Les sites WooCommerce ont certainement des besoins uniques en termes de sécurité Web, et à mesure que le commerce électronique augmente dans le monde, le risque de fraude et de failles de sécurité augmente également.

La sécurité en ligne est vraiment une exigence de base, tout comme la cote d'inspection sanitaire d'un restaurant, et tout problème qui survient dans votre boutique en ligne peut saper la confiance de votre visiteur Web.

Bien qu'il n'y ait pas de garantie à 100 % en matière de sécurité, vous pouvez protéger vos visiteurs et votre entreprise en mettant en œuvre ces protocoles clés.

1. Mise en œuvre de mesures de sécurité au niveau du serveur

Commencez avec un excellent hébergement

En matière de sécurité de site Web, votre serveur d'hébergement est la première ligne de défense. Même si vous disposez des meilleurs plugins et mesures de sécurité sur votre site WordPress, une faille au niveau de l'hébergement rendra ces outils inutiles.

Lors de l'évaluation des options d'hébergement, considérez qu'un environnement plus dédié signifie qu'il y a moins de risque qu'un autre site sur le serveur compromette le vôtre. Soyez très prudent en plaçant un site WooCommerce sur un budget, un environnement d'hébergement partagé avec une sécurité minimale.

Recherchez des options d'hébergement WordPress de qualité où il existe des mesures de sécurité au niveau du serveur, telles que des protections et des limitations en écriture sur disque. Protection en écriture du disque signifie que le serveur d'hébergement limite les processus qui peuvent écrire sur le disque, ce qui rend plus difficile pour un pirate d'exploiter une vulnérabilité de thème ou de plug-in. D'une manière similaire, limitations d'écriture sur disque signifie que toutes les tentatives d'écriture sur le disque sont consignées, ce qui peut aider à repérer les activités malveillantes.

Alors qu'un Certificat SSL est maintenant une bonne pratique pour tous les sites, c'est une exigence pour les sites WooCommerce pour les normes de sécurité PCI. Assurez-vous donc de configurer (et de renouveler) votre certificat SSL avec l'hébergeur.

Enfin, votre serveur d'hébergement et votre site Web doivent être régulièrement mis à jour avec la dernière version de PHP. Les anciennes versions de PHP présentent souvent des failles de sécurité qui ne sont plus corrigées. Tout comme vous mettez à niveau WordPress et vos plugins, votre site Web et votre serveur doivent exécuter le dernier PHP tant pour la sécurité que pour les performances. WordPress a commencé à encourager les propriétaires de sites Web à se tenir au courant de ces mises à jour en notant les versions obsolètes de PHP dans le Vérification de la santé du site WordPress.

2. Rester au courant des mises à jour des plugins et de la sécurité

Mettre à jour les plugins et les thèmes

Effectuer des mises à jour régulières des plugins et rester au courant des versions principales de WordPress est l'une des étapes de sécurité les plus importantes. Une source courante d'infection pour les sites piratés est une vulnérabilité dans un plugin ou un thème obsolète. En 2019, Sucuri a rapporté que 56% des sites piratés étaient périmés au moment de l'infection.

Pour les sites WooCommerce, il est essentiel de rester au fait des dernières mises à jour de WooCommerce, car celles-ci incluent souvent des correctifs de sécurité et des correctifs de maintenance. Par exemple, le Mise à jour WooCommerce 4.6.2 a été publié en novembre 2020 et comprenait un correctif pour un bogue qui permettait aux utilisateurs anonymes de créer un compte lors du paiement même si ce paramètre était désactivé dans le tableau de bord. WooCommerce a encouragé les propriétaires de sites à mettre en œuvre cette mise à jour immédiatement. Retarder ces types de mises à jour peut exposer votre site de commerce électronique à de tels risques de sécurité.

Certains propriétaires de sites peuvent reporter la mise à jour des plugins de peur que ces mises à jour ne provoquent des pannes sur le site ou n'entraînent un Problème de maintenance de WooCommerce. Pour cette raison, il est recommandé d'effectuer toutes les mises à jour des plug-ins dans une zone de préparation ou un environnement de production avant de les implémenter sur votre site en ligne.

Même si vous maintenez activement vos plugins, il est possible que l'un de ces plugins installés soit abandonné par son développeur. WordPress supprime activement ces types de plugins du référentiel car ils peuvent présenter un risque pour la sécurité et les performances.

Cependant, avec plus de 50 000 plugins disponibles dans le référentiel WordPress et de nombreuses extensions WooCommerce, il peut être difficile d'attraper ces suppressions. Le plugin WordFence gratuit ou payant peut être une excellente ressource et une fois installé, WordFence enverra des notifications si des plugins installés sur votre site ont été supprimés et présentent un risque pour la sécurité.

3. Configurer la surveillance de la sécurité

Meilleurs plugins de sécurité WordPress

Même si le niveau de sécurité de l'hébergement et la maintenance régulière réduiront les opportunités pour les pirates, cela ne couvrira toujours pas toutes les bases. Malheureusement, de nouvelles menaces se profilent constamment à l'horizon, dont certaines sont des attaques automatisées sur les sites WordPress et WooCommerce. Il est impossible de les bloquer 24h/24 et 7j/7 par vous-même. Grâce aux outils de surveillance de la sécurité, vous n'aurez pas à le faire.

Pensez à mettre en place Surveillance de la sécurité 24h/24 et 7j/7 sur votre site WooCommerce pour détecter tout logiciel malveillant ou violation du site. La version gratuite et la version premium du Plug-in WordFenceComment et SucuriLes services payants de sont des choix populaires pour les sites WordPress. Ces solutions offrent un scanner de logiciels malveillants et alerteront votre équipe de toute activité suspecte. Les services payants peuvent également inclure une suppression automatique des logiciels malveillants, ce qui peut aider à nettoyer rapidement le site après tout problème de sécurité.

Comme autre pratique de sécurité, il est préférable de minimiser le nombre de comptes administrateur WordPress. Passez en revue les comptes tous les quelques mois et supprimez activement tous les anciens employés ou anciens fournisseurs qui ne devraient plus avoir accès au site.

Pour un site de commerce électronique où tout temps d'arrêt peut avoir un impact sur les ventes, vous pouvez également envisager une sécurité supplémentaire avec un pare-feu d'applications Web (WAF) grâce à des services tels que Nuageux ou Sucuri. Cela peut protéger le site contre le trafic de robots malveillants ou une attaque DDoS, qui vise à arrêter votre serveur ou votre site Web en l'inondant de mauvaises requêtes.

4. Conformité PCI-DSS et mesures anti-fraude

Conformité PCI-DSS et mesures anti-fraude

Alors que les protocoles de sécurité précédents peuvent également être mis en œuvre sur les sites d'information, cette mesure est spécifiquement applicable aux sites de commerce électronique.

Chaque site Web qui traite des transactions par carte de crédit doit respecter PCI-DSS – Norme de sécurité des données de l'industrie des cartes de paiement. Ces normes mondiales ont été établies pour aider à réduire la fraude par carte de crédit.

L'un des meilleurs moyens de se conformer à ces exigences est d'utiliser une passerelle de paiement sécurisée. Stripe, PayPal et Authorize.Net sont toutes des options populaires. WooCommerce prend également en charge ces normes en ne stockant jamais les détails de la carte de crédit sur le site. Si vous configurez votre propre site de commerce électronique, assurez-vous de ne jamais configurer un formulaire de base qui stocke les informations de carte de crédit sur le site. Au lieu de cela, utiliser l'un des meilleurs plugins de passerelle WooCommerce est le choix le plus sûr.

Malheureusement, même si vous respectez ces normes et utilisez une passerelle de paiement sécurisée, votre boutique en ligne peut être affectée négativement par la fraude du commerce électronique. Il est assez courant de voir des utilisateurs tester des comptes de carte de crédit volés sur un site de commerce électronique. le Anti-fraude WooCommerce est une excellente ressource pour détecter les transactions frauduleuses. Le plugin étiquette chaque transaction avec un score de risque et il peut être configuré pour annuler ou suspendre automatiquement les transactions suspectes.

Enfin, il est important de protéger votre site contre les robots automatisés qui pourraient créer de faux comptes et des commandes d'invités sur le site. La meilleure défense consiste à configurer Google recaptcha sur tous les formulaires de paiement WooCommerce en utilisant le Recaptcha pour l'extension WooCommerce.

5. Effectuer des sauvegardes quotidiennes de la base de données

Comment sauvegarder une boutique WooCommerce

Ce dernier protocole de sécurité est votre filet de sécurité. Alors que toutes les étapes précédentes vous aideront à éviter les failles de sécurité, si le pire des cas se produit et que votre site est piraté, avoir une sauvegarde de votre site WordPress et de votre base de données est une bouée de sauvetage.

Lorsqu'un site est piraté, vous passez généralement par un processus de nettoyage et supprimez tous les logiciels malveillants et les fichiers infectés. Malheureusement, il existe des cas où un site est tellement piraté que des informations et des fichiers critiques sont perdus au cours du processus. Dans ce scénario, avoir une sauvegarde propre du site est vital et signifie que vous n'avez pas à reconstruire l'intégralité du site.

Il existe des environnements d'hébergement qui offrent une sauvegarde quotidienne automatique du site au niveau du serveur. Si vous n'avez pas cette option, vous pouvez également utiliser un plugin WordPress pour effectuer des sauvegardes automatiques du site sur une base quotidienne ou hebdomadaire. Ou suivez ce guide sur la façon de sauvegarder WooCommerce pour vous assurer que votre site de commerce électronique est sûr.

En fonction de votre solution, regardez les paramètres en termes de durée de stockage des fichiers. Ces fichiers de sauvegarde sont généralement assez volumineux. Si les sauvegardes sont stockées au niveau du site ou du serveur, cela peut augmenter la taille de la base de données de votre site, entraînant des coûts d'hébergement plus élevés. Une façon d'atténuer cela consiste à configurer des points de contrôle et à s'assurer que les anciennes sauvegardes ne sont stockées que pendant une certaine période de temps.

Soyez prudent lorsque vous restaurez automatiquement une sauvegarde pour les sites WooCommerce, car cela écrasera toutes les transactions entrées depuis la sauvegarde. Une équipe de développement Web qualifiée peut s'assurer d'utiliser correctement les fichiers si vous rencontrez un problème de sécurité.