Comme les achats en ligne se démocratisent de plus en plus chez les consommateurs, les entreprises de e-commerce font face à de nouveaux obstacles à surmonter, comme les fameuses menaces de sécurité sur le site WordPress.

Les clients font de plus en plus confiance aux entreprises en ligne et se sentent plus en sécurité vis à vis de leur argent et leurs informations personnelles. Minute papillon! Cela ne signifie pas qu’ils n’ont aucune raison de s’inquiéter.

Les menaces de sécurité ne concernent pas seulement les sites e-commerce WordPress de grande envergure. Et dans la majorité des cas, nous savons à quel point le vôtre est important. C’est pour cela qu’il est mieux d’anticiper les différentes menaces. La clé de la prévention? Comprendre quelles sont les menaces, et les détecter, afin de les garder bien à l’écart.  Il est temps donc de prendre connaissances des menaces les plus courantes :

Les menaces courantes auxquelles votre site WordPress e-commerce peut être confronté  

1. Spam

spam wordpress

Comme vous l’avez peut-être déjà lu précédemment dans nos différentes remarques au sujet des spams : les commentaires de blog et les formulaires de contact sont des portes ouvertes aux spammeurs qui veulent laisser des liens infectés sur votre site, et peuvent vite jouer avec vos nerfs et ceux de vos employés. Cela n’affecte pas seulement la sécurité du site, mais aussi la vitesse du site, qui peut être considérablement ralentie. 

2. Phishing

Quoi de plus énervant qu’un e-mail de faux messages vous incitant à cliquer presque agressivement. Néanmoins, cette méthode ne fonctionne que si vous suivez l’action, ce qui leur donne accès à vos informations de connexion ou à d’autres données d’identification personnelle.

3. Bots

Les Bots, autrement dit robots, peuvent être bons ou mauvais. Certains explorent le web pour vous aider à bien classer votre site WordPress dans la recherche. Mais il existe des bots nocifs qui fouillent dans votre site e-commerce pour obtenir des informations sur le prix ou l’inventaire par exemple. Ils utilisent ensuite ces trouvailles pour modifier les informations et conserver l’inventaire dans les paniers d’achats, ceci entraînant une baisse de vos ventes et de vos revenus.

4. Malware

Les scripts inter-sites, les injections SQL, les malvertiseurs, les rançongiciels … Ce sont différents types de logiciels malveillants qui visent à entrer dans le backend de votre site e-commerce WordPress, dans le but de voler des données sensibles (les vôtres mais aussi celles de vos clients). Willem de Groot le prouve suite à son étude de 6000 sites d’e-commerce et son constat affolant : la moitié d’entre eux étaient infectés en 2015, par un code JavaScript malveillant. A la fin de cette année, presque tous les sites d’e-commerce étaient attaqués. Et ce n’est pas le seul cas inquiétant : Ebay par exemple, a été piraté il y a 5 ans et a dû faire fasse à une attaque qui concernait directement les clients, dont leurs informations de connexion et de mot de passe ont été compromises.

Même histoire pour Target en 2013, dont le partenariat avec un fournisseur tiers avec des systèmes non-garantis a conduit à une attaque. Des cartes de crédit et des données personnelles provenant de dizaines de millions de clients ont été volées, et Target a dû débourser plus de 18 millions de dollars en poursuites judiciaires. Preuve donc, que les malwares peuvent aller très loin et représenter plus qu’une simple menace pour votre e-shop.

5. DDoS

Les attaques par déni de service distribué (DDoS) font exactement ce que le nom implique: elles surchargent le serveur d’un site et le mettent hors ligne. L’attaque bot de 2016 contre Dyn est l’un des exemples les plus médiatisés de ce type de menace.

 

Les bons gestes à adopter pour limiter les risques d’attaques sur votre site e-commerce.

Il est important de noter que les menaces de sécurité pour les sites de e-commerce n’attaquent pas toujours les données personnelles de vos clients ou celles des cartes de crédit.  Les hackers et les robots peuvent également explorer votre site pour accéder aux données de votre entreprise. Quel que soit le type de menace à la sécurité de votre e-shop auquel vous êtes confronté, vous pouvez imaginer à quel point cela peut coûter à votre chiffre d’affaires et à votre réputation. C’est donc là que le plan de protection contre les menaces entre en jeu.

 

1 / Gérer la sécurité du serveur

Tout d’abord, assurez-vous que vous utilisez un hébergeur WordPress dont vous faites suffisament confiance. Cela signifie qu’il doit y avoir un pare-feu côté serveur, ou un moyen efficace d’ajouter un CDN. Vous pourrez également constater la disponibilité du certificat SSL et des plans d’hébergement qui ne nécessitent pas de partager. Pour mieux protéger votre serveur d’hébergement, appliquez les meilleures pratiques de sécurité Apache.

 

2/ Sécurité de la passerelle de paiement

Il est important de s’assurer que votre fournisseur de passerelle de paiement priorise avant tout la sécurité. Cela concerne donc tous les tiers connectés à votre site.  

 

3/ Logiciel antivirus et anti-malware

Équipez votre système d’exploitation de votre réseau avec un logiciel anti-malware.

 

4/ Pare-feu

Idéalement, votre hébergeur a un pare-feu en place pour votre serveur. Vous devriez également penser à en obtenir un pour votre ordinateur ainsi que pour le site Web lui-même. De nombreux plugins de sécurité (comme le tout-en-un WP Security & Firewall) sont livrés avec un pare-feu intégré, ce qui vous permet d’éliminer votre liste tout en renforçant votre sécurité sur WordPress.

 

5/ Certificat SSL

Un certificat SSL n’est plus optionnel pour les sites e-commerce WordPress, du moins selon les standards de Google. C’est un moyen facile (et souvent gratuit) d’ajouter une couche de chiffrement supplémentaire aux transactions effectuées.

 

6/ Conformité PCI

Le Conseil des normes de sécurité PCI dispose de directives strictes concernant la façon dont vous devez sécuriser votre site e-commerce. Vous pourrez avoir accès aux différentes règles sur le type d’hébergement Web, le niveau de sécurité au niveau du traitement des paiements, etc.

 

7/ Mettre à jour régulièrement

Nous ne vous apprenons rien mais il est important de le répéter : lorsqu’un logiciel ne contient pas les mises à jour requises ou même suggérées par votre fournisseur, c’est votre activité que vous risquez de mettre en péril. N’oubliez donc pas de mettre à jour :

  • Votre  ordinateur
  • Le réseau de votre entreprise
  • Votre logiciel serveur
  • Votre version de PHP
  • Le noyau WordPress
  • Vos plugins et thèmes WordPress

 

 

8/ WooCommerce, pour un site e-commerce WordPress plus performant

WooCommerce est un plugin très recommandé par les experts. Il vous permet d’ajouter des fonctionnalités e-commerce sur votre site, ce qui vous fait bénéficier d’une boutique en ligne propre et rigoureuse.