Le responsable du traitement des donn\u00e9es d\u00e9termine les finalit\u00e9s et les moyens par lesquels les donn\u00e9es \u00e0 caract\u00e8re personnel sont trait\u00e9es. Par cons\u00e9quent, si votre entreprise\/organisation d\u00e9cide \u00ab pourquoi \u00bb et \u00ab comment \u00bb les donn\u00e9es \u00e0 caract\u00e8re personnel doivent \u00eatre trait\u00e9es, elle est le responsable du traitement des donn\u00e9es. Les employ\u00e9s qui traitent des donn\u00e9es \u00e0 caract\u00e8re personnel au sein de votre organisation le font pour accomplir vos t\u00e2ches en tant que responsable du traitement.<\/p><\/blockquote>\n
Une faille de s\u00e9curit\u00e9 dans un site web peut mettre en p\u00e9ril la vie d’une entreprise. Qui voudrait confier les donn\u00e9es de sa carte bancaire \u00e0 un site web non s\u00e9curis\u00e9 ? Et quel serait l’impact sur la r\u00e9putation de votre marque si les donn\u00e9es de vos clients \u00e9taient vol\u00e9es et utilis\u00e9es \u00e0 des fins illicites ?<\/p>\n
En bref, au m\u00eame titre que les performances<\/a>, la s\u00e9curit\u00e9 est un facteur essentiel \u00e0 la r\u00e9ussite d’un site web et d’une entreprise de commerce \u00e9lectronique. C’est pourquoi nous avons rassembl\u00e9 dans cet article une liste de mesures de s\u00e9curit\u00e9 et de bonnes pratiques que tout propri\u00e9taire d’un site de commerce \u00e9lectronique devrait adopter pour rester comp\u00e9titif sur les march\u00e9s locaux et internationaux et \u00e9viter d’engager sa responsabilit\u00e9 juridique et de nuire \u00e0 son activit\u00e9 en ligne.<\/p>\n
<\/div><\/kinsta-auto-toc>\n 13 risques majeurs pour la s\u00e9curit\u00e9 des sites de commerce \u00e9lectronique<\/h2>\n
Selon le 2020 Trustwave Global Security Report<\/a>, les d\u00e9taillants traditionnels et les environnements de commerce \u00e9lectronique sont les industries les plus expos\u00e9es aux risques de cybers\u00e9curit\u00e9<\/strong>, avec environ 24 % du total des incidents de s\u00e9curit\u00e9 en 2019.<\/span><\/p>\n
Cela nous am\u00e8ne \u00e0 nous pencher sur l’importance de la s\u00e9curit\u00e9 pour les sites de commerce \u00e9lectronique, \u00e0 d\u00e9couvrir les menaces qui p\u00e8sent sur une entreprise en ligne et les mesures que les propri\u00e9taires de sites de commerce \u00e9lectronique doivent prendre pour s\u00e9curiser les transactions et les donn\u00e9es de leurs clients.<\/p>\n
Pour mieux comprendre les actions et les meilleures pratiques qu’un propri\u00e9taire de commerce en ligne doit adopter pour s\u00e9curiser ses sites web et ses boutiques en ligne, nous devons d’abord comprendre les menaces les plus dangereuses pour les sites de commerce \u00e9lectronique.<\/p>\n
Sur la base du Top 10 des risques de s\u00e9curit\u00e9 des applications web de l’OWASP<\/a>, nous avons dress\u00e9 la liste non exhaustive suivante des menaces les plus r\u00e9pandues auxquelles les sites de commerce \u00e9lectronique doivent faire face aujourd’hui.<\/p>\n
Top 10 de l’OWASP pour 2021 (Source de l’image : OWASP<\/a>)<\/figcaption><\/figure>\n <\/div><\/kinsta-auto-toc>\n 1. Logiciels malveillants et ran\u00e7ongiciels<\/h3>\n
Il existe de nombreux types de logiciels malveillants<\/a> et diff\u00e9rents niveaux de menaces pour la s\u00e9curit\u00e9. Les pirates les utilisent pour pirater des appareils et voler des donn\u00e9es. Les logiciels malveillants peuvent causer de graves dommages financiers et m\u00eame d\u00e9truire une entreprise enti\u00e8re.<\/p>\n
Bien que les cons\u00e9quences ne soient pas toujours aussi graves, vos clients peuvent recevoir le message d’erreur \u00ab The site ahead contains malware<\/a> \u00bb ou \u00ab Deceptive site ahead \u00bb ou autre, ce qui peut affecter la visibilit\u00e9 de votre site dans les SERP et nuire gravement \u00e0 votre image de marque.<\/p>\n
Les ran\u00e7ongiciels ou ransomwares<\/a> sont une sous-esp\u00e8ce de logiciels malveillants. En bref, les ransomwares d\u00e9tournent un appareil ou un site web, interdisant l’acc\u00e8s \u00e0 ses fichiers jusqu’\u00e0 ce que la victime paie une ran\u00e7on pour obtenir la cl\u00e9 de d\u00e9cryptage.<\/p>\n
En raison du risque \u00e9lev\u00e9 qu’une attaque de logiciels malveillants peut avoir sur un site de commerce \u00e9lectronique, il est vital pour votre entreprise d’analyser r\u00e9guli\u00e8rement votre site de commerce \u00e9lectronique<\/a> pour d\u00e9tecter les infections par des logiciels malveillants.<\/p>\n
Consultez notre guide vid\u00e9o sur les logiciels malveillants<\/a><\/strong><\/p>\n
<\/kinsta-video>\n 2. L’hame\u00e7onnage<\/h3>\n
L’hame\u00e7onnage ou phishing<\/a> est une sorte d’attaque d’ing\u00e9nierie sociale<\/a> utilis\u00e9e par les cybercriminels pour diffuser des logiciels malveillants, g\u00e9n\u00e9ralement par le biais d’e-mails<\/a>.<\/p>\n
Sch\u00e9ma d’une attaque par hame\u00e7onnage (Image source : Cloudflare<\/a>)<\/figcaption><\/figure>\n Il s’agit d’une tentative de vol d’informations sensibles telles que des noms d’utilisateur, des mots de passe, des donn\u00e9es de carte de cr\u00e9dit ou de compte bancaire, ou d’autres donn\u00e9es importantes, dans le but de les utiliser ou de les vendre \u00e0 des fins malveillantes. En g\u00e9n\u00e9ral, ce type d’attaque se fait par le biais de spams et d’autres formes d’e-mails frauduleux ou de messages instantan\u00e9s.<\/p>\n
Panneau d’avertissement de Google pour le phishing. (Source de l’image : FixMyWP<\/a>)<\/figcaption><\/figure>\n 3. Attaques DDoS<\/h3>\n
DDoS<\/a> est l’abr\u00e9viation de \u00ab distributed denial of service \u00bb (d\u00e9ni de service distribu\u00e9). Il s’agit d’un type d’attaque<\/a> qui inonde un site web d’un grand nombre de requ\u00eates afin de submerger le serveur<\/a> avec un trafic Internet excessif et de le mettre hors service. La cons\u00e9quence est que votre site est mis hors ligne et que les co\u00fbts de la bande passante augmentent consid\u00e9rablement. Cela peut \u00e9galement entra\u00eener la suspension de votre compte d’h\u00e9bergement.<\/p>\n
Analyse du tableau de bord de MyKinsta montrant la consommation de ressources.<\/figcaption><\/figure>\n 4. Injection SQL<\/h3>\n
L’injection SQL<\/a> est une sorte d’attaque r\u00e9alis\u00e9e par un acteur malveillant qui tente d’injecter des instructions SQL dans une application web. Si l’attaque r\u00e9ussit, il pourra acc\u00e9der \u00e0 la base de donn\u00e9es de votre site et lire, modifier ou supprimer des donn\u00e9es.<\/p>\n
Un exemple d’injection SQL (Source de l’image : Cloudflare<\/a>)<\/figcaption><\/figure>\n 5. Scripts inter-sites<\/h3>\n
Le Cross-Site Scripting<\/a> (XSS) est un type d’attaque o\u00f9 quelqu’un attache un code malveillant \u00e0 un site web pour qu’il soit ex\u00e9cut\u00e9 lors du chargement de la page. L’injection se produit dans le navigateur de l’utilisateur et vise g\u00e9n\u00e9ralement \u00e0 voler des informations sensibles.<\/p>\n
Comment fonctionne une attaque de type cross-site scripting (Source de l’image : Cloudflare<\/a>)<\/figcaption><\/figure>\n 6. Attaques man in the middle<\/h3>\n
Une attaque de type \u00ab man-in-the-middle \u00bb (MitM) ou \u00ab on-path<\/a> \u00bb est une cyberattaque dans laquelle quelqu’un se place au milieu de la communication entre deux appareils (tels qu’un navigateur web et un serveur web) dans le but de s’emparer d’informations et\/ou d’usurper l’identit\u00e9 de l’un des deux agents avec des intentions malveillantes.<\/p>\n
7. Bourrage de donn\u00e9es d’identification (Credential stuffing)<\/h3>\n
Le \u00ab Credential Stuffing<\/a> \u00bb est une cyber-attaque dans laquelle l’attaquant utilise des informations d’identification obtenues \u00e0 la suite d’une violation de donn\u00e9es sur un service ou un site web pour se connecter \u00e0 un autre service ou site web. Ce type d’attaque est un risque courant pour les professionnels travaillant \u00e0 domicile<\/a> et les entreprises \u00e0 distance.<\/p>\n
Comment fonctionne le bourrage de donn\u00e9es d’identification. (Source de l’image : Cloudflare<\/a>)<\/figcaption><\/figure>\n 8. Exploits Zero-day<\/h3>\n
Un exploit zero-day<\/a> est une faille de s\u00e9curit\u00e9 non r\u00e9solue ou inconnue jusqu’\u00e0 pr\u00e9sent qui n’a pas encore \u00e9t\u00e9 corrig\u00e9e. Cela signifie que vous disposez de z\u00e9ro jour pour r\u00e9soudre le probl\u00e8me avant qu’il ne cause de graves dommages \u00e0 votre entreprise.<\/p>\n
Comment les pirates informatiques m\u00e8nent une attaque de type \u00ab\u00a0zero-day\u00a0\u00bb. (Source :<\/b> Norton<\/a>)<\/figcaption><\/figure>\n 9. E-skimming<\/h3>\n
L’E-skimming ou \u00e9cr\u00e9mage num\u00e9rique<\/a> est l’insertion d’un logiciel malveillant sur le site web d’un d\u00e9taillant dans le but de voler les donn\u00e9es de paiement lors du passage \u00e0 la caisse. Ce type d’attaque est \u00e9galement connu sous le nom d’attaque Magecart<\/a>.<\/p>\n
Sch\u00e9ma d\u00e9crivant le fonctionnement d’une attaque MageCart (Source : Sucuri<\/a>)<\/figcaption><\/figure>\n 10. Attaques par force brute<\/h3>\n
Une attaque par force brute<\/a> est une m\u00e9thode d’essai et d’erreur utilis\u00e9e pour d\u00e9coder des donn\u00e9es sensibles telles que les identifiants de connexion, les cl\u00e9s API et les identifiants SSH. Une fois qu’un mot de passe a \u00e9t\u00e9 compromis, il peut \u00eatre utilis\u00e9 pour acc\u00e9der \u00e0 d’autres services si vous utilisez les m\u00eames informations d’identification sur plusieurs sites web. (Voir credential stuffing<\/a>.)<\/p>\n
L’utilisation de mots de passe forts<\/a>, l’activation de syst\u00e8mes d’authentification multi-factorielle<\/a> et l’utilisation d’un gestionnaire de mots de passe<\/a> robuste sont autant de bonnes pratiques qui permettent d’\u00e9viter ce type de cyberattaques.<\/p>\n
11. Portes d\u00e9rob\u00e9es<\/h3>\n
Une porte d\u00e9rob\u00e9e<\/a> permet de contourner un syst\u00e8me d’authentification ou de cryptage pour se connecter automatiquement \u00e0 un site web, un appareil ou un service. Une fois qu’un site web ou un service a \u00e9t\u00e9 viol\u00e9, un acteur malveillant peut cr\u00e9er ses propres portes d\u00e9rob\u00e9es pour acc\u00e9der \u00e0 votre site web, voler des donn\u00e9es et \u00e9ventuellement d\u00e9truire l’ensemble de votre site.<\/p>\n
12. Attaques d’ing\u00e9nierie sociale<\/h3>\n
Les attaques par ing\u00e9nierie sociale<\/a> sont particuli\u00e8rement dangereuses car elles exploitent des caract\u00e9ristiques de la nature humaine : la confiance en autrui, le manque de connaissances, la g\u00eane de contrevenir \u00e0 un ordre, l’utilitarisme, etc. La base de l’ing\u00e9nierie sociale est la manipulation psychologique des personnes dans le but de divulguer des informations confidentielles telles que des mots de passe, des d\u00e9tails de comptes bancaires et des informations financi\u00e8res.<\/p>\n
Les canaux les plus courants utilis\u00e9s pour ce type d’attaque sont les e-mails, les tchats, les appels t\u00e9l\u00e9phoniques, les r\u00e9seaux sociaux, les sites web, etc. L’attaquant peut ensuite utiliser ces informations pour mener d’autres types d’exploits tels que la falsification des requ\u00eates intersites (Cross-Site Request Forgery)<\/a>.<\/p>\n
Consultez notre guide vid\u00e9o pour tout savoir sur les attaques CSRF
\n<\/a><\/strong><\/kinsta-video><\/p>\n 13. Attaques de la cha\u00eene d’approvisionnement (supply chain)<\/h3>\n
En r\u00e8gle g\u00e9n\u00e9rale, lors d’une attaque de la cha\u00eene d’approvisionnement<\/a>, un cyber-attaquant infiltre un code malveillant dans le logiciel d’un fournisseur afin de le distribuer avec une mise \u00e0 jour.<\/p>\n
Bien qu’elles ne soient pas aussi r\u00e9pandues que d’autres attaques par porte d\u00e9rob\u00e9e, des attaques par supply chain ont \u00e9t\u00e9 r\u00e9cemment d\u00e9tect\u00e9es sur plusieures extensions WordPress<\/a>.<\/p>\n
9 bonnes pratiques pour s\u00e9curiser votre site de commerce \u00e9lectronique<\/h2>\n
S\u00e9curiser un site web peut \u00eatre une t\u00e2che difficile si vous ne disposez pas des bons outils et des bonnes comp\u00e9tences, mais ce n’est pas forc\u00e9ment un travail r\u00e9serv\u00e9 \u00e0 des ing\u00e9nieurs sp\u00e9cialis\u00e9s. L’essentiel est de conna\u00eetre les zones de vuln\u00e9rabilit\u00e9 et de vous former, ainsi que votre \u00e9quipe, aux meilleures pratiques pour s\u00e9curiser votre site de commerce \u00e9lectronique contre les menaces les plus courantes.<\/p>\n
Votre t\u00e2che est double : d’une part, vous \u00eates responsable de la s\u00e9curisation de WordPress et de WooCommerce, vous d\u00e9terminez qui peut acc\u00e9der \u00e0 la plateforme, les extensions \u00e0 installer, la passerelle de paiement, le syst\u00e8me d’authentification et tout ce qui concerne la maintenance de WordPress, des extensions et des th\u00e8mes. D’autre part, vous avez besoin d’une infrastructure s\u00e9curis\u00e9e et \u00e0 la pointe de la technologie. C’est l\u00e0 qu’intervient la qualit\u00e9 de votre service d’h\u00e9bergement web.<\/p>\n
Bien s\u00fbr, votre h\u00e9bergeur ne peut pas vous mettre \u00e0 l’abri des menaces. Il y a des mesures de s\u00e9curit\u00e9 que vous, et vous seul, en tant que propri\u00e9taire de site, pouvez prendre. Mais un service d’h\u00e9bergement s\u00e9curis\u00e9<\/a> qui prend la s\u00e9curit\u00e9 de votre site au s\u00e9rieux peut vous \u00eatre tr\u00e8s utile. Voici les principales caract\u00e9ristiques de s\u00e9curit\u00e9 \u00e0 rechercher dans un service d’h\u00e9bergement web moderne.<\/p>\n
<\/div><\/kinsta-auto-toc>\n 1. Choisissez une infrastructure d’h\u00e9bergement de pointe<\/h3>\n
Le choix de l’infrastructure d’h\u00e9bergement est essentiel pour la s\u00e9curit\u00e9 de votre site web, la r\u00e9putation de votre marque et, en fin de compte, le succ\u00e8s de votre entreprise. Vous avez le choix entre plusieurs types de services, qui diff\u00e8rent consid\u00e9rablement en termes d’infrastructure et de services fournis :<\/p>\n
\n
- H\u00e9bergement mutualis\u00e9<\/li>\n
- H\u00e9bergement d\u00e9di\u00e9<\/li>\n
- H\u00e9bergement VPS<\/li>\n
- H\u00e9bergement cloud<\/li>\n
- H\u00e9bergement WordPress infog\u00e9r\u00e9<\/li>\n<\/ul>\n
Pour un site de commerce \u00e9lectronique, il est essentiel de s’appuyer sur une infrastructure s\u00e9curis\u00e9e. Si vous tenez \u00e0 votre entreprise, un h\u00e9bergement mutualis\u00e9<\/a> n’est pas une option pour vous, car il ne garantit pas les normes de s\u00e9curit\u00e9 minimales n\u00e9cessaires \u00e0 la r\u00e9ussite d’un site de commerce \u00e9lectronique.<\/p>\n
L’h\u00e9bergement d\u00e9di\u00e9<\/a> peut \u00eatre hautement personnalis\u00e9 et optimis\u00e9 pour la s\u00e9curit\u00e9, mais il peut n\u00e9cessiter des comp\u00e9tences d’administrateur syst\u00e8me<\/a> qui peuvent \u00eatre difficiles \u00e0 trouver pour une petite ou moyenne entreprise.<\/p>\n
Si vous avez besoin de contr\u00f4ler votre h\u00e9bergement mais que vous ne disposez pas de grandes connaissances techniques et\/ou de ressources, vous pouvez opter pour un serveur priv\u00e9 virtuel (Virtual Private Serveur ou VPS), qui se situe \u00e0 mi-chemin entre l’h\u00e9bergement mutualis\u00e9 et l’h\u00e9bergement d\u00e9di\u00e9. Mais un VPS peut pr\u00e9senter quelques inconv\u00e9nients : Il pourrait ne pas \u00eatre en mesure de g\u00e9rer des niveaux ou des pics de trafic \u00e9lev\u00e9s et les performances sont toujours affect\u00e9es par les autres sites web sur le serveur.<\/p>\n
Un service d’h\u00e9bergement cloud<\/a> peut \u00eatre une bonne option pour vous car il dispose g\u00e9n\u00e9ralement de plusieurs mesures de s\u00e9curit\u00e9 pour s\u00e9curiser vos sites web. Cependant, il peut \u00eatre difficile \u00e0 configurer et \u00e0 g\u00e9rer si vous n’avez pas les comp\u00e9tences n\u00e9cessaires.<\/p>\n
Un h\u00e9bergement WordPress et WooCommerce infog\u00e9r\u00e9<\/a> vous offre une tranquillit\u00e9 d’esprit car vous n’\u00eates pas responsable de la configuration et de l’optimisation du serveur, et vous disposez d’un service de support sp\u00e9cialis\u00e9 et d’une installation et d’une maintenance du site simplifi\u00e9es.<\/p>\n
Un service d’h\u00e9bergement WordPress infog\u00e9r\u00e9 bas\u00e9 sur le cloud fusionne les avantages des deux mondes, combinant l’infrastructure rapide et s\u00e9curis\u00e9e des services cloud avec la facilit\u00e9 d’utilisation des services d’h\u00e9bergement WordPress infog\u00e9r\u00e9s.<\/strong><\/p>\n
Infrastructure d’h\u00e9bergement et pile technique de Kinsta<\/h4>\n
Chez Kinsta, nous pensons avoir cr\u00e9\u00e9 la solution d’h\u00e9bergement WordPress infog\u00e9r\u00e9e la plus rapide et la plus s\u00e9curis\u00e9e disponible aujourd’hui sur Google Cloud Platform<\/a>.<\/p>\n
R\u00e9gions de Google Cloud (Source : Google<\/a>)<\/figcaption><\/figure>\n Nous fournissons des VMs C3D et C2 optimis\u00e9es pour le calcul<\/a> sur tous les plans, de Starter \u00e0 Enterprise et au-del\u00e0, dans les r\u00e9gions o\u00f9 elles sont disponibles. Nous tirons \u00e9galement parti de l’infrastructure s\u00e9curis\u00e9e de Google<\/a>, qui comprend un pare-feu d’entreprise pour filtrer le trafic malveillant avant qu’il n’atteigne votre site web.<\/p>\n
En outre, nous avons construit une pile technique rapide et s\u00e9curis\u00e9e bas\u00e9e sur Nginx, MariaDB, PHP 8.4, les conteneurs LXD, et notre int\u00e9gration de Cloudflare Enterprise, qui fournit une s\u00e9curit\u00e9 suppl\u00e9mentaire, y compris un pare-feu, une protection DDoS, et bien plus encore. Cette pile est disponible pour tous nos clients, quel que soit leur plan.<\/p>\n
Nous utilisons des conteneurs Linux (LXC) et LXD pour les orchestrer sur la Google Cloud Platform (GCP), ce qui garantit une isolation compl\u00e8te pour chaque site WordPress. Sur Kinsta, votre site web ne partage les ressources avec aucun autre site web, y compris les autres sites web de votre compte.<\/strong><\/p>\n
Un diagramme de l’infrastructure d’h\u00e9bergement WordPress de Kinsta.<\/figcaption><\/figure>\n Consultez cet article pour en savoir plus sur notre technologie de pointe en mati\u00e8re de conteneurs isol\u00e9s<\/a>.<\/p>\n
2. Utilisez un pare-feu d’application web<\/h3>\n
Un pare-feu d’application web<\/a> (Web Application Firewall ou WAF) est un bouclier qui filtre les connexions malveillantes pour qu’elles n’atteignent pas votre site web et garde votre site WordPress s\u00e9curis\u00e9<\/a>.<\/p>\n
La connexion directe entre deux ordinateurs sur Internet, comme votre ordinateur et un serveur web, n’est pas s\u00e9curis\u00e9e si vous ne placez pas un pare-feu au milieu. Un acteur malveillant peut infecter votre site web avec un logiciel malveillant<\/a> ou lancer une attaque DDoS<\/a>.<\/p>\n
C’est l\u00e0 qu’intervient un pare-feu d’application web<\/a>. Il analyse chaque demande de connexion \u00e0 votre site web et bloque les tentatives d’acc\u00e8s potentiellement malveillantes.<\/p>\n
Un WAF est essentiel pour votre site web, que vous soyez un blogueur d\u00e9butant ou un entrepreneur prosp\u00e8re. Pour les sites de commerce \u00e9lectronique, l’utilisation d’un pare-feu d’application web est essentielle, car un site web non prot\u00e9g\u00e9 est une proie facile pour les pirates et autres acteurs malveillants.<\/p>\n
Sans pare-feu d’application web, un pirate peut facilement prendre le contr\u00f4le de votre site, modifier les identifiants de connexion, voler ou d\u00e9truire des donn\u00e9es, les ab\u00eemer et mener toutes sortes d’activit\u00e9s illicites. Il pourrait m\u00eame an\u00e9antir enti\u00e8rement votre site. En outre, votre site web serait plus vuln\u00e9rable aux attaques DDoS et aux attaques par force brute.<\/p>\n
Pour prot\u00e9ger votre site web \u00e0 l’aide d’un WAF, vous n’avez pas besoin d’installer et de configurer un logiciel suppl\u00e9mentaire sur votre serveur. Plusieurs options bas\u00e9es sur le cloud, telles que Cloudflare<\/a>, Sucuri<\/a> et WordFence<\/a>, peuvent \u00eatre install\u00e9es sur votre serveur en quelques minutes.<\/p>\n
Tous les sites web h\u00e9berg\u00e9s par Kinsta sont prot\u00e9g\u00e9s par Cloudflare<\/h4>\n
En plus de la protection bas\u00e9e sur l’IP que nous fournissons avec le pare-feu de Google Cloud Platform, tous les sites web h\u00e9berg\u00e9s par Kinsta b\u00e9n\u00e9ficient de notre int\u00e9gration Cloudflare<\/a>, qui comprend un pare-feu d’application web de niveau entreprise avec des r\u00e8gles personnalis\u00e9es et une protection DDoS gratuite.<\/p>\n
Gr\u00e2ce \u00e0 notre int\u00e9gration Cloudflare<\/a>, vous n’avez pas besoin de configurer un WAF manuellement car votre site est automatiquement s\u00e9curis\u00e9 derri\u00e8re le pare-feu de Cloudflare, quel que soit le plan auquel vous souscrivez.<\/p>\n
Comment fonctionne un pare-feu d’application web (Source de l’image : Cloudflare<\/a>)<\/figcaption><\/figure>\n 3. Installez un certificat SSL<\/h3>\n
SSL est un protocole<\/a> utilis\u00e9 pour crypter et authentifier les donn\u00e9es envoy\u00e9es entre une application cliente et un serveur web. Si vous exploitez un site de commerce \u00e9lectronique, un certificat SSL est vital pour votre site et votre entreprise, car il garantit le cryptage des donn\u00e9es, l’authentification du site, l’int\u00e9grit\u00e9 des donn\u00e9es et la confiance des utilisateurs.<\/p>\n
En outre, un certificat SSL am\u00e9liore le classement dans les moteurs de recherche, qui pr\u00e9f\u00e8rent les sites crypt\u00e9s par SSL. Si vous voulez avoir une chance d’\u00eatre list\u00e9 sur la premi\u00e8re page de Google, vous avez besoin d’un certificat SSL valide<\/a> avec un cryptage HTTPS<\/a>.<\/p>\n
Certificats SSL sur Kinsta<\/h4>\n
Si votre site web est h\u00e9berg\u00e9 par Kinsta, vous n’avez pas besoin de vous occuper de toutes les complexit\u00e9s techniques qu’un certificat SSL requiert g\u00e9n\u00e9ralement. Nos clients peuvent profiter de notre int\u00e9gration Cloudflare, qui inclut des certificats SSL automatiques pour tous les sites web WordPress. Cela inclut les certificats SSL wildcard<\/a>, ce qui signifie que votre SSL couvre \u00e9galement tous les sous-domaines li\u00e9s \u00e0 votre domaine principal. Et si vous en avez d\u00e9j\u00e0 un, vous pouvez \u00e9galement installer votre certificat SSL personnalis\u00e9.<\/p>\n
Les certificats SSL de Cloudflare sont gratuits pour tous nos clients, quel que soit leur plan.<\/strong><\/p>\n
Pour en savoir plus sur les certificats SSL de Kinsta WordPress, consultez notre documentation en ligne<\/a>.<\/p>\n
Consultez notre guide vid\u00e9o<\/a> pour choisir le bon certificat SSL pour votre site
\n<\/strong><\/kinsta-video><\/p>\n 4. Utilisez des connexions SFTP et SSH s\u00e9curis\u00e9es<\/h3>\n
Pour effectuer une sauvegarde manuelle de votre site WordPress ou t\u00e9l\u00e9charger manuellement une extension ou un th\u00e8me, vous devez acc\u00e9der au syst\u00e8me de fichiers du site via un client FTP<\/a>. Un client FTP prend g\u00e9n\u00e9ralement en charge les connexions FTP et SFTP, mais vous ne devriez utiliser que SFTP<\/a>, qui utilise un canal s\u00e9curis\u00e9 pour transf\u00e9rer des fichiers via SSH<\/a>. Cela fait une grande diff\u00e9rence avec les connexions FTP standard.<\/p>\n
Configurer le protocole SFTP dans Filezilla<\/figcaption><\/figure>\n Kinsta ne prend en charge que les connexions SFTP\/SSH<\/h4>\n
Parce que SFTP est une m\u00e9thode plus s\u00fbre, Kinsta ne supporte que les connexions SFTP.<\/strong><\/p>\n
Les d\u00e9tails de SFTP\/SSH sont disponibles dans votre tableau de bord MyKinsta sous Sites WordPress <\/strong>> Nom du site <\/strong>> Environnement <\/strong>> Info<\/strong>.<\/p>\n
Informations sur l’environnement SFTP dans MyKinsta<\/figcaption><\/figure>\n Informations d’identification de l’environnement SFTP dans MyKinstaVous ne devez jamais utiliser les m\u00eames identifiants de connexion pour plusieurs services et environnements de sites web. Pour cette raison, sur Kinsta, chaque environnement de site web – staging ou production – a une base de donn\u00e9es unique et des identifiants d’acc\u00e8s SFTP\/SSH<\/a>.<\/p>\n
5. Utilisez les versions support\u00e9es de PHP<\/h3>\n
Chaque version de PHP est g\u00e9n\u00e9ralement support\u00e9e pendant deux ans. Seules les versions support\u00e9es re\u00e7oivent des mises \u00e0 jour de performance et de s\u00e9curit\u00e9. L’utilisation de versions PHP non support\u00e9es r\u00e9duit les performances et augmente le risque de failles de s\u00e9curit\u00e9.<\/p>\n
\u00c0 partir d’ao\u00fbt 2024, les versions officiellement support\u00e9es de PHP sont PHP 8.1, 8.2 et 8.3.<\/p>\n
Versions de PHP support\u00e9es (Source PHP.net<\/a>)<\/figcaption><\/figure>\n Au moment o\u00f9 nous \u00e9crivons ces lignes, toutes les versions de PHP ant\u00e9rieures \u00e0 la 8.1 ne re\u00e7oivent pas de mises \u00e0 jour de s\u00e9curit\u00e9. Cela signifie que si vous utilisez PHP 8.0 ou une version ant\u00e9rieure, votre site est expos\u00e9 \u00e0 des failles de s\u00e9curit\u00e9 qui ne seront pas corrig\u00e9es.<\/strong><\/p>\n
Le noyau de WordPress est construit en PHP. Les extensions sont \u00e9galement bas\u00e9es sur PHP, et WooCommerce ne fait pas exception. Si votre commerce \u00e9lectronique est bas\u00e9 sur WordPress, l’utilisation d’une version PHP support\u00e9e<\/a> est vitale pour le succ\u00e8s de votre boutique en ligne.<\/p>\n
Outre une s\u00e9curit\u00e9 accrue, les versions les plus r\u00e9centes de PHP offrent de meilleures performances. Vous pouvez am\u00e9liorer la vitesse de votre site<\/a> en passant simplement \u00e0 la derni\u00e8re version de PHP.<\/p>\n
Kinsta n’autorise que les versions PHP prises en charge<\/h4>\n
Cela peut n\u00e9cessiter un effort de d\u00e9veloppement suppl\u00e9mentaire si vous utilisez des extensions personnalis\u00e9es qui ne sont pas compatibles avec les versions PHP prises en charge. Cependant, notre principale responsabilit\u00e9 est d’assurer une s\u00e9curit\u00e9 maximale pour vos sites web et l’ensemble de notre infrastructure. Pour cette raison, Kinsta ne vous permet pas d’utiliser des versions PHP non support\u00e9es<\/strong>.<\/p>\n
Les clients de Kinsta peuvent changer la version PHP de leur site WordPress dans MyKinsta. Naviguez vers la section de configuration de votre site et s\u00e9lectionnez Outils<\/strong> dans le menu de gauche. Faites d\u00e9filer la page et trouvez le moteur PHP<\/strong>. Cliquez sur le bouton Modifier<\/strong> et s\u00e9lectionnez la version PHP pour votre site web.<\/p>\n
Modifier le moteur PHP dans MyKinsta<\/figcaption><\/figure>\n 6. Activez l’authentification \u00e0 deux facteurs<\/h3>\n
L’utilisation de mots de passe forts pour s\u00e9curiser votre site web et votre compte d’h\u00e9bergement peut ne pas \u00eatre suffisante pour s\u00e9curiser votre site de commerce \u00e9lectronique. L’utilisation d’un syst\u00e8me d’authentification \u00e0 plusieurs facteurs<\/a> est fortement recommand\u00e9e.<\/p>\n
L’authentification \u00e0 plusieurs facteurs est un syst\u00e8me d’authentification dans lequel l’utilisateur qui acc\u00e8de au service doit fournir deux preuves ou plus de son identit\u00e9. Cela peut se faire de diff\u00e9rentes mani\u00e8res : La biom\u00e9trie comme les empreintes digitales, une application d’authentification, un e-mail, un SMS, un jeton mat\u00e9riel, etc.<\/p>\n
Lorsqu’il s’agit de votre site de commerce \u00e9lectronique, vous devez renforcer la s\u00e9curit\u00e9 de l’authentification en activant l’authentification \u00e0 deux facteurs<\/a> (2FA) \u00e0 la fois sur votre service d’h\u00e9bergement et sur votre site WordPress.<\/p>\n
Activez l’authentification \u00e0 deux facteurs avec Kinsta<\/h4>\n
En plus d’utiliser un mot de passe fort pour MyKinsta, nous vous recommandons d’activer l’authentification \u00e0 deux facteurs et de demander \u00e0 tous les utilisateurs de votre entreprise de faire de m\u00eame. Lorsque l’authentification \u00e0 deux facteurs est activ\u00e9e, toutes les tentatives de connexion \u00e0 MyKinsta n\u00e9cessiteront un code de v\u00e9rification suppl\u00e9mentaire provenant d’une application d’authentification (par exemple, Google Authenticator) sur votre t\u00e9l\u00e9phone ou d’une application de gestion de mots de passe.<\/p>\n
Pour activer le 2FA dans MyKinsta, cliquez sur votre nom dans le coin sup\u00e9rieur droit et s\u00e9lectionnez R\u00e9glages de l’utilisateur<\/strong>. Dans Mon compte<\/strong>, faites d\u00e9filer la page jusqu’\u00e0 la section Authentification \u00e0 deux facteurs<\/strong>. Cliquez sur le bouton de basculement et scannez le QR code dans votre application d’authentification, entrez le code \u00e0 6 chiffres que vous voyez dans l’application, et vous avez termin\u00e9.<\/p>\n
Authentification \u00e0 deux facteurs dans MyKinsta<\/figcaption><\/figure>\n Notez que Kinsta ne prend plus en charge l’authentification \u00e0 deux facteurs par SMS, car elle est vuln\u00e9rable aux attaques par t\u00e9l\u00e9phone<\/a> et moins s\u00fbre qu’un jeton bas\u00e9 sur la dur\u00e9e. Une r\u00e9cente violation des donn\u00e9es d’Authy<\/a> a expos\u00e9 33 millions de num\u00e9ros de t\u00e9l\u00e9phone de clients, augmentant ainsi la menace d’attaques de phishing par SMS et d’\u00e9change de cartes SIM.<\/p>\n
Kinsta ne prend plus en charge l’authentification par SMS<\/figcaption><\/figure>\n Vous pouvez en savoir plus sur l’authentification 2FA sur Kinsta dans notre documentation<\/a>.<\/p>\n
Activez l’authentification 2FA avec WordPress<\/h4>\n
Il se peut que vous souhaitiez activer l’authentification \u00e0 deux facteurs sur votre site de commerce \u00e9lectronique. WordPress ne prend pas en charge l’authentification \u00e0 deux facteurs, mais vous pouvez rapidement et facilement ajouter cette fonctionnalit\u00e9 \u00e0 votre site web avec l’un des plugins suivants :<\/p>\n
\n
- Authentification \u00e0 deux facteurs<\/a><\/li>\n
- Google Authenticator<\/a><\/li>\n<\/ul>\n
7. Mises \u00e0 jour du noyau, des plugins et des th\u00e8mes<\/h3>\n
En plus des versions de base de WordPress, de nouvelles mises \u00e0 jour de s\u00e9curit\u00e9 sont publi\u00e9es r\u00e9guli\u00e8rement lorsqu’une nouvelle vuln\u00e9rabilit\u00e9 est d\u00e9tect\u00e9e. Il en va de m\u00eame pour les th\u00e8mes et les extensions.<\/p>\n
Pour assurer la protection de votre site web WordPress, vous devez le maintenir \u00e0 jour dans son ensemble afin d’\u00e9viter les failles de s\u00e9curit\u00e9.<\/p>\n
Dans votre tableau de bord WordPress, sous Tableau de bord<\/strong> > Mises \u00e0 jour<\/strong>, vous pouvez activer les mises \u00e0 jour de base automatiques<\/a> pour toutes les versions de WordPress, ou uniquement pour les versions de maintenance et de s\u00e9curit\u00e9.<\/p>\n
Vous pouvez \u00e9galement g\u00e9rer les mises \u00e0 jour automatiques pour les th\u00e8mes et les extensions.<\/p>\n
Activer\/d\u00e9sactiver les mises \u00e0 jour automatiques des extensions<\/figcaption><\/figure>\n Activer\/d\u00e9sactiver les mises \u00e0 jour automatiques des th\u00e8mes<\/figcaption><\/figure>\n Notez qu’\u00e0 partir de WordPress 6.6<\/a>, vous pouvez revenir sur les mises \u00e0 jour automatiques<\/a> de vos extensions en cas d’\u00e9chec.<\/p>\n
Si vous pr\u00e9f\u00e9rez, vous pouvez d\u00e9sactiver cette fonctionnalit\u00e9 et effectuer les mises \u00e0 jour vous-m\u00eame, mais la mise \u00e0 jour d’un grand nombre de sites peut \u00eatre une t\u00e2che fastidieuse et chronophage. C’est pourquoi de nombreuses agences ont recours \u00e0 des outils tiers qui leur permettent de g\u00e9rer les mises \u00e0 jour de tous leurs sites WordPress \u00e0 partir d’un seul environnement externe.<\/p>\n
Les clients de Kinsta n’ont pas besoin de payer pour des services tiers pour g\u00e9rer leurs mises \u00e0 jour group\u00e9es car ils peuvent profiter de la fonction de mises \u00e0 jour group\u00e9e disponible dans le tableau de bord MyKinsta.<\/p>\n
Mises \u00e0 jour WordPress avec Kinsta<\/h4>\n
Vous pouvez g\u00e9rer les th\u00e8mes et les extensions de votre site WordPress directement depuis MyKinsta. Dans votre tableau de bord, naviguez vers Sites WordPress<\/strong> > Nom du site<\/strong> > Th\u00e8mes et extensions<\/strong>. Ici, vous pouvez s\u00e9lectionner un ou plusieurs extensions ou th\u00e8mes et les mettre \u00e0 jour individuellement en groupe<\/a>.<\/p>\n
Mettre \u00e0 jour des extensions de fa\u00e7on group\u00e9e dans MyKinsta<\/figcaption><\/figure>\n Notez que lorsque vous lancez une mise \u00e0 jour depuis MyKinsta, une sauvegarde g\u00e9n\u00e9r\u00e9e par le syst\u00e8me est cr\u00e9\u00e9e afin que vous puissiez revenir en arri\u00e8re pendant 2 heures si la mise \u00e0 jour \u00e9choue. Cela ajoute une couche de s\u00e9curit\u00e9 et vous donne une tranquillit\u00e9 d’esprit lorsque vous devez mettre \u00e0 jour vos extensions ou th\u00e8mes.<\/p>\n
Une sauvegarde g\u00e9n\u00e9r\u00e9e par le syst\u00e8me est cr\u00e9\u00e9e lorsque vous mettez \u00e0 jour vos extensions de fa\u00e7on group\u00e9e<\/figcaption><\/figure>\n Vous pouvez \u00e9galement lancer des mises \u00e0 jour group\u00e9es pour plusieurs sites WordPress \u00e0 la fois. Dans votre tableau de bord MyKinsta, s\u00e9lectionnez Sites WordPress<\/strong>. Une fois l\u00e0, s\u00e9lectionnez un ou plusieurs sites web et cliquez sur le bouton Actions<\/strong> \u00e0 droite, puis s\u00e9lectionnez l’action group\u00e9e que vous souhaitez effectuer. Si vous mettez \u00e0 jour des extensions, cliquez sur l’\u00e9l\u00e9ment de menu correspondant. Une fen\u00eatre popup affichera une liste d’extensions pour lesquelles une mise \u00e0 jour est disponible.<\/p>\n
Choisissez les extensions \u00e0 mettre \u00e0 jour et attendez quelques secondes. Une fen\u00eatre popup vous indiquera si le processus s’est d\u00e9roul\u00e9 avec succ\u00e8s.<\/p>\n
Si la mise \u00e0 jour \u00e9choue, naviguez vers Nom du site<\/strong> > Sauvegardes<\/strong> > G\u00e9n\u00e9r\u00e9e par le syst\u00e8me<\/strong> dans MyKinsta et restaurez la sauvegarde la plus r\u00e9cente.<\/p>\n
Sauvegardes g\u00e9n\u00e9r\u00e9es par le syst\u00e8me dans le tableau de bord MyKinsta<\/figcaption><\/figure>\n Et, ce qui est encore plus puissant, vous pouvez effectuer toutes ces op\u00e9rations sur un environnement staging<\/a> d’abord, puis pousser le staging vers la production<\/a> sans aucun risque.<\/p>\n
Sur Kinsta, vous pouvez mettre \u00e0 jour de fa\u00e7on group\u00e9e les th\u00e8mes et les extensions de tous vos sites WordPress \u00e0 partir d’une seule page, sans aucun risque. Parfait pour les agences qui g\u00e8rent un grand nombre de sites en un seul endroit.<\/strong><\/p>\n
8. Sauvegardes<\/h3>\n
Si une mise \u00e0 jour se passe mal, ou si un site est compromis ou compl\u00e8tement effac\u00e9 \u00e0 cause d’une faille de s\u00e9curit\u00e9, une sauvegarde peut vous sauver la vie<\/a>. Si votre h\u00e9bergeur ne propose pas de syst\u00e8me de sauvegarde automatique, vous pouvez toujours recourir \u00e0 une extension WordPress. Nous vous recommandons d’utiliser une extension WordPress qui propose des sauvegardes incr\u00e9mentielles<\/a> : Cela vous permet d’avoir une sauvegarde de votre site sans perdre d’espace disque ou r\u00e9duire les performances du site.<\/p>\n
Cependant, un service d’h\u00e9bergement web qui se pr\u00e9occupe vraiment de votre site de commerce \u00e9lectronique devrait fournir des sauvegardes r\u00e9guli\u00e8res de WordPress. Kinsta propose six types de sauvegarde diff\u00e9rents.<\/strong><\/p>\n
Les six types de sauvegardes propos\u00e9es par Kinsta<\/h4>\n
Nous fournissons des sauvegardes automatiques quotidiennes de WordPress<\/strong>, ainsi que des sauvegardes g\u00e9n\u00e9r\u00e9es par le syst\u00e8me<\/strong> pour tous les sites WordPress. Ces sauvegardes, ainsi que les sauvegardes manuelles<\/strong>, sont disponibles en tant que points de restauration dans MyKinsta. Vous pouvez \u00e9galement cr\u00e9er manuellement une sauvegarde t\u00e9l\u00e9chargeable<\/strong> une fois par semaine.<\/p>\n
Vous pouvez consulter vos sauvegardes dans votre tableau de bord MyKinsta sous Sites WordPress<\/strong> > Nom du site<\/strong> > Sauvegardes<\/strong>. Ici, vous pouvez restaurer votre sauvegarde<\/a> dans l’environnement de votre choix en un seul clic.<\/p>\n
Restaurer une sauvegarde dans un environnement de staging dans MyKinsta<\/figcaption><\/figure>\n Si vous mettez \u00e0 jour votre site e-commerce plusieurs fois par jour et que vous avez besoin de plus de sauvegardes, vous pouvez acheter un module pour des sauvegardes horaires<\/a>.<\/p>\n
![\"Top](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/09\/owasp-top-ten.png\")
![\"Sch\u00e9ma](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/phishing-attack-1.png\")
![\"Panneau](\"https:\/\/kinsta.com\/wp-content\/uploads\/2021\/09\/phising-attack-ahead.png\")
![\"Analyse](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/05\/mykinsta-analytics.png\")
![\"Un](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/sql-injection-1.png\")
![\"Attaque](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/xss-attack-1.png\")
![\"Comment](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/09\/credential-stuffing.png\")
![\"Comment](\"https:\/\/kinsta.com\/wp-content\/uploads\/2021\/11\/Untitled-8.jpg\")
![\"Diagramme](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/magecart-diagram-1.jpg\")
![\"R\u00e9gions](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/google-cloud-regions.jpg\")
![\"Un](\"https:\/\/kinsta.com\/wp-content\/uploads\/2023\/11\/Kinsta-WordPress-hosting-architecture.jpg\")
![\"Cloudflare](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/cloudflare-waf.png\")
![\"Configurer](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/sftp.jpg\")
![\"Informations](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/sftp-credentials-mykinsta.jpg\")
![\"Versions](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/supported-php-versions.png\")
![\"Modifier](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/modify-php-engine-mykinsta.jpg\")
![\"Authentification](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/2fa-mykinsta.jpg\")
![\"Kinsta](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/sms-authentication-not-supported.jpg\")
![\"Activer\/d\u00e9sactiver](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/plugins-screen.jpg\")
![\"Activer\/d\u00e9sactiver](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/theme-details.jpg\")
![\"Mettre](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/update-plugins.jpg\")
![\"Une](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/plugin-bulk-update-backup.jpg\")
![\"Sauvegardes](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/08\/system-generated-backups.jpg\")
![\"Sauvegardes](\"https:\/\/kinsta.com\/wp-content\/uploads\/2024\/09\/daily-backups.jpg\")