Avec l’excitation de lancer sa propre boutique WooCommerce, on a tendance à oublier certains petits détails. C’est de cette façon que la sécurité de votre site peut être compromise et qui pourrait être la cause d’un prochain piratage réussi.
WooCommerce et WordPress débarquent déjà avec de bonnes mesures de sécurité, mais il vaut mieux être plus que préparé d’une éventuelle visite des « amis » pirates.
Tout commence ici. Même si vous mettez une tonne d’efforts à sécuriser votre site, un mauvais hébergeur pourrait tout gâcher.
Par conséquent, la toute première étape est de choisir un bon hébergeur : celui qui a bonne réputation, et qui met la sécurité au premier plan en priorité. Ne choisissez pas au hasard, au risque de vous (vous et vos clients) mettre en péril.
Idéalement, vous devez choisir un plan d’hébergement pour WordPress (les « managed WordPress hosting ») qui :
dispose d’un monitoring et de préventions d’attaques
propose des correctifs de sécurité régulièrement
utilise des logiciels dernier cri (dernière version de PHP, …)
isole les sites, évitant ainsi une contagion des infections entre les sites sur le même serveur
Les hébergeurs qui se respectent dédient une page (ou même plusieurs) pour la sécurité des sites qu’ils hébergent.
Si vous êtes déjà embarqué avec un hébergeur, un des moyens de vérifier est le fameux phpinfo. Et si vous êtes parti avec une solution dédiée comme les VPS ou même les bare-metal, sécurisez votre serveur web en 10 étapes.
Quand vous commencez à configurer WordPress et WooCommerce, veillez à utiliser des mots de passe sécurisés, que ce soit pour les bases de données, le FTP, …
Un mot de passe sécurisé est :
un mot de passe que vous n’utilisez nul par ailleurs
un mot de passe composé par différentes casses (majuscules et minuscules), des chiffres et même des symboles (ponctuations, #, &, …)
un mot de passe qui ne figure pas dans des dictionnaires ou qui puisse être deviné : date importante de votre vie, nom d’un proche, …
un mot de passe très long
Si vous utilisez des gestionnaires de mot de passe, activez leurs générateurs de mot de passe aléatoire et utilisez-les.
L’utilisation d’un mot de passe sécurisé ne suffit pas en 2017. En plus de devoir disposer du plus complexe des mots de passe, il vous faut activer l’authentification en deux facteurs. Cette technique apporte une seconde porte de sécurité à votre site WordPress.
Les attaques par bruteforce sont des attaques qui essayent toutes les combinaisons possibles de mot de passe. Non seulement, ils risquent de trouver votre mot de passe à la longue, mais, ils saturent aussi le serveur web.
La majorité des plugins de sécurité actuels débarquent avec la fonctionnalité protection des attaques par bruteforce, comme Jetpack avec Jetpack Protect, ou entre WordFence.
Certaines personnes le négligent mais il est très important de se faire soi-même des sauvegardes. Il n’est pas toujours prudent de s’appuyer sur les systèmes de sauvegarde des hébergeurs.
La meilleure option est d’opter pour des services tierces parties, comme VaultPress ou CodeGuard.