La sécurité d’un site WordPress est extrêmement importante et doit être prise au sérieux si vous ne voulez pas perdre votre site et l’ensemble du travail que vous avez fourni pour le construire. Dans le cas d’une boutique en ligne, la sécurité est encore plus essentielle puisque vous traitez non seulement les données personnelles de vos client.e.s, mais aussi et surtout leurs données financières. Dans cet article, nous allons voir comment sécuriser WooCommerce.
Certains des liens figurant dans cet article sont des « liens affiliés ». Cela signifie que si vous cliquez sur le lien et réalisez un achat, je recevrai une commission d’affiliation, sans frais supplémentaires pour vous. Si c’est le cas, merci de soutenir ce blog !
1. Qu’est-ce que la sécurité WooCommerce
La sécurité d’une boutique en ligne WooCommerce ne diffère pas beaucoup de la sécurité d’un site WordPress. Néanmoins, les transactions financières qui sont traitées sur un e-commerce doivent faire l’objet d’une sécurité avancée. En effet, les informations bancaires de vos client.e.s, mais aussi leurs données personnelles devront être protégées des piratages. Il faudra donc sécuriser WooCommerce en mettant en place les bonnes pratiques spécifiques à la sécurité d’un e-commerce.
2. Pourquoi sécuriser WooCommerce
Le traitement de transactions financières fait d’un site WooCommerce une cible plus alléchante qu’un site vitrine, par exemple. Un piratage peut être synonyme de vol de données bancaires et par conséquent de vol d’argent à vos client.e.s. Si le site n’était pas sécurisé correctement, vous serez en partie responsable du vol, au moins par négligence.
Par ailleurs, vous perdrez aussi toute la confiance de vos utilisateurs et utilisatrices, notamment parce que lors d’un piratage, de nombreuses données peuvent être interceptées, et pas uniquement celles de quelques clients. Il est donc essentiel de sécuriser WooCommerce au maximum et de faire un état des lieux de la situation au moins tous les mois.
3. Comment sécuriser WooCommerce
Sécuriser WooCommerce requiert certaines étapes similaires à la protection d’un site WordPress normal. Cependant, il faut considérer le fait que la plupart de vos client.e.s vont créer un compte et devront pouvoir se connecter à votre boutique facilement. Ceci constitue une vulnérabilité supplémentaire par rapport à un site ordinaire puisque vous ne pouvez pas contrôler la sécurité de chaque compte individuellement. Voyons comment procéder pour limiter les risques.
3.1 Utiliser un hébergement fiable
Pour commencer, il faudra utiliser un hébergeur fiable et sécurisé. En effet, une grande partie des piratages constatés sont dus à des mauvaises configurations ou des logiciels obsolètes utilisés par un serveur. Ceci relève de la responsabilité de votre hébergeur.
Par conséquent, il est crucial de choisir une entreprise qui offre des services de qualité dès la mise en ligne de votre boutique. Les hébergeurs que je recommande sont Kinsta et Cloudways. Tous deux vous permettront de gérer votre boutique sans risque de sécurité et avec des options d’optimisation idéales pour un e-commerce.
3.2 Installer un certificat SSL
L’utilisation d’un certificat SSL et du protocole https est absolument obligatoire pour sécuriser WooCommerce. Si vous faites l’impasse sur cette étape, vous ne pourrez tout simplement pas installer de système de paiement.
L’immense majorité des portails qui traitent vos transactions nécessitent l’utilisation de https et ne permettront pas à vos client.e.s d’effectuer des paiements sans ce protocole. Dès lors, je vous recommande de l’installer dès la mise en ligne du site et de vous assurer que le certificat SSL couvre les sites e-commerce.
3.3 Utiliser une extension de sécurité
Ensuite, il est indispensable d’utiliser une extension de sécurité. Celle-ci vous permettra de bloquer certaines attaques connues, de vérifier que votre site ne contient pas de code malveillant et de renforcer la sécurité des connexions, notamment en limitant le nombre de tentatives de connexion avec un mot de passe ou un nom d’utilisateur erroné. Selon moi, la meilleure extension dans ce domaine est Wordfence.
3.4 Forcer l’utilisation de mots de passe difficiles
Une bonne extension de sécurité permet aussi de sécuriser WooCommerce en forçant l’utilisation de mots de passe difficiles pour les client.e.s qui créent un compte. Le plus souvent, nous utilisons des mots de passe faciles à retenir que nous employons sur plusieurs sites. Un pirate pourrait alors tenter de se connecter au compte d’un de vos clients en utilisant son adresse email et un mot de passe simple. Plus les mots de passe utilisés sont longs, complexes et uniques, plus il sera difficile de réussir ce type de piratage.
3.5 Forcer la double authentification pour les administrateurs
Un autre point important pour sécuriser WooCommerce sera de forcer la double authentification des comptes administrateurs. Ceux-ci sont les plus sensibles sur n’importe quel site WordPress puisqu’ils donnent accès à l’ensemble des paramètres du site, y compris les données des utilisateurs et utilisatrices. Forcer la double authentification donne une protection supplémentaire à ces comptes, en particulier s’ils utilisent des mots de passe qui ne sont pas suffisamment complexes.
Par ailleurs, je vous recommande également de rendre la double authentification optionnelle pour vos client.e.s afin qu’ils puissent l’utiliser s’ils le souhaitent. Vous pouvez aussi leur suggérer de l’activer si vous constatez qu’un nombre trop faible de personnes le fait spontanément. Wordfence offre l’option d’activer la double authentification (forcée ou optionnelle) pour tous les comptes.
3.6 Effectuer des mises à jour régulières
L’une des bonnes pratiques de sécurité sur WordPress et qui a encore plus d’importance pour sécuriser WooCommerce est de mettre vos extensions, votre thème et le cœur de WordPress à jour régulièrement.
L’extension WooCommerce suit un calendrier de mises à jour très régulier chaque second mardi du mois. Cette page permet de se tenir au courant des mises à jour et de ce qu’elles contiennent. Vous pouvez aussi vous inscrire sur la liste email pour recevoir les notifications.
Il arrive que ces mises à jour contiennent des corrections de sécurité et il faudra donc planifier d’effectuer cette maintenance au moins une fois par mois, voire toutes les deux semaines.
3.7 Faire des sauvegardes automatiques
Avant d’effectuer des mises à jour, vous devrez impérativement faire une sauvegarde de votre site au cas où quelque chose ne fonctionne pas après la mise à jour. Par ailleurs, pour sécuriser WooCommerce, vous devrez aussi mettre en place un système de sauvegarde automatique efficace. Pour ce faire, je vous conseille d’utiliser l’extension UpdraftPlus et de conserver vos fichiers de sauvegarde dans deux endroits séparés, par exemple sur votre serveur et sur un stockage distant.
4. Conclusion
Sécuriser WooCommerce est essentiel pour gagner et garder la confiance de vos client.e.s, mais aussi et surtout pour ne pas mettre en péril leurs données personnelles et financières. En cas de piratage, vous pourriez être responsable si vous n’avez pas mis en place toutes les bonnes pratiques de sécurité. Celles-ci ne prendront pas beaucoup de temps et elles vous éviteront des ennuis parfois irréversibles.
Sauvegarde WordPress : extension, FTP et restauration
Sécuriser son site WordPress avec HTTPS
Protéger son site WordPress contre les attaques en 2024