
SSL WooCommerce – Sécuriser votre boutique
Si vous mettez en place une boutique, vous avez peut-être remarqué qu'il existe des paramètres spécifiques pour le SSL WooCommerce. De même, de nombreuses passerelles de paiement exigent que WooCommerce fonctionne sur un protocole HTTPS pour fonctionner (comme Stripe et d'autres processeurs de cartes de crédit).
Alors, avez-vous besoin d'un certificat SSL pour votre boutique WooCommerce ? Et si oui, où en trouver un et quelles autres choses devez-vous savoir ?
Eh bien, pour commencer, si vous utilisez simplement WooCommerce tel quel avec PayPal standard, les paiements sont redirigés vers leur site et techniquement, vous n'avez pas besoin d'un certificat SSL.
Mais pour de nombreuses autres passerelles de paiement, vous aurez besoin d'un certificat SSL pour accepter les paiements en toute sécurité.
Les certificats SSL offrent également un niveau de confiance aux consommateurs car, au fil des années d'achats en ligne, nous avons été conditionnés à rechercher inconsciemment la petite icône de cadenas ou la barre verte dans la barre d'adresse de votre navigateur avant de cliquer sur "payer".
Alors, un certificat SSL WooCommerce vaut-il la peine ?
Je vais soutenir que oui, vous devriez installer un certificat SSL pour les boutiques WooCommerce qui acceptent les paiements en ligne, même si votre processeur de paiement ne l'exige pas.
Cet article abordera tout ce que vous devez savoir en tant que propriétaire de boutique sur le SSL WooCommerce. À la fin, vous aurez une bonne idée de savoir si vous en avez besoin pour votre boutique ou non.
Quelle est la différence entre SSL WooCommerce et HTTPS WooCommerce ?
Faisons un peu d'édu-ca-tion pour les non-initiés :)
Comparer le SSL et le HTTPS est un peu difficile car ils se situent sur deux couches différentes. Sans entrer dans des détails trop techniques, j'essaierai d'expliquer la différence en termes simples.
SSL signifie Secure Socket Layer. Il est utilisé pour fournir une connexion sécurisée entre votre ordinateur et le serveur web.
HTTPS signifie Hypertext Transfer Protocol (Secure), c'est essentiellement la combinaison du protocole HTTP, qui est ce que votre navigateur utilise pour rechercher des pages sur Internet, et du SSL. En d'autres termes, HTTPS utilise le SSL pour créer une connexion HTTP sécurisée.
Une autre façon de penser à la différence est la façon dont la pile de protocoles s'empile les unes sur les autres. Cette réponse StackOverflow le décrit bien :
En HTTP normal, non crypté, la pile de protocoles peut ressembler à ceci :
- HTTP
- TCP
- IP
- Ethernet
En utilisant HTTPS, la pile ressemble à ceci :
- HTTP
- TLS (SSL)
- TCP
- IP
- Ethernet
WooCommerce est-il sécurisé ?
WooCommerce est l'une des plateformes e-commerce les plus stables et sophistiquées pour gérer votre boutique.
En tant que plugin e-commerce le plus important fonctionnant sur le système de gestion de contenu le plus répandu (WordPress) au monde, la sécurité y est une priorité absolue.
Bien qu'aucun système ne soit infaillible, WooCommerce est fréquemment mis à jour et audité régulièrement pour sa sécurité.
Conformité PCI-DSS de WooCommerce
Vous avez peut-être entendu parler du terme « Conformité PCI », j'ai donc pensé ajouter un bref mot sur la conformité PCI et WooCommerce pour dissiper quelques mythes.
PCI-DSS signifie Payment Card Industry Data Security Standard, il est souvent appelé simplement PCI.
Bien que WooCommerce lui-même ne soit pas certifié PCI-DSS, cela ne signifie pas qu'il n'est pas sécurisé.
L'idée fausse la plus courante est que le logiciel lui-même doit être conforme PCI. Cependant, il incombe au propriétaire du site de s'assurer que son site Web répond à toutes les exigences de certification PCI (si elle est effectivement requise), et non à WooCommerce.
La conformité PCI concerne principalement la manière dont les données de paiement sont stockées et communiquées.
Vous pouvez utiliser WooCommerce et être conforme PCI. La partie conformité dépend souvent de l'hébergeur Web et des passerelles de paiement utilisées.
Avez-vous besoin d'être conforme PCI ?
Si vous acceptez les paiements hors site en utilisant une passerelle qui utilise ses propres serveurs pour accepter les paiements (Authorize.net, PayPal, Stripe, etc.), vous ne transmettez pas de données de carte et n'avez pas besoin de prendre des mesures pour vous conformer. Ces entreprises s'occupent de la conformité pour vous.
Si vous développez votre propre passerelle de commerçant et transmettez des données directement à un compte marchand, alors oui, vous devez être certifié.
Pouvez-vous exécuter WooCommerce sans SSL ?
Oui, vous pouvez exécuter WooCommerce sans avoir de certificat SSL.
WooCommerce lui-même est tout au sujet de la gestion des données produit et de la prise de commandes, il n'exige en fait pas de protocole sécurisé pour le faire.
De plus, si vous utilisez une passerelle de paiement qui s'occupe de la sécurité pour vous, telle que PayPal Standard, vous n'avez pas besoin d'un certificat SSL pour accepter les paiements de vos commandes. Les clients sont transférés hors site, effectuent leur paiement, puis sont reconduits sur votre site pour voir les détails de leur commande terminée.
Devriez-vous quand même obtenir un certificat SSL ? Maintenant, vous posez les bonnes questions !
Je crois personnellement que tout site peut accroître la confiance perçue en installant un certificat SSL. Donc, même si vous n'en avez pas strictement besoin, je vous exhorte à envisager d'en installer un de toute façon.
Certificat SSL WooCommerce
Existe-t-il un certificat SSL spécifique pour WooCommerce que vous devez obtenir ? Non, il n'existe pas de certificat SSL WooCommerce.
Vous pouvez utiliser n'importe quel certificat SSL pour les boutiques WooCommerce car le SSL est installé au niveau du serveur et n'a en fait pas grand-chose à voir avec la configuration de votre boutique.
Quel est le coût d'un certificat SSL ?
Les coûts varient en fonction du type de certificat SSL. Vous avez peut-être remarqué que certains certificats peuvent coûter des milliers par an tandis que d'autres sont très bon marché.
Pourquoi est-ce exactement ? Eh bien, c'est une réponse un peu délicate.
En bref, les fournisseurs peuvent facturer ce qu'ils veulent pour un certificat SSL. Certains hébergeurs le donnent même gratuitement maintenant.
La principale raison pour laquelle certains certificats coûtent des milliers est que les certificats SSL les plus chers sont assortis d'un niveau d'assurance. Cela peut aider à fournir une protection contre la fraude.
Pour la plupart des boutiques de base, vous n'aurez pas besoin d'un certificat SSL coûtant plus de 100 $ par an. Si vous payez plus que cela, cherchez-en un moins cher. Ou demandez à votre hébergeur s'il en fournit un gratuitement.
Il existe un certain nombre d'hébergeurs qui offrent le SSL gratuit avec leurs plans d'hébergement tels que :
Comment installer un certificat SSL dans votre boutique WooCommerce ?
Un certificat SSL n'est pas installé dans WooCommerce lui-même, ni même dans WordPress. Vous l'installez sur votre serveur web.
La plupart des hébergeurs installeront votre certificat SSL si vous leur transmettez les bonnes informations.
Si vous utilisez un panneau de contrôle de serveur cPanel, vous pouvez le faire vous-même en suivant ces instructions simples :
Tout d'abord, vous devrez acheter votre certificat SSL. Je vous recommande de regarder du côté de Namecheap.com qui vend des certificats à un prix très abordable. Une fois le certificat émis et activé, vous aurez accès aux fichiers de certificat nécessaires à l'installation (ou vous les recevrez par e-mail).
1. Connectez-vous à votre cPanel et cliquez sur Gestionnaire SSL/TLS dans la section Sécurité :
2. Ensuite, cliquez sur « Gérer les sites SSL »
3. Ouvrez le fichier de certificat (.crt) dans le Bloc-notes (ou TextEdit sur Mac) et copiez les données du certificat, y compris —–BEGIN CERTIFICATE—– et —–END CERTIFICATE—–, puis collez-les dans la zone « Certificat : (CRT) ».
4. Cliquez sur le bouton Remplissage automatique par certificat.
5. Cliquez sur le bouton « Installer le certificat » et vous avez terminé.
Cela devrait avoir installé votre certificat avec succès. Si vous avez rencontré des problèmes, soumettez un ticket de support à votre hébergeur car des étapes supplémentaires pourraient être nécessaires.
Comment faire en sorte que votre site s'affiche en HTTPS au lieu de simplement HTTP
Ensuite, vous devrez faire en sorte que votre site s'affiche en protocole https au lieu de http. Ne faites cela qu'après avoir correctement installé votre certificat.
Vous pouvez vérifier en essayant de visiter votre site web en utilisant https au lieu de http au début. Si vous voyez une erreur, alors le certificat n'est pas encore correctement installé – contactez votre hébergeur.
Il y a deux façons de faire en sorte que votre site s'affiche par défaut en HTTPS :
- Vous pouvez exporter votre base de données en utilisant quelque chose comme WP Migrate DB. Ce plugin vous permet d'exporter la base de données de votre site web et de modifier les URL stockées dans la base de données pour passer de http à https pendant que vous le faites. Une fois exportée, réimportez-la afin d'exécuter maintenant votre site sur les nouvelles URL https. Si vous êtes un développeur, je suggère cette option, mais assurez-vous de faire une sauvegarde de votre base de données !
- Vous pouvez installer un plugin comme WordPress HTTPS (SSL) et suivre les instructions. Je suggère d'entrer * dans le champ URL pour appliquer le changement à l'ensemble du site. Vous pouvez le faire sélectivement pour certaines pages si vous le souhaitez (cela pourrait causer des problèmes plus tard). Une fois terminé, le plugin s'assurera que toutes vos URL http seront redirigées vers la version https. Il tentera également de corriger les URL des images et des scripts sur la page.
Si vous rencontrez des difficultés avec cela, il pourrait être plus facile de faire appel à un développeur web pendant une heure ou deux pour corriger les erreurs de ressources non sécurisées et s'assurer que tout fonctionne comme il se doit.
Sceau SSL WooCommerce
Un sceau SSL est une petite image de vérification que vous pouvez afficher sur votre boutique pour faire savoir aux gens que votre boutique est sécurisée.
En avez-vous besoin ? Bien qu'il ne soit pas nécessaire d'avoir un sceau SSL WooCommerce spécial, vous pourriez envisager d'inclure au moins quelques indicateurs de base que votre boutique est sécurisée.
L'ajout d'informations visuelles, en particulier sur l'écran de paiement, indiquant que votre boutique est sécurisée peut considérablement augmenter la confiance perçue de votre boutique aux yeux de vos clients et avoir un effet positif sur les ventes.
Un sceau SSL peut être ajouté au pied de page de votre site, ou simplement sur la page de paiement. Vous pouvez également ajouter d'autres indices visuels tels que des icônes de paiement, de petits cadenas et d'autres détails non liés à la sécurité comme votre numéro de téléphone et votre adresse postale. Tout cela ajoute à la légitimité de votre boutique.
J'espère que cet article vous a convaincu d'explorer l'ajout du SSL à votre boutique WooCommerce. Si vous avez suivi le processus et sécurisé votre boutique, parlez-nous-en dans les commentaires ! Nous aimerions savoir comment cela a amélioré vos ventes ou apporté plus de confiance à vos clients.




Bon article !
Merci. Bon article. Aujourd'hui, tous les sites Web WooCommerce devraient utiliser le SSL.
Merci Sergeo ! 100 % d'accord ! :)
Mis à jour en octobre 2018, après que le SSL n'a plus été considéré comme un protocole valide pour sécuriser un site pour les paiements. Le TLS 1.1 ou supérieur ne devrait-il pas être en place maintenant en standard et devriez-vous détourner les clients du SSL ?
Les failles de sécurité du SSL connues depuis plusieurs années sont stupéfiantes. pourtant l'article le présente toujours comme adapté à la conformité PCI ? un site l'utilisant ne passerait pas une évaluation, surtout après le 30 juin 2018 où il n'est plus un protocole de sécurité viable.
Avec le SSL en place, il est toujours possible qu'une attaque de l'homme du milieu (MIM) se produise et même si ce lien WooCommerce détourne le consommateur du site Web, il pourrait être modifié pour rediriger le consommateur vers une page quasi identique qui capture les données de la carte. alors que si le TLS 1.1 ou supérieur est implémenté, cela réduirait la possibilité pour quiconque de le faire.
Vos réflexions ?
Salut James,
Vous avez raison, le SSL a été remplacé par le TLS. Cependant, j'utilise le terme SSL ici dans le contexte des « certificats ». Les certificats et les protocoles sont des choses différentes, j'essaie donc simplement de simplifier en utilisant un langage courant. Les certificats pour SSL/TLS sont couramment appelés certificats SSL par les propriétaires de boutiques, d'où le nom. Mais oui, techniquement, vous avez 100 % raison :)
Salut Josh, excellent article. Cet article sera certainement utile pour la mise en œuvre du SSL. Siteground est vraiment la meilleure suggestion ici !