5 conseils de sécurité post-lancement pour les magasins WooCommerce

Comme nous l'avons vu dans cette introduction à la sécurité WooCommerce, créer les bases d'un magasin sûr et bien protégé ne prend que quelques étapes. Mais la plupart des conseils que nous proposons sont des choses que vous feriez avant de lancer votre boutique, ou peut-être immédiatement après.

La sécurité n'est pas quelque chose à laquelle vous pouvez penser une fois et plus jamais. Si vous ne maintenez pas votre magasin à jour, ne prêtez pas attention aux tendances en matière de sécurité ou ne renforcez pas vos défenses au fur et à mesure de votre croissance et de votre évolution, vous pourriez vous mettre dans une position très vulnérable… et également mettre vos clients en danger.

Explorons quelques autres façons de sécuriser le lancement de votre magasin après le lancement.

1. Cachez le numéro de version de WordPress

"D'accord", vous pourriez dire, "quoi ? Comment cela me protège-t-il ? »

Eh bien - ce n'est pas le cas, pas directement. Mais si vous êtes parfois un peu lent à mettre à jour WordPress, un rapide coup d'œil à votre code source pourrait facilement indiquer à un attaquant potentiel que vous êtes potentiellement plus vulnérable à d' autres attaques .

La version actuelle de WordPress se trouve à trois endroits :

1. La balise meta du générateur dans votre en-tête
2. Le générateur de balises meta dans votre flux RSS
3. Chaînes de requête

Donc, si vous faites partie de ces personnes bien intentionnées qui souhaitent tester vos mises à jour pendant un jour ou deux et qui ont besoin de masquer le numéro de version pour une bonne raison, vous pouvez utiliser le code de Frankie Jarrett pour masquer le numéro de version à tous. trois de ces points. Rendez-vous sur son message pour le récupérer, puis collez-le dans votre fichier functions.php .

Encore une fois, cacher la version à elle seule ne vous protégera pas - vous devez absolument garder WordPress, WooCommerce et tous vos plugins et extensions à jour . Mais nous comprenons également qu'il y a souvent un écart entre les tests et la mise en œuvre, cela peut donc vous aider à rester en sécurité entre-temps.

2. Forcez SSL sur vos pages de paiement

La sécurité commence par une connexion sécurisée. En suivant ce conseil, vous pouvez être absolument sûr que vous protégez vos clients des regards indiscrets lorsqu'ils saisissent des informations sensibles de facturation et d'expédition à la caisse.

Avec le paramètre "Forcer le paiement sécurisé" activé dans WooCommerce, toutes les pages associées à votre processus de paiement seront obligées d'utiliser HTTPS (c'est-à-dire une connexion sécurisée) à chaque chargement.

Étant donné que seuls le navigateur d'un client et votre boutique peuvent déchiffrer les informations envoyées via une connexion HTTPS, cocher cette case garantit que votre paiement est sécurisé et qu'aucune personne mal intentionnée ne peut jeter un coup d'œil aux numéros de carte de crédit ou à d'autres informations sensibles circulant dans et hors de votre magasin.

Ce paramètre peut être activé et désactivé dans WooCommerce en accédant à WooCommerce> Paiement et en activant ou désactivant la deuxième case à cocher.

Notez qu'un certificat SSL valide est requis pour que ce paramètre fonctionne correctement sur votre boutique. Si vous n'avez pas encore acquis de certificat SSL, lisez ce guide pour en savoir plus sur leur importance et sur la façon d'en obtenir un à peu de frais ou sans frais.

Vous pouvez en savoir plus sur ce paramètre dans WooCommerce en lisant cette page dans nos documents.

3. Faites des sauvegardes et des analyses de sécurité un événement quotidien

Dans notre premier article sur la sécurité, nous avons recommandé d'utiliser un logiciel de confiance pour analyser votre site à la recherche de vulnérabilités potentielles, d'attaques par force brute ou de logiciels malveillants. Maintenant que vous avez lancé, il est temps de passer au niveau supérieur.

Lorsque votre boutique est opérationnelle, les sauvegardes et les analyses de sécurité doivent être effectuées quotidiennement . Les sauvegardes sont cruciales car elles vous donnent quelque chose sur quoi vous appuyer en cas de perte de données, tandis que les analyses de sécurité empêchent une telle perte (ou infection) de se produire en premier lieu.

Vous pouvez définir la fréquence des analyses, des sauvegardes et des notifications à votre guise, mais nous recommandons au moins une sauvegarde quotidienne et une analyse quotidienne . Certaines solutions offrent des sauvegardes en temps réel et des analyses plus fréquentes - la protection de connexion par force brute de Jetpack est également en temps réel - mais vous pouvez augmenter ou réduire la fréquence à votre guise.

Si vous êtes toujours à la recherche d'une solution de sauvegarde et de sécurité fiable et efficace, les plans Jetpack Premium sont fournis avec des sauvegardes - et les clients WooCommerce peuvent économiser 15 % instantanément . Obtenez Jetpack pour la tranquillité d'esprit dès le premier jour.

4. Modifiez le préfixe par défaut utilisé dans vos bases de données WordPress

Aussi étrange que cela puisse paraître, il y a des gens méchants qui organisent des attaques sur des sites Web pour leur propre amusement. Bien que vous puissiez penser que votre magasin est sûr à 100 %, il existe quelques vulnérabilités mineures que ces spammeurs et pirates trouveront et exploiteront, s'ils en ont l'occasion.

Une vulnérabilité potentielle connue provient de l'utilisation des paramètres de table de base de données par défaut lors de la configuration et de l'installation de WordPress. La modification de ces paramètres peut aider à empêcher l'injection de code malveillant dans votre serveur.

Le préfixe par défaut pour les tables de base de données utilisées pour stocker les informations WordPress est wp_. Étant donné que la plupart des propriétaires de magasins ne modifient pas ce préfixe lors de l'installation (ou n'ont même pas la possibilité de le faire, selon leur procédure d'hébergement/d'installation), l'utilisation de la valeur par défaut pourrait les exposer à une attaque par injection SQL (entre autres ) , tout cela parce que les pirates savent très bien comment ces tables par défaut sont nommées.

À ce jour, bien sûr, vous avez probablement déjà configuré WordPress et WooCommerce. Mais il n'est pas trop tard pour modifier ces paramètres. Une ou deux requêtes SQL exécutées dans phpMyAdmin vous mettront au clair en un rien de temps.

Jetez un œil à ce didacticiel pas à pas détaillé et incroyablement utile de Digging Into WP pour apprendre à changer les préfixes de table de votre base de données en quelque chose de beaucoup plus complexe – et de beaucoup, beaucoup plus sécurisé.

Les requêtes SQL ne sont pas votre truc ? Il existe quelques plugins gratuits qui accompliront la même chose, mais soyez prudent - autoriser un accès illimité à votre base de données SQL peut être dangereux . À tout le moins, désinstallez un plugin comme celui-ci une fois que vous en avez terminé afin qu'il n'y ait aucun risque de futurs changements de nom involontaires.

5. Débarrassez-vous de votre compte "admin"

Ce dernier conseil peut sembler ennuyeux pour certains d'entre vous, ou peut-être même comme une connaissance générale pour d'autres. Mais c'est crucial, alors nous avons voulu prendre le temps de le souligner ici.

L'utilisation du compte administrateur par défaut intégré à WordPress n'est pas recommandée lorsque vous gérez une boutique en ligne . Tout comme les préfixes de table de base de données, les pirates savent que ce compte existe (très probablement) par défaut, ce qui leur offre une meilleure opportunité d'entrer par force brute.

Même des comptes similaires, comme "testadmin", "administrateur" ou "propriétaire" mettent votre boutique en danger - ils sont tout aussi faciles à deviner. Comme l'explique la page Attacking WordPress sur HackerTarget.com (ne vous inquiétez pas, c'est une ressource pour des conseils, pas un guide pour le piratage), une fois qu'un pirate sait qu'un compte existe, il peut rapidement utiliser un outil pour deviner votre mot de passe :

[…]. 500 mots de passe ont été testés sur le compte « testadmin » (découvert lors de l'énumération des utilisateurs). Ces 500 mots de passe ont été testés en 1 minute et 16 secondes ! Pendant que le test était en cours d'exécution, le site répondait toujours ; un administrateur de serveur Web n'aurait aucune idée que l'attaque a eu lieu sans une sorte de système de surveillance des journaux de sécurité en place.

La morale de l'histoire : votre ou vos comptes d'administrateur doivent porter un nom unique et peu susceptible d'être deviné par une personne malveillante . Utilisez un surnom unique, un nom complet avec plusieurs initiales entre les deux, ou quelque chose d'autre qui ne peut pas être facilement deviné (par exemple, votre prénom et votre nom ou le nom de votre magasin).

Et n'oubliez pas d' utiliser des mots de passe sécurisés , de sorte que même si quelqu'un devine le nom de votre compte, il ne pourra toujours pas se connecter. Si vous avez besoin d'un rappel sur ce qui est sécurisé et ce qui ne l'est pas, consultez la section 2 de cet article.

Prenez la sécurité au sérieux une fois votre boutique en ligne

Bien qu'il y ait beaucoup de choses que vous pouvez faire pour sécuriser un magasin avant son lancement, la sécurité devrait être une préoccupation constante pour les propriétaires de magasins - pas une chose "une et faite" . En suivant ces conseils et en gardant votre boutique et WordPress à jour, vous serez en excellente position pour assurer la sécurité de vos clients et de votre équipe.

Vous avez des questions sur les conseils de sécurité recommandés dans cet article ? Ou mieux encore, avez-vous des astuces avancées à partager ? Nous apprécions vos commentaires et réflexions dans les commentaires ci-dessous.