaine est chronophage et frustrant.
C’est là qu’intervient Jetpack Anti-spam ! Il élimine automatiquement les spams des commentaires et des formulaires, vous n’avez donc même pas besoin de les voir. Vous gagnez du temps, protégez votre site et offrez une meilleure expérience utilisateur en même temps.
14. Surveillez-vous votre site pour détecter les temps d’arrêt ?
Si votre site est hors ligne, cela peut être le signe d’une attaque. Et plus il est hors ligne longtemps, plus vous perdez de ventes. Vous voulez le remettre en ligne le plus rapidement possible !
Jetpack propose une surveillance gratuite des temps d’arrêt qui vérifie votre site depuis des emplacements du monde entier toutes les cinq minutes. Si votre site est hors ligne, vous recevrez une notification instantanée pour que vous puissiez résoudre le problème immédiatement.
15. Avez-vous mis en place des sauvegardes régulières en dehors de votre site ?
Si quelque chose se produit sur votre site, la meilleure protection que vous puissiez avoir est une sauvegarde complète que vous pouvez restaurer rapidement et facilement. Même si votre hébergeur propose des sauvegardes, il est important que vous en fassiez également. Pourquoi ? Parce que si votre serveur est compromis, les sauvegardes stockées là-bas peuvent également être compromises.
Jetpack Backup est la solution idéale pour votre boutique WooCommerce, car tous les plans incluent des sauvegardes en temps réel :
- Sauvegardes en temps réel : une copie de votre site est enregistrée à chaque mise à jour d’une page, publication d’un nouvel article ou réalisation d’une vente. Cela est particulièrement utile pour les boutiques en ligne, car vous ne perdez jamais aucune information de commande.
Jetpack stocke les fichiers de sauvegarde dans plusieurs emplacements, complètement séparés de votre site. Ainsi, même si votre serveur est compromis, vos sauvegardes ne le sont pas. De plus, dans la plupart des cas, vous pouvez restaurer une sauvegarde même si votre site est complètement hors ligne !
Comment récupérer en cas de pire scénario
Si votre boutique en ligne est infectée par des logiciels malveillants et que vous utilisez Jetpack Security, vous recevez une notification pour que vous permettre de résoudre le problème au plus vite. La première étape consiste à consulter votre journal d’activité, où vous pouvez voir une liste complète de tout ce qui s’est passé sur votre site. Vous pouvez utiliser ces informations pour déterminer quand l’attaque s’est produite en recherchant des activités suspectes telles que des connexions inconnues et des pages modifiées.
Ensuite, la méthode la plus rapide pour remettre votre site sur pied est d’utiliser Jetpack Backup. En quelques clics, votre site peut être opérationnel à nouveau, avec un temps d’arrêt minimal. Il vous suffit de sélectionner une sauvegarde antérieure à l’attaque et d’attendre la restauration. C’est tout !
Une fois qu’une version propre de votre boutique est en ligne, utilisez Jetpack Scan pour vous assurer qu’il ne reste aucun logiciel malveillant sur votre site. Jetpack résout la majorité des menaces connues, vous n’aurez donc probablement pas besoin de résoudre des problèmes supplémentaires.
Enfin, prenez le temps de sécuriser votre site en changeant tous les mots de passe et en vérifiant que vos thèmes, extensions et fichiers principaux sont à jour.
Besoin d’aide ? Jetpack Security offre une assistance prioritaire de la part d’une équipe technique expérimentée qui est là pour vous orienter.
Protégez votre boutique WooCommerce
Prendre le temps de sécuriser pleinement votre boutique WooCommerce garantira que vos clients puissent faire leurs achats en toute confiance sans que vous ayez à vous soucier de vos données ou de votre réputation.
Et l’une des meilleures façons de le faire est de combiner Jetpack Security et WooCommerce – ça tombe sous le sens ! Ce sont deux extensions WordPress établies et respectées qui fonctionnent en harmonie pour protéger votre site Web et ajouter des fonctionnalités. Ensemble, ils réduisent le nombre de pièces mobiles et d’extensions externes et vous offrent la tranquillité d’esprit en tant que propriétaire d’entreprise.
Questions fréquemment posées
Est-ce qu’un site WooCommerce peut être piraté ?
Oui, comme n’importe quel site, un magasin WooCommerce peut être piraté. Cependant, WordPress et WooCommerce incluent des fonctionnalités qui vous aideront à protéger votre contenu et les données de vos clients. De plus, lorsque vous mettez en place quelques mesures de sécurité de base, telles que choisir un bon hébergeur, maintenir les choses à jour et installer la meilleure extension de sécurité, vous pouvez être tranquille en sachant que votre site est entre de bonnes mains.
Un certificat SSL est-il nécessaire pour un site WooCommerce ?
Un certificat SSL chiffre les informations (comme les données de carte de crédit et les adresses) qui sont soumises sur votre site, les protégeant ainsi des personnes malveillantes. Si ces informations sont accessibles à un pirate informatique, cela pourrait mettre votre entreprise en danger juridique et nuire à votre réputation. De plus, un certificat SSL ne protège pas seulement vous et vos clients, il est également important pour votre classement dans les moteurs de recherche.
Alors qu’un certificat SSL est recommandé pour n’importe quel site Web, il est encore plus important pour les boutiques en ligne en raison du type de données qu’elles collectent pour traiter les transactions.
Quel certificat SSL est le meilleur pour les sites WooCommerce ?
La plupart des principaux hébergeurs incluent un certificat SSL gratuit dans leurs plans, tandis que d’autres les proposent moyennant des frais supplémentaires. En général, ils sont faciles à installer en quelques clics.
Cependant, si votre hébergeur ne propose pas cela, nous vous recommandons d’utiliser Let’s Encrypt. C’est un service de confiance qui offre des certificats SSL gratuits pour soutenir un Web plus sécurisé. Notez que de nombreux certificats SSL inclus dans les plans d’hébergement proviennent de Let’s Encrypt.
Apprenez-en davantage sur l’installation d’un certificat SSL sur votre boutique WooCommerce.
Comment forcer le protocole HTTPS sur un site WooCommerce ?
Lorsque vous ajoutez avec succès un certificat SSL à votre boutique, cela modifie votre URL de http://exemple.com à https://exemple.com. Le « s » dans « https » signifie SSL.
Lorsque vous forcez le protocole HTTPS sur votre boutique, un visiteur qui tape la version « http » de votre site sera automatiquement redirigé vers la version « https ». Cela garantit que tout est correctement chiffré pour chaque acheteur.
Vous pouvez soit forcer le protocole HTTPS en ajoutant quelques lignes de code à votre fichier .htaccess, soit en utilisant une extension WordPress. Kinsta propose un excellent guide pour cela.
Est-ce que WooCommerce est plus sûr que Shopify ?
Shopify est une plateforme hébergée qui gère la sécurité pour vous. Bien que cela présente des avantages – vous n’avez pas à vous soucier de mettre en place des mesures de sécurité – cela signifie également que vous n’avez pratiquement aucun contrôle sur votre propre protection.
Cela ne signifie pas non plus que Shopify soit plus sécurisé. Les pirates informatiques et les robots ne discriminent pas, après tout. Ils essaient simplement site après site jusqu’à ce qu’ils en trouvent un auquel ils peuvent accéder. Donc, si vous mettez en place des mesures de sécurité appropriées, votre boutique sera tout aussi sécurisée – et, dans de nombreux cas, plus sécurisée – que d’autres sur n’importe quelle plateforme.
Il est également important de noter que WordPress et WooCommerce sont soutenus par une équipe passionnée qui travaille constamment pour maintenir la plateforme sécurisée. C’est pourquoi il est si important de mettre régulièrement votre logiciel à jour.
Ce guide de WooCommerce fournit plus de détails sur la comparaison avec Shopify.
Jetpack par WordPress.com 