À l’approche des saisons du vendredi fou et des Fêtes, il est important de s’assurer que son site transactionnel WooCommerce soit sécuritaire, autant pour vous que pour vos clients. Dans quel sens, vous demandez? Voyons voir.
Pourquoi sécuriser son site WooCommerce
Votre site web transactionnel doit être protégé de la meilleure façon possible, cela va sans dire. Mais pourquoi? Voici les raisons principales:
Sécuriser les informations de vos clients
Naturellement, la raison la plus importante selon moi serait celle-ci. Il est impératif de garder les informations personnelles de vos clients, telles que leur nom, leur adresse, leur courriel et même leur numéro de carte de crédit. Il ne faudrait certainement pas que ces informations tombent entre de mauvaises mains, vos acheteurs vous font confiance de ce côté.
Garder une bonne réputation
Les gens y penseront à deux fois avant de magasiner chez vous s’ils apprennent que votre site a des failles de sécurité. Vous n’aurez certainement plus leur confiance s’ils apprennent que quelqu’un a volé leurs informations à partir de votre site web.
Sécuriser votre dur labeur
Après avoir passé des heures penché sur votre site web, vous ne voudriez surtout pas que tout votre travail soit perdu à cause d’une faille de sécurité. Si votre site Web WooCommerce n’est pas correctement sécurisé et sauvegardé, vous pourriez perdre beaucoup de temps, d’argent et de tranquillité d’esprit après un piratage.
Éviter des problèmes financiers et légaux
Si les informations de vos clients sont compromises, vous pourriez potentiellement faire face à de réels problèmes juridiques et financiers qui pourraient, entre autre, être stressants, longs à résoudre et représenter un lourd fardeaux financier pour votre entreprise.
Optimiser votre position dans les moteurs de recherche
Les moteurs de recherches ne veulent pas envoyer leurs utilisateurs sur des sites web compromis. Vous pourriez donc disparaître des moteurs de recherche après vous être fait pirater ou si vous n’êtes pas capable d’y répondre rapidement.
Comment identifier un piratage
Un piratage peut prendre plusieurs formes, et c’est possible que vous ne vous en rendiez pas compte tout de suite. Vous pouvez vérifier, par contre, ces items régulièrement pour être certain:
- de nouveaux comptes administrateur que vous n’avez pas créés
- des liens louches dans les commentaires, les avis ou les descriptions de produits
- des boites d’alerte qui redirigent les gens sur un autre site web
- des alertes de Google comme quoi votre site web a été signalé
- des courriels de clients qui sont étranges ou inattendus
- des temps de chargement excessivement lents
Par contre, vérifier tout ceci à tout les jours peut prendre du temps que vous pourriez utiliser ailleurs. C’est pourquoi on conseille d’installer une extension de sécurité qui surveille votre site web et qui vous alerte lorsque votre site est en panne, entre autre.
Il y a aussi plusieurs bonne pratiques à mettre en place pour sécuriser votre site WooCommerce.
Comment sécuriser son site WooCommerce
Il y a plusieurs façons de sécuriser son site WooCommerce, toutes aussi importantes les unes que les autres.
Choisir un hébergement sécuritaire
La première étape reste toujours la plus simple. Un bon service d’hébergement de site web reste la base de la sécurité sur le web. Tout votre contenu et vos fichiers sensibles sont stockés chez eux. Il faut donc qu’ils soient capable de repérer les failles de sécurité de leur côté et qu’ils aient un excellent temps de réponse.
Idéalement, il faudrait vous trouver un hébergeur qui comprend très bien la sécurité entourant WordPress et WooCommerce, ou ajouter un service de surveillance à votre hébergement actuel.
Les caractéristiques à rechercher sont:
- les certificats SSL, qui protègent la transmission des informations clients telles que leur adresse et leur numéro de téléphone,
- les sauvegardes, pour récupérer votre site web en cas de pépin,
- un serveur avec un pare-feu, qui prévient les pirates d’accéder à vos fichiers
- Surveillance et prévention des attaques, afin que vous sachiez instantanément si des logiciels malveillants sont détectés dans vos fichiers ou votre base de données
- des logiciels de serveur à jour
- l’habilité d’isoler des fichier malveillants, pour les empêcher de se propager de site en site
Exiger des mots de passe forts et sécuritaires
Bien que la sécurité de votre site web commence chez votre hébergeur, il faut aussi y mettre du sien. Exiger des mots de passe sécuritaires pour tous vos comptes, que ce soit utilisateurs ou administrateurs, est une bonne façon de commencer. Ceci s’applique également pour vos comptes chez votre hébergeur et chez votre fournisseur de nom de domaine.
Un fort mot de passe, ça inclut:
- Naturellement, un mot de passe unique pour chacun de vos comptes
- Créer un mot de passe avec un mélange de lettres minuscules et majuscules, des symboles et des chiffres
- Naturellement, n’utilisez pas des mots que l’on pourrait deviner, des dates de fête ou n’importe quoi de ce genre là
- Le plus long votre mot de passe est, le moins de chance vous avez que les pirates puissent le deviner
Si jamais vous n’êtes pas certain que le mot de passe que vous êtes en train de choisir est sécuritaire, ne vous inquiétez pas. WordPress a un système de création de mot de passe intégré qui génère une série de caractères différents difficile à deviner.
C’est sûr, par contre, que se souvenir de mots de passe compliqués comme ça ce n’est pas facile. On vous conseille d’utiliser des gestionnaires de mots de passe sécuritaire, comme 1Password.
Activer l'authentification à deux facteurs
L’authentification à deux facteurs sert à renforcer la sécurité déjà offerte par le mot de passe. Ce que ça fait c’est que votre site web demandera un code après s’être connecté avec son mot de passe avant de vraiment avoir accès au site web.
Le code est envoyé par message texte, ce qui rend la tâche beaucoup plus difficile pour les pirates d’avoir accès à votre site web.
En théorie, quelqu’un qui réussit à avoir accès à votre compte de courriel serait facilement capable d’avoir accès aux accès que vous utilisez pour vous connecter à votre site web. Par contre, avec l’authentification à deux facteurs, vous avez le contrôle sur chaque tentative de connexion à partir de votre téléphone mobile.
On recommande d’instaurer ce processus à tous les comptes administrateur de votre site web.
Empêcher les attaque par force brute
Les attaques par force brute arrivent quand un pirate essaie des milliers de combinaisons de mots de passe et de nom d’utilisateurs rapidement jusqu’à ce qu’il en trouve une qui fonctionne. En plus d’éventuellement permettre au pirate d’accéder à votre site web, ça peut aussi ralentir le temps de réponse de votre site web ou même en bloquer l’accès complètement à cause du traffic que ça cause sur votre serveur.
Une solution efficace serait d’installer une extension de sécurité, comme iThemes ou JetPack, qui bloquent automatiquement les attaques par force brute.
Une autre solution serait d’installé une extension qui limite le nombre de tentative de connexion. Comme un utilisateur n’a pas vraiment besoin de plus que quelques tentatives pour se connecter, c’est une façon qui reste efficace sans toutefois bloquer l’accès à vos vrais utilisateurs.
Les mises à jour de WordPress et des extensions ne font pas que rajouter des fonctionnalités. La plupart du temps, en fait, elles ne font que régler des problèmes et réparer des failles de sécurité. C’est pourquoi il est impératif, entre autre, de garder son site WordPress à jour.
Empêcher le spam via les commentaires, les formulaires de contact et les avis produits
En plus d’être agaçant, le spam, ou pourriel, vous enlève de la crédibilité et peut contenir des liens qui mèneraient vos utilisateurs vers des sites malveillants. En plus, les pirates peuvent utiliser vos formulaires de contact pour truquer vos utilisateurs.
La première étape pour éviter tous ces problème commence dans vos réglages de WordPress. Dirigez-vous vers Réglages, puis dans commentaires. Vous pouvez faire des changements tels que:
- demander à ce que l’auteur d’un commentaires soit connecté avant de pouvoir écrire un commentaire
- activer la notification par courriel chaque fois qu’un commentaire est laissé sur votre site web
- faire en sorte que chaque commentaire ait besoin d’être approuvé par vous avant d’être publié
- vous pouvez aussi marquer des commentaires comme spam automatiquement à partir de certains critères comme le nombre de lien ou certains mots spécifiques
Vous pouvez aussi changer les réglages pour les avis laissés sur vos produits en vous dirigeant vers WooCommerce, puis réglages, et ensuite Produits. À cette page, vous pouvez désactiver ou activer les avis produits.
Sinon, encore une fois, la meilleure façon de se protéger contre le spam reste d’installer une extension de sécurité et/ou d’utiliser des services comme reCaptcha. Ou tout simplement s’assurer de ne plus permettre de commentaires à l’aide d’une extension.
Appliquer un pare-feu
Un pare-feu est la première ligne de défense d’une boutique en ligne. Le but d’un pare-feu est de garder un oeil sur le traffic de votre site web et d’autoriser ou non les visiteurs selon plusieurs règles. Ceci rajoute un excellent niveau de protection, surtout si les pirates essaient d’exploiter les vulnérabilités qui ne sont pas corrigées.
Par contre, les vulnérabilités de l’internet changent à chaque jours, il est donc important que le pare-feu soit mis à jours dès qu’une nouvelle faille soit découverte. Pour ce faire, il est plus facile d’utiliser, encore une fois, une extension de sécurité comme iThemes ou Cloudflare.
Faire des sauvegardes régulières de votre site WooCommerce
Si jamais votre site WooCommerce se fait pirater, au moins vous pourriez le restaurer avec une sauvegarde qui est stockée ailleurs que dans vos fichiers de site web. Même si votre hébergeur vous offre l’option, il peut être important de faire vos propres sauvegardes aussi au cas où le serveur lui-même soit menacé.
Une bonne pratique à employer est d’avoir un système de sauvegarde automatique. Des sauvegardes en temps réel peuvent vous sauver énormément de problèmes. Pourquoi? Parce que ce sont des sauvegardes qui se font automatiquement après chaque action, comme la modification d’une page ou même après chaque achat. Les sauvegardes quotidiennes sont bien, mais si votre site WooCommerce se fait pirater quelques heures après la sauvegarde et que pendant ces heures-là vous avez vendu des produits, en restaurant la sauvegarde vous allez perdre ces données.
Sécuriser son site WooCommerce, en gros
Il y a plusieurs choses à vérifier et à s’assurer pour que sécuriser son site WooCommerce, mais le tout en vaut la peine. Comme mentionné précédemment, toutes ces étapes aident à protéger non seulement vos clients, mais aussi votre marque de commerce.
Soyez donc certain de rendre votre site web le plus sécuritaire possible pour vous sauvez bien du temps, du stress, et de l’argent et avoir une saison des Fêtes fructueuse!
Vous avez besoin d'aide pour sécuriser votre site WooCommerce?
Josée Barrette
J’ai commencé à travailler dans le milieu du web en 2005 comme chargée de projet/coordonatrice. Par la suite, j’ai dirigé des équipes de productions et de chargés de projet. En 2014, j’ai décidé de mettre mes connaissances et mon expérience au service des petites entreprises et des travailleurs autonomes.