Votre boutique en ligne, c'est votre chiffre d'affaires. Si elle tombe, votre business s'arrête. Et croyez-moi, les hackers savent exactement comment faire tomber un petit e-commerce.
Voici les 5 étapes pour sécuriser votre site, de la fondation jusqu'aux réflexes quotidiens.
---
Les sites e-commerce sont attaqués en moyenne 94 fois par jour (source Sucuri). Les attaquants cherchent :
- Les données de cartes bancaires (revente sur le dark web) - Les comptes clients (revente de listes d'emails + mots de passe) - Les ransomwares (chiffrer votre site et exiger une rançon) - Le SEO spam (injecter des liens vers des sites frauduleux) - Les cryptominers (utiliser le CPU de vos visiteurs)
Un petit e-commerce qui fait 200k€ de CA n'est pas "trop petit pour intéresser les hackers". Il est exactement la cible idéale : assez de données pour être rentable, pas assez protégé pour résister.
---
C'est la base. Si votre site n'est pas en HTTPS, Google Chrome affiche "Non sécurisé" dans la barre d'adresse. Vos clients voient ça. Et les données (mots de passe, coordonnées) transitent en clair.
#
- **Certificat SSL/TLS** : Let's Encrypt (gratuit, renouvellement automatique) ou certificat payant (OV/EV pour les gros sites) - **HSTS activé** : force le HTTPS sur toutes les pages, empêche le downgrade vers HTTP - **Redirection 301** de HTTP vers HTTPS - **Certificat wildcard** si vous avez des sous-domaines (blog.votresite.com, app.votresite.com) - **TLS 1.3 minimum** : désactivez TLS 1.0 et 1.1 (obsolètes)
#
- Choisissez un hébergeur spécialisé e-commerce (o2switch, PlanetHoster, Kinsta) plutôt qu'un hébergement mutualisé premier prix - Vérifiez que l'hébergeur propose des sauvegardes automatiques quotidiennes - Assurez-vous que les logs d'accès sont conservés minimum 30 jours - Vérifiez la présence d'un WAF (Web Application Firewall) côté hébergeur
---
Si vous êtes sur WooCommerce, Shopify, PrestaShop ou Magento, votre CMS est la première surface d'attaque. 98% des sites WordPress piratés le sont via un plugin vulnérable.
#
- **Mises à jour automatiques** activées pour le core du CMS - **Plugins vérifiés** : chaque plugin installé doit être maintenu, mis à jour dans les 30 jours, et avoir une bonne réputation - **Supprimez TOUS les plugins inutilisés** : un plugin désactivé mais non supprimé reste exécutable dans certains cas - **Thèmes** : idem, gardez uniquement le thème actif et un thème parent. Supprimez les autres - **Planification hebdomadaire** : tous les lundis, vérifiez qu'il n'y a pas de mise à jour en attente
#
- **Wordfence** (WordPress/WooCommerce) : firewall + scanner de malwares + blocage des IP malveillantes - **Sucuri Scanner** (tous CMS) : détection de fichiers modifiés, blacklist, logiciels obsolètes - **iThemes Security** (WordPress) : durcissement complet (masquage login, limitation tentatives, 2FA)
---
La règle d'or du e-commerce : vous ne devez JAMAIS stocker de numéros de carte bancaire sur votre serveur. Jamais.
#
- **Redirection vers PSP** (Prestataire de Services de Paiement) : Stripe, PayPal, PayPlug, Adyen. Le client est redirigé vers leurs serveurs. Vous ne voyez jamais les numéros de CB - **Tokenisation** si vous voulez du "one-click checkout" : le PSP stocke un token qui référence la CB, mais la CB elle-même n'est pas chez vous - **3D Secure 2 obligatoire** depuis mai 2021 en Europe. Vérifiez que votre PSP le supporte - **Conformité PCI-DSS** : si vous ne stockez pas de CB et passez par un PSP en redirection, vous êtes en niveau SAQ-A (le moins contraignant). Votre PSP vous fournit l'attestation
#
- Stocker des numéros de CB dans votre base de données (même chiffrés) - Envoyer des numéros de CB par email - Utiliser un formulaire de CB hébergé sur votre propre site (sauf si vous êtes certifié PCI-DSS niveau 1, ce qu'aucune PME n'est)
---
Votre site peut tomber pour des dizaines de raisons : piratage, erreur de mise à jour, hébergeur qui coupe, bug de plugin, erreur humaine. Sans sauvegarde, vous reconstruisez tout à la main.
#
[🔗 Voir BlogVault](https://blogvault.net)
- Sauvegarde incrémentielle toutes les heures (pas de backup qui ralentit le site à chaque fois) - Restauration en un clic - Migration facile vers un autre hébergeur - Stockage externe (survie si l'hébergeur coupe) - 89$/an pour un site
**Alternative : Jetpack Backup** (ex-VaultPress)
[🔗 Voir Jetpack Backup](https://jetpack.com)
**Alternative gratuite : UpdraftPlus** (WordPress) + stockage sur Google Drive ou Backblaze B2 (payant mais 0,005$/Go/mois)
#
- Sauvegarde quotidienne automatique minimum (horaire recommandée) - Stockage hors site (pas chez le même hébergeur) - Test de restauration trimestriel - Conservation 30 jours minimum - Sauvegarde de la base de données ET des fichiers
---
La sécurité n'est pas un état. C'est un processus continu. Vous devez savoir en temps réel ce qui se passe sur votre site.
#
**Activité fichier** : - Détecter les fichiers modifiés, ajoutés, supprimés (Wordfence, Sucuri) - Vérifier les permissions (pas de fichier en 777) - Vérifier l'intégrité des fichiers du CMS core (comparaison des checksums)
**Tentatives de connexion** : - Limiter les tentatives de connexion (3 essais puis blocage 15 minutes) - Masquer l'URL de connexion /wp-admin ou /admin (ou la renommer) - 2FA obligatoire pour tous les comptes administrateurs - Journaliser toutes les connexions admin (qui, quand, depuis quelle IP)
**Trafic suspect** : - Détecter les pics anormaux de trafic (DDoS potentiel) - Surveiller les tentatives d'injection SQL et XSS (WAF) - Vérifier les fichiers de logs régulièrement
**Disponibilité** : - Monitoring uptime : UptimeRobot (gratuit pour 5 sites) ou Pingdom - Alertes SMS/email si le site tombe - Temps de réponse : si > 2 secondes, enquêtez
#
1. **Mettre le site en maintenance** (page statique "En maintenance") 2. **Changer TOUS les mots de passe** : admin, FTP, base de données, hébergement 3. **Scanner le site** avec Wordfence + Sucuri + un scanner externe 4. **Restaurer la dernière sauvegarde propre** 5. **Identifier la cause** : quel plugin, quel fichier, quel compte a été compromis 6. **Corriger la vulnérabilité** : mise à jour, suppression 7. **Vérifier les utilisateurs admin** : supprimer tout compte inconnu 8. **Vérifier les redirections** : .htaccess, wp-config.php, robots.txt
---
| Étape | Action clé | Outil recommandé | Coût | |-------|-----------|------------------|------| | 1. HTTPS + Hébergement | SSL, HSTS, hébergeur pro | Let's Encrypt | Gratuit | | 2. CMS à jour | Mettre à jour, supprimer l'inutile | Wordfence | Gratuit (version basique) | | 3. Paiement sécurisé | PSP en redirection, pas de CB en local | Stripe, PayPlug | % sur transaction | | 4. Sauvegarde | Quotidienne, hors site, testée | BlogVault | 89$/an | | 5. Surveillance | Logs, alertes, plan d'urgence | UptimeRobot + Wordfence | Gratuit |
---
Pour un petit e-commerce WooCommerce sous WordPress :
- Hébergement correct : 10-20€/mois (o2switch, PlanetHoster) - Certificat SSL : 0€ (Let's Encrypt) - Wordfence : 0€ (version gratuite) ou 99$/an (Premium) - Sauvegarde : 0€ (UpdraftPlus + Backblaze B2 ~1$/mois) ou 89$/an (BlogVault) - Monitoring : 0€ (UptimeRobot gratuit)
**Total : 10-20€/mois pour sécuriser un business qui en rapporte 100x plus.**
---
Le plus grand risque pour votre e-commerce n'est pas une attaque sophistiquée. C'est l'oubli d'une mise à jour, un plugin abandonné, une sauvegarde que vous n'avez jamais testée.
Faites les 5 étapes ci-dessus aujourd'hui. Votre business de demain vous dira merci.
---
Consultez aussi nos guides sur [les 10 erreurs de sécurité des PME](/articles/10-erreurs-securite-pme.html) et [la sauvegarde automatique pour PME](/articles/11-sauvegarde-automatique-comparatif.html).
⚡ Boostez votre e-commerce : Systeme.io — Funnels de vente, emails automatisés, pages produits. Gratuit.
Essayer Systeme.io →Décrivez votre besoin — un expert vous recontacte sous 24h avec une recommandation personnalisée et gratuite.
Gratuit · Sans engagement · Réponse sous 24h