Croyez-vous à ces mythes courants sur la sécurité de WooCommerce ?

Publié: 2019-10-15
common woocommerce security myths

Dernière mise à jour - 8 juillet 2021

WooCommerce compte des centaines de milliers d'utilisateurs car c'est le moyen le plus simple de créer une boutique de commerce électronique avec WordPress, un CMS que des millions de personnes connaissent. Dans toute communauté de cette taille, il existe un large éventail d'expertise et d'expérience, sans parler de nombreux mythes et malentendus.

Dans cet article, je vais jeter un œil à quelques-uns des mythes liés à la sécurité que j'ai rencontrés lors de discussions avec des détaillants WooCommerce.

Votre fournisseur d'hébergement Web est responsable de la sécurité de WooCommerce

Il y a un noyau de vérité dans ce mythe : les fournisseurs d'hébergement WooCommerce doivent prendre soin de la sécurité du centre de données, du réseau et du serveur. Ils doivent mettre à jour le logiciel du serveur, y compris le système d'exploitation. Ils doivent s'assurer que leurs serveurs n'exécutent pas de logiciels vulnérables. Cependant, il y a une limite à ce qu'un fournisseur d'hébergement peut faire pour assurer la sécurité d'une boutique WooCommerce.

Un fournisseur d'hébergement ne peut rien faire si le propriétaire d'une boutique WooCommerce installe un plugin ou un thème contenant des logiciels malveillants ; oublie de mettre à jour WordPress, WooCommerce et d'autres plugins et thèmes ; ou utilise un mot de passe facile à deviner avec le compte administrateur par défaut.

Le fournisseur d'hébergement et le propriétaire du magasin partagent la responsabilité de la sécurité WooCommerce. Un magasin peut être rendu vulnérable par des défaillances de part et d'autre du partenariat d'hébergement.

Votre boutique n'est pas assez importante pour être piratée

La fausse hypothèse sous-jacente à ce mythe est que les criminels ne ciblent que les magasins comptant des dizaines de milliers de clients. Cela semble plausible car les grands magasins sont des cibles plus précieuses : ils ont plus de ressources, plus de données personnelles à exploiter, plus de visiteurs à infecter avec des logiciels malveillants et plus de numéros de carte de crédit à voler.

Mais, en réalité, même un petit magasin est utile aux criminels. Le coût de la compromission d'une boutique WooCommerce vulnérable - ou de toute application Web - est minime. La plupart des magasins sont compromis par des robots automatisés utilisant des vulnérabilités connues et des faiblesses évidentes. Les bots scannent des milliers de magasins, et peu leur importe qu'un magasin ait dix ou dix mille visiteurs par jour – les deux seront compromis et exploités s'ils ne sont pas correctement sécurisés.

Les grands magasins ont plus de valeur pour les criminels, et ils peuvent leur accorder une attention qu'ils n'accordent pas aux petits magasins, mais une application Web présentant une vulnérabilité de sécurité sera éventuellement compromise, quelle que soit sa taille.

C'est OK de partager des mots de passe WordPress

mythes courants sur la sécurité du woocommerce

Les détaillants peuvent avoir besoin de donner aux développeurs, concepteurs ou autres employés un accès administrateur à leur boutique WooCommerce de temps en temps. Il y a deux façons de faire ça:

  1. Donnez-leur le nom d'utilisateur et le mot de passe d'un compte administrateur existant, celui utilisé par le propriétaire du magasin ou une autre personne de confiance.
  2. Créez un nouveau compte administrateur à utiliser uniquement par le professionnel.

Le premier d'entre eux est plus pratique à court terme, mais il a des implications importantes pour la sécurité du site. À un moment donné, il sera nécessaire de retirer l'accès qui a été accordé, ce qui est plus difficile si plusieurs utilisateurs partagent le même mot de passe. En réalité, les comptes partagés sont rarement supprimés et les mots de passe partagés rarement modifiés. Il n'est pas rare que des entreprises soient piratées par d'anciens employés mécontents utilisant d'anciens mots de passe qui n'ont jamais été modifiés.

Lorsque chaque utilisateur - qu'il soit administrateur ou non - a son propre compte, chacun peut recevoir uniquement l'accès dont il a besoin et celui-ci peut être retiré ultérieurement sans inconvénient.

Les thèmes WordPress ne présentent pas de risque pour la sécurité

mythes courants sur la sécurité du woocommerce

Les thèmes WordPress modifient l'apparence d'une boutique WordPress, mais leur influence va plus loin que les changements de conception superficiels. Un thème WordPress n'est pas moins un logiciel qu'un plugin ; un thème non sécurisé est aussi risqué qu'un plugin non sécurisé. Pour la plupart, les thèmes téléchargés à partir des référentiels officiels et des sites Web des développeurs de thèmes sont sécurisés s'ils sont tenus à jour. Les thèmes provenant d'ailleurs sont plus risqués.

Ce mythe est particulièrement dur pour les détaillants WooCommerce qui installent des thèmes premium annulés (pirates). C'est une tactique préférée des criminels pour injecter des logiciels malveillants dans des thèmes annulés. Lorsque les propriétaires de magasins WooCommerce sans méfiance installent un thème, ils installent également une porte dérobée qui donne au criminel un accès total au site.

Un pare-feu assurera la sécurité de votre boutique WooCommerce

Il existe plusieurs types de pare-feu différents, et ils fonctionnent pour repousser différentes catégories d'attaques. Le pare-feu fourni par un fournisseur d'hébergement WooCommerce fonctionne au niveau de la couche réseau (également appelée couche 3). Il peut arrêter le trafic dirigé vers des ports particuliers ou à partir d'adresses IP spécifiques. Il ne peut pas arrêter les attaques malveillantes qui visent à exploiter les failles de l'application Web elle-même ; à un pare-feu de couche 3, celles-ci ressemblent à des requêtes Web légitimes pour le port 80.

Un pare-feu de couche 7 (couche application) est nécessaire pour détecter les attaques telles que les attaques par injection SQL, les attaques de script intersite et les attaques visant à exploiter les failles logicielles de WordPress, WooCommerce ou des plugins. Aussi connus sous le nom de pare-feu d'applications Web (WAF), ils constituent une couche de défense inestimable.

Les meilleurs fournisseurs d'hébergement WooCommerce offrent une fonctionnalité WAF intégrée, mais les détaillants WooCommerce peuvent installer un WAF via les plugins Sucuri ou WordFence .

mythes courants sur la sécurité du woocommerce

La mise à jour des plugins est suffisante pour assurer la sécurité de votre site

Une boutique WooCommerce peut-elle être piratée à cause d'une vulnérabilité de plugin alors que tous ses plugins sont à jour ? Oui il peut. Il peut y avoir des vulnérabilités zero-day dans les plugins ; c'est-à-dire des vulnérabilités qui n'ont pas été corrigées parce que le développeur n'en a pas connaissance. Un propriétaire de boutique WooCommerce ne peut pas faire grand-chose à ce sujet. Mais il existe une autre source de risque pour les magasins modernes.

C'est une erreur de supposer que parce que vous faites preuve de diligence dans la mise à jour des plugins, il en va de même pour les développeurs de plugins. Un propriétaire de boutique WooCommerce peut religieusement mettre à jour ses plugins, mais que se passe-t-il si le développeur a cessé de publier des mises à jour il y a 18 mois ? Il peut y avoir une vulnérabilité qui ne sera jamais corrigée par le développeur, et le propriétaire du magasin qui se concentre uniquement sur les notifications de mise à jour n'en sera pas plus avisé.

En plus de mettre à jour les plugins, les détaillants WooCommerce doivent vérifier la date à laquelle les développeurs de plugins ont récemment publié une mise à jour. Un plugin qui n'a pas été mis à jour depuis des mois n'est pas nécessairement dangereux, mais il justifie un certain degré de suspicion.

C'est une bonne idée de s'assurer que le plugin n'a pas été abandonné et que le développeur a l'intention de publier une version mise à jour à un moment donné. Si vous ne pouvez pas vérifier qu'un plugin attire l'attention de son développeur, envisagez de rechercher une alternative.

Il est important de protéger votre boutique WooCommerce

WooCommerce est une solution de commerce électronique puissante et facile à utiliser, et elle est tout aussi sécurisée que n'importe quel autre CMS ou application de commerce électronique. Mais, pour le garder en sécurité, les détaillants doivent comprendre au moins les bases de la sécurité des applications Web. Espérons que cet article a renversé certaines idées fausses sur la sécurité de WooCommerce et aidera les détaillants à assurer la sécurité de leur magasin et de leurs clients.