Si vous étiez chargé de compiler une liste des meilleures utilisations pour un site Web WordPress, le démarrage d’un magasin devrait y figurer, certainement quelque part près du sommet.
Les utilisateurs de WordPress ont la tâche particulièrement facile car ils n’ont pas à perdre leur temps à réfléchir à la meilleure plateforme pour leur boutique.
WooCommerce, le choix incontournable pour alimenter les boutiques en ligne WordPress, offre d’excellentes fonctionnalités de base et une extensibilité davantage grande, les deux fonctionnalités qui définissent aussi WordPress.
Cela dit, tout comme WordPress, WooCommerce n’est pas parfait, ce qui nous amène par rapport aux vulnérabilités de WooCommerce.
Chaque logiciel que vous pouvez employer peut avoir sa juste part de problèmes, d’erreurs ou de points faibles. Quand ce logiciel est aussi critique pour votre entreprise que WooCommerce a tendance à l’être, et quand vous l’utilisez pour traiter les informations sensibles de vos clients, tout défaut pouvant être exploité par des tiers devient une vulnérabilité qui doit être traitée.
Dans ce post, nous parlerons des vulnérabilités de sécurité dans WooCommerce et de la manière de les traiter. Une liste complète des sujets que nous couvrirons comprend :
Une vulnérabilité WooCommerce, ou une vulnérabilité logicielle en général, est une faille dans le logiciel qui l’expose à divers types d’attaques. Les vulnérabilités logicielles peuvent survenir à la suite d’un codage défectueux ou quand des erreurs sont commises pendant la conception des procédures et fonctionnalités logicielles. Dans tous les cas, ils laissent une fenêtre ouverte à un acteur malveillant pour les exploiter et agir contre votre système ou ses utilisateurs.
En tant qu’utilisateur de WooCommerce, vous n’êtes pas censé être chargé de trouver les vulnérabilités de WooCommerce, et encore moins de trouver un moyen de les corriger. Dans le meilleur des cas, un scientifique en sécurité trouve la vulnérabilité tout en cherchant des points faibles sur WooCommerce, puis en informe le public et WooCommerce, par la suite la société publie un correctif ou des instructions pour résoudre le problème. Dans le pire des cas, la vulnérabilité est découverte après qu’elle a déjà été exploitée par des acteurs malveillants.
Ce qui rend particulièrement décourageant le fait de rester au courant des vulnérabilités de WooCommerce, c’est que, assez souvent, elles n’ont rien à voir avec WooCommerce. Les utilisateurs de WooCommerce utilisent régulièrement des plugins tiers pour l’analyse WooCommerce, la gestion des expéditions ou la création d’ensembles de produits, pour ne énoncer que quelques utilisations populaires des extensions et plugins WooCommerce. Plus vous avez de plugins, plus vous introduisez de points faibles potentiels dans votre système, surtout si ces plugins proviennent de développeurs peu réputés ou ne sont plus pris en charge.
Quels types de vulnérabilités se produisent dans WooCommerce ?
Votre boutique WooCommerce peut être vulnérable à toutes sortes d’attaques. Savoir ce qu’elles sont n’est pas obligatoire pour un utilisateur régulier de WooCommerce, mais plus vous en saurez, mieux vous comprendrez pourquoi il est important de prendre ces vulnérabilités au sérieux et d’en prendre soin dès que vous en prenez connaissance.
Un coup d’œil sur les vulnérabilités liées à WooCommerce – celles qui affectent à la fois WooCommerce et les extensions et plugins tiers – identifie celles-ci comme les problèmes les plus probables :
Injections SQL
La base de informations de votre site Web est l’une de ses parties les plus importantes. Situé sur le serveur, il est soumis à des demandes constantes d’informations provenant de la partie frontale du site Web. Une injection SQL est un type d’attaque qui utilise ce processus pour accéder à des informations restreintes.
Avec une injection SQL, un acteur malveillant trouvera un moyen de faire exécuter une commande SQL sur votre base de informations. En général, c’est la partie de votre site Web qui fournit une entrée utilisateur, telle qu’une page de connexion ou un formulaire, qui sert de point d’entrée.
Après une attaque réussie, un pirate peut s’en tirer avec les informations utilisateur que vous stockez dans la base de informations, des informations sur la base de informations que vous ne voulez pas rendre publiques ou des informations provenant de plusieurs tables de la base de informations. Les injections SQL peuvent aussi être utilisées pour perturber le fonctionnement des applications.
Script intersite
Un autre type d’attaque par injection, le cross-site scripting ou XSS, repose sur l’utilisation des vulnérabilités de votre site Web pour servir des scripts malveillants qui s’exécuteront ensuite sur les navigateurs des visiteurs de votre site Web. En voyant comment les utilisateurs partagent des informations sensibles avec votre site Web parce qu’il s’agit d’un magasin, les attaques XSS peuvent causer beaucoup de problèmes.
Une attaque XSS utilise le statut de votre boutique en qualité de source fiable pour masquer le script qui, lorsqu’il est exécuté, accède aux cookies et autres informations de session stockées dans le navigateur. À partir de là, le pirate peut employer ces informations pour se faire passer pour la cible, employer ses informations de connexion et accéder à ses informations.
Comment gérer les vulnérabilités de WooCommerce
Bien qu’il ne vous incombe peut-être pas de vous assurer que WooCommerce reste au fait de toutes les nouvelles vulnérabilités de son code qui sont trouvées, cela ne signifie pas que vous n’avez pas un rôle important à jouer dans la sécurité de votre site Web. Donc, si vous voulez vous assurer que vous donnez le moins de place possible aux attaquants pour attaquer votre site Web en utilisant les vulnérabilités de WooCommerce, voici ce que vous voulez faire.
Assurez-vous d’exécuter la dernière version de WooCommerce
Même si la mise à jour des plugins est quelque chose que vous pouvez configurer pour qu’elle se produise automatiquement sur votre site Web, de nombreux administrateurs choisissent souvent de le faire manuellement. Les grands boutiques en ligne qui exécutent de nombreux plug-ins tiers et dont de nombreux clients achètent de nombreux produits peuvent nécessiter de tester la mise à jour sur un clone du site Web.
Le problème avec cette pratique, cela dit, est que les correctifs les plus courants aux vulnérabilités de WooCommerce se présentent sous la forme de mises à jour de plugins. Garder votre plugin à jour est toujours l’un des meilleurs moyens de vous assurer que votre boutique WooCommerce dispose de la meilleure version – et la moins vulnérable – de WooCommerce disponible à ce moment-là.
Gardez aussi les autres plugins à jour
Tout ce que nous avons dit sur WooCommerce peut généralement être prescrit à d’autres plugins – c’est une bonne idée de les tenir à jour. Bien entendu, vous devez aussi vous assurer que vous n’utilisez que les plugins dont vous avez besoin et que vous supprimez les plugins inutiles le plus tôt possible. Utilisez aussi des plugins de développeurs en qui vous avez confiance.
Restez au courant des derniers développements
Dans certains cas, WooCommerce peut vous alerter d’une vulnérabilité si vous avez choisi de recevoir des communications par e-mail de leur part – c’est une raison aussi forte que vous ne trouverez jamais pour accepter de recevoir des e-mails d’une entreprise.
Même si ce n’est pas le cas, vous devriez garder un œil sur leur blog, car WooCommerce pourrait l’employer pour alerter le public des problèmes possibles. Si vous souhaitez élargir votre réseau, peut-être même garder un œil sur les plugins tiers que vous utilisez avec WooCommerce, utilisez un site Web comme CVE Details pour rechercher de potentielles vulnérabilités.