Lors de la configuration d'un site de commerce électronique sur WordPress, la sécurité doit être votre priorité numéro un. Chaque fois que vous avez affaire à des informations personnelles ou à des données financières, vous devez redoubler de prudence. Ne pas montrer que vous êtes un fournisseur digne de confiance via des logos de sécurité reconnaissables et cela pourrait vous faire perdre des clients. Mais ne pas tenir compte de la sécurité pourrait entraîner un résultat bien pire : vol et perte de données.

C'est le pire cauchemar du propriétaire d'un site e-commerce. Heureusement, vous n'avez pas à laisser cela vous arriver. Ici, je vais discuter de certains des problèmes de sécurité les plus courants auxquels sont confrontés les sites de commerce électronique basés sur WordPress et vous expliquer les étapes à suivre pour combler ces failles de sécurité une fois pour toutes.

Étape 1 : SSL

Lorsque vous travaillez dans l'espace de commerce électronique, SSL est une chose sur laquelle vous ne pouvez absolument pas faire de compromis. C'est Secure Sockets Layer pour les non-initiés et protège les informations sensibles (les vôtres et celles de vos clients) pendant leur transmission pour traitement. Un bon moyen de garantir la sécurité des paiements sur votre site consiste à utiliser un système populaire comme PayPal. Cela permet de garder toutes les informations financières hors de votre site et entre les mains d'une entreprise spécialisée dans la protection de transactions comme celle-ci.

Bien qu'un SSL générique puisse être coûteux, bon nombre des meilleures options d'hébergement WordPress offrent un SSL gratuit via Let's Encrypt. C'est simple, rapide et totalement gratuit.

Étape 2 : Utiliser une plateforme prête à l'emploi

Une façon de renforcer la sécurité du site consiste à utiliser une plate-forme de commerce électronique prête à l'emploi. Cela élimine les conjectures quant à ce que vous devriez et ne devriez pas inclure et facilite grandement le démarrage. Il existe plusieurs plates-formes telles que WooCommerce, Shopify et autres. Alors, faites vos recherches pour trouver une plateforme de commerce électronique qui répondra de manière appropriée à vos besoins.

Si vous décidez d'utiliser simplement un thème WordPress à la place, il est préférable de n'utiliser que ceux que vous trouvez dans le répertoire WordPress ou sur des sites Web thématiques réputés. Les thèmes de mauvaise qualité manquent souvent des mesures de sécurité appropriées, ce qui met votre site et les informations de vos clients en danger.

Étape 3 : Modifier .htaccess

code

Une autre façon de remédier aux problèmes de sécurité potentiels de WordPress consiste à modifier le fichier .htaccess. De nombreuses attaques de sites sont effectuées sur la base de données qui prend en charge la plate-forme. Si la base de données est attaquée, elle ne pourra pas exécuter les scripts PHP qui font fonctionner votre site.

L'injection SQL est un moyen pour les pirates d'infiltrer votre site. Pour ce faire, ils placent leurs propres commandes dans une URL de votre base de données. Ces commandes peuvent forcer la base de données à afficher des informations sur votre site, y compris des informations de connexion. Des variations de cette méthode de piratage peuvent entraîner l'exécution de scripts PHP spécifiques qui installent des logiciels malveillants sur votre site. Fondamentalement, tout cela est une mauvaise nouvelle pour quelqu'un qui essaie de gérer un site sécurisé que ses clients peuvent utiliser en toute confiance.

Heureusement, vous pouvez y remédier en modifiant le fichier .htaccess dans les fichiers de votre site WordPress. Il existe une excellente collection d'extraits de code .htaccess que vous pouvez placer dans le fichier pour renforcer la sécurité du site. Une fois ces règles en place, vous pouvez empêcher certaines personnes d'accéder à votre site, y compris des adresses IP spécifiques ainsi que des demandes d'URL spécifiques.

Vous pouvez également limiter les fichiers que les utilisateurs peuvent voir. Ces commandes peuvent également être ajoutées à .htaccess et vous permettent d'empêcher toute personne âgée d'accéder aux fichiers privés de votre serveur. Vous pouvez généralement y parvenir en bloquant l'accès aux listes de répertoires. Les visiteurs du site n'ont pas besoin de voir une liste de tous les fichiers sur notre site, donc le blocage de l'accès empêchera les utilisateurs malveillants de monter une attaque en utilisant ces informations.

Étape 4 : Passer l'administrateur

Une autre chose que vous voulez absolument faire lors de la configuration de votre site WordPress de commerce électronique est de vous assurer que votre nom d'utilisateur et votre mot de passe sont composés d'une combinaison de lettres, de chiffres et de caractères. Vous ne devez jamais conserver votre nom d'utilisateur comme “administrateur” par défaut. C'est ce que les pirates « devinent » comme nom d'utilisateur le plus souvent lorsqu'ils lancent des attaques par force brute (voir ci-dessous). Et vous ne voulez certainement pas faciliter la vie des pirates. Alors faites votre nom d'utilisateur et mot de passe compliqué.

Le plug-in Keyy

Vous pouvez également installer une authentification en deux étapes sur votre site. Quelque chose comme Clé à deux facteurs pourrait faire l'affaire.

Étape 5 : Limiter les tentatives de connexion

Comme je l'ai mentionné ci-dessus, les gens peuvent accéder à votre site par le biais d'attaques par force brute. Ces attaques sont menées par des scripts automatisés qui tentent à plusieurs reprises de se connecter à votre site encore et encore. Étant donné que les scripts s'exécutent des milliers de fois, il y a de bonnes chances qu'ils finissent par réussir.

Autrement dit, à moins que vous ne mettiez en place une mesure de sécurité intégrée. L'une de ces sécurités est un limiteur de connexion. Un limiteur de connexion est un outil qui empêche des adresses IP ou des noms d'utilisateur spécifiques de se connecter plus d'un certain nombre de fois dans un laps de temps spécifié. Une limite typique de 10 fois en quelques minutes entraînera un délai d'attente d'une heure pour cet utilisateur ou cette adresse IP. Les attaquants par force brute ne sont pas efficaces face à un limiteur de connexion car ils ne peuvent pas effectuer les milliers ou les millions de tentatives de connexion nécessaires pour réussir. Ils quitteront alors souvent votre site et chercheront un territoire plus facile.

Sécurité iThèmes

Il existe de nombreux plugins de limitation de connexion disponibles, mais laissez-moi vous en dire quelques-uns que j'aime personnellement. D'abord, il y a Sécurité iThèmes, qui est un plug-in robuste conçu pour protéger votre site contre une grande variété d'attaques. En fait, il comprend plus de 30 façons de prévenir les attaques de site, y compris les tactiques d'obscurité, la limitation des connexions, la détection des bots, etc.

Et puis il y a Limiter les tentatives de connexion, qui empêche les attaques par force brute en vous permettant de limiter le nombre de fois qu'une personne peut tenter de se connecter. Il est également entièrement personnalisable et fournit une journalisation facultative et des notifications par e-mail lorsque des verrouillages de site se produisent.

Il existe d'autres options, bien sûr, mais ce ne sont que deux que j'ai trouvées fiables.


Quel que soit le type de site que vous exploitez, il est important de garder la sécurité à l'esprit. Mais c'est encore plus important pour ceux qui exploitent des sites de commerce électronique. Lorsque vous êtes responsable des informations d'autres personnes, il est essentiel que vous fassiez tout ce qui est en votre pouvoir pour les protéger. Cela peut signifier utiliser une plate-forme de commerce électronique prête à l'emploi ou opter pour que toutes les transactions soient traitées hors site via un service sécurisé. Ou, cela peut nécessiter d'accéder manuellement aux fichiers de votre site WordPress et d'ajouter du code pour le protéger des attaquants malveillants. Et lorsque vous assurer que votre nom d'utilisateur et votre mot de passe sont à jour ne suffit pas, vous pouvez même limiter les tentatives de connexion pour empêcher les attaques par force brute.

Toutes ces méthodes, lorsqu'elles sont utilisées conjointement, peuvent aider à renforcer la sécurité de votre site et à offrir une expérience d'achat plus sûre à vos clients. C'est un peu le but, vous ne pensez pas ?

Maintenant à vous. Quelles méthodes utilisez-vous pour améliorer la sécurité du site WordPress pour les boutiques en ligne ? Quels outils ou plugins sont indispensables pour vous ? J'aimerais entendre tout cela dans les commentaires!

Laisser un commentaire