
Si vous gérez une boutique WooCommerce, vous devez vous assurer qu'elle est sécurisée. Les boutiques de e-commerce traitent de nombreuses données clients sensibles, même si vous ne stockez pas de détails tels que les cartes de crédit. La protection de toutes ces informations est essentielle pour satisfaire les clients. Cela n'est possible que si vous améliorez la sécurité de WooCommerce.
WooCommerce est un plugin sécurisé dès sa sortie de la boîte. Cependant, il existe des moyens d'améliorer la sécurité de votre WordPress et de votre WooCommerce au-delà des standards du plugin. Si vous faites un effort supplémentaire en matière de sécurité, vous ne vous retrouverez jamais dans une situation où les données des clients sont exposées.
Dans cet article, nous discuterons de toutes les façons d'améliorer la sécurité de WooCommerce. Allons-y !
7 conseils de sécurité WooCommerce pour protéger votre boutique
1. Utilisez un hébergeur WordPress géré
Votre choix d'hébergeur web joue un rôle important dans la sécurité de votre site web. Certains hébergeurs web sont plus proactifs en matière de mise en œuvre d'une sécurité appropriée pour leurs serveurs. Pour une boutique WooCommerce, nous recommandons d'utiliser un hébergement WordPress géré et d'effectuer fréquemment la maintenance WordPress.
Les hébergeurs WordPress gérés s'occupent de plusieurs tâches de maintenance et d'optimisation du site web afin que vous puissiez vous concentrer sur la gestion de votre boutique. Deux de nos options préférées sont WP Engine et SiteGround :

WP Engine et SiteGround proposent tous deux des pare-feu d'applications Web (WAF) pour leurs plans WooCommerce gérés. Ils offrent également un système anti-bots intégré qui peut aider à protéger votre site Web contre les attaques par déni de service (DDoS).
Si vous recherchez une solution d'hébergement géré relativement bon marché, nous vous recommandons de consulter SiteGround. Les plans WP Engine sont plus chers, mais vous bénéficiez également de fonctionnalités plus avancées et de meilleures performances.
2. Utilisez (et appliquez) des mots de passe forts
Vous en avez probablement marre d'entendre à quel point une bonne sécurité des mots de passe est essentielle. Cependant, il y a une raison pour laquelle on vous encourage toujours à utiliser des mots de passe forts et uniques. Plus votre mot de passe est bon, moins il est probable que les attaquants parviennent à accéder à votre compte par force brute.
Si vous êtes un client, les attaquants peuvent accéder à des données sensibles s'ils ont accès à votre mot de passe. Cependant, si des acteurs malveillants peuvent se connecter à un compte administrateur dans WooCommerce, ils peuvent causer de sérieux dommages à votre boutique.
En tant qu'administrateur, vous êtes responsable de vos propres pratiques en matière de mots de passe. Pour améliorer la sécurité de WooCommerce, nous vous recommandons d'utiliser un gestionnaire de mots de passe que vous pouvez utiliser pour générer et stocker des identifiants forts en votre nom.
Pour les utilisateurs, vous pouvez choisir de leur rappeler d'utiliser des mots de passe forts ou de les imposer avec un plugin tel que Password Policy Manager :

Password Policy Manager vous permet de configurer des règles de mots de passe que les utilisateurs doivent suivre. Vous pouvez configurer le plugin de sorte que les utilisateurs ne puissent définir que des mots de passe répondant à des critères spécifiques et qui expirent après un certain temps. Cela peut être un léger inconvénient pour les utilisateurs de suivre les règles, mais cela garantira une expérience d'achat globale plus sûre pour eux.
3. Activez l'authentification à deux facteurs (2FA)
En plus d'imposer l'utilisation de mots de passe forts, vous pouvez également ajouter la 2FA à votre boutique en ligne pour améliorer la sécurité de WooCommerce. La 2FA oblige les utilisateurs à saisir un deuxième facteur d'authentification lorsqu'ils se connectent. Ce facteur est généralement un code qu'ils peuvent obtenir à partir d'une application, par e-mail ou par SMS.
WordPress n'offre pas d'intégration 2FA prête à l'emploi. Cependant, vous pouvez facilement la mettre en œuvre en utilisant un plugin tel que WP 2FA :

Avec WP 2FA, vous pouvez permettre aux utilisateurs de choisir parmi plusieurs méthodes 2FA, ce qui devrait leur faciliter la vie. Vous pouvez également activer la 2FA pour vos comptes administrateur et pour tout autre compte disposant de permissions avancées.
4. Protégez vos formulaires contre les soumissions de spam
Les formulaires de paiement sont protégés contre les soumissions de spam par le simple fait qu'ils nécessitent un paiement. Cependant, le reste des formulaires de votre boutique peut être vulnérable aux soumissions de spam et aux attaques malveillantes.
Disons, par exemple, que vous tenez une boutique WooCommerce de vente en gros qui nécessite l'inscription des utilisateurs. Vous pouvez configurer un formulaire d'inscription pour la vente en gros en utilisant Wholesale Lead Capture (qui fait partie de Wholesale Suite). Cependant, si vous ne sécurisez pas ce formulaire, vous pourriez vous retrouver à trier des dizaines de soumissions de spam et à manquer de vrais clients dans la confusion.

Votre meilleure option pour arrêter les soumissions de spam est d'utiliser un plugin de formulaire qui inclut des outils de sécurité intégrés. Wholesale Leads, par exemple, détecte et arrête automatiquement les soumissions de spam. Le plugin est également compatible avec Google ReCaptcha, ce qui ajoute une couche de protection supplémentaire à vos formulaires.
5. Ajoutez un journal d'activité à WooCommerce
Les journaux d'activité vous indiquent tout ce qui se passe sur votre site web. Cela signifie chaque fois que quelqu'un essaie de se connecter, lorsqu'il y a une modification sur une page ou un fichier, lorsqu'une configuration est modifiée sur votre site, et plus encore.
Le but des journaux d'activité est de vous fournir des informations que vous pouvez utiliser pour dépanner les erreurs de site web et les attaques sur votre site web. Les journaux d'activité sont des outils fantastiques pour les sites en général, mais encore plus pour les boutiques en ligne car votre sécurité devrait être plus stricte.
Il existe de nombreux plugins qui ajoutent des journaux d'activité à WordPress et qui sont également compatibles avec WooCommerce. Notre outil préféré pour cette tâche est WP Activity Log :

Avec WP Activity Log, vous pouvez suivre l'activité des utilisateurs comme les connexions et les mises à jour de profil. Le plugin vous indique si quelqu'un apporte des modifications à votre boutique ou à l'un des fichiers principaux de WordPress. Vous recevez également des notifications pour les modifications de base de données, les mises à jour de plugins, et plus encore.
Toutes ces informations sont disponibles dans des journaux détaillés faciles à parcourir. Cependant, vous pouvez également configurer le plugin pour qu'il vous envoie des notifications par e-mail pour des événements spécifiques liés à la sécurité.
6. Mettez régulièrement à jour les plugins et les thèmes
Les plugins et thèmes obsolètes sont l'une des principales causes de vulnérabilités WordPress et WooCommerce. Il est relativement courant que les attaquants trouvent des vulnérabilités dans les plugins et les thèmes. Plus vous tardez à les mettre à jour, plus il est probable que vous utilisiez des versions qui incluent ces vulnérabilités.
En règle générale, nous vous recommandons de mettre à jour tous les plugins et thèmes dès que de nouvelles versions sont disponibles. Si vous voulez jouer la sécurité avec les mises à jour, vous pouvez toujours utiliser un site web de staging.
Avec un site web de staging, vous pouvez tester que les nouvelles versions des plugins et thèmes ne "casseront" aucune fonctionnalité critique de votre site web. Si vous utilisez un hébergement WordPress géré, tel que SiteGround ou WP Engine, vous avez déjà accès à la fonctionnalité de staging.
Gardez à l'esprit que cette recommandation s'applique même aux plugins qui ne sont pas liés à WooCommerce. Chaque plugin que vous utilisez est actif sur la même installation WordPress et chacun peut représenter un ensemble différent de vulnérabilités.
7. Sauvegardez votre boutique régulièrement
En règle générale, vous devriez sauvegarder votre site Web entier fréquemment. Par « fréquemment », nous entendons aussi souvent que tous les jours. De cette façon, vous avez toujours accès à une sauvegarde récente si quelque chose tourne mal avec votre site Web.
Les sauvegardes peuvent vous sauver la vie si vous rencontrez un bug qui ne vous permet pas d'accéder à WordPress ou une erreur qui casse une fonctionnalité critique. Elles peuvent également vous permettre de reprendre le contrôle de votre site au cas où quelqu'un parviendrait à accéder au compte administrateur.
Il existe de nombreuses façons de sauvegarder un site Web WordPress. Vous pouvez copier manuellement les fichiers principaux et la base de données, utiliser un plugin ou vous fier à votre hébergeur. Si vous utilisez un hébergement géré, vous disposez probablement déjà de sauvegardes quotidiennes intégrées à votre forfait.
Si votre hébergeur n'offre pas de sauvegardes automatiques et que vous ne souhaitez pas changer de fournisseur, votre meilleure option est d'utiliser un plugin tel que BackWPup ou UpdraftPlus :

L'un ou l'autre de ces plugins vous permettra de planifier des sauvegardes automatiques ou de créer des copies de votre site à la demande. Vous pourrez également exporter les sauvegardes vers un ou plusieurs services cloud pour une tranquillité d'esprit supplémentaire.
Conclusion
Améliorer la sécurité de WooCommerce est un processus en plusieurs étapes. Il peut falloir un certain temps avant que vous n'implémentiez toutes les mesures de sécurité, mais l'effort en vaut la peine. Dans ce guide, nous avons décrit les conseils suivants pour vous aider à renforcer votre boutique WooCommerce contre les menaces de sécurité :
- Utilisez un hébergement WordPress géré
- Utilisez (et appliquez) des mots de passe forts
- Activez l'authentification à deux facteurs (2FA)
- Protégez vos formulaires contre les soumissions de spam
- Ajoutez un journal d'activité à WooCommerce
- Mettez régulièrement à jour les plugins et les thèmes
- Sauvegardez votre boutique régulièrement
La mise en œuvre de ces mesures de sécurité WooCommerce peut réduire le risque de violations de données, d'attaques DDoS et d'autres menaces potentielles. En créant un environnement sécurisé, vous protégez votre entreprise et favorisez la confiance de vos précieux clients.
Avez-vous des questions sur la façon d'améliorer la sécurité de WooCommerce ? Parlons-en dans la section des commentaires ci-dessous !

