Copie de Bleu et Blanc Coloré Dégradé Musique YouTube Miniature (1)

WordPress c’est aussi pour les gros sites e-commerce

WordPress est le Content Management System le plus utilisé dans le monde. Ce CMS, qui permettait à l’origine de créer des blogs, a fait du chemin depuis sa création. De quoi donner naturellement une belle visibilité à son plugin e-commerce, WooCommerce, qui enregistre aujourd’hui plus de 15 millions de téléchargements.

Zoom sur le plugin WooCommerce

Le plugin WooCommerce est une extension open-source qui permet à un site WordPress classique de se transformer en une plateforme e-commerce.

Créé en 2011, il s’est rapidement démocratisé, notamment parce que son installation est facile mais aussi parce qu’il offre de nombreuses options de personnalisation.

Une fois le plugin installé, il reste à ajouter les produits. Il est possible de suivre les ventes, gérer les systèmes de paiement, les stocks, proposer des promotions, calculer les frais de transport et autres taxes, avoir accès aux statistiques, et bien plus encore.

Alors non, pas d’à-priori à avoir sur l’utilisation de WordPress lorsque l’on veut créer un site e-commerce : le CMS n’est pas destiné uniquement à des petits sites internet mais est parfaitement adapté pour des entreprises importantes !

Les grosses structures e-commerce qui utilisent WordPress

Michel Herbelin, atelier d'horlogerie française

Il s’agit d’un atelier d’horlogerie créé en 1947 dans un village du Jura en France.

Le site présente la société, l’histoire de cet atelier et de la famille Herbelin depuis 3 générations, et met en avant ses produits avec de belles photos, des zooms sur les montres notamment. Il dispose d’un espace boutique pour la vente de ses produits.

Le site : ICI

Les box ont le vent en poupe depuis plusieurs années et tous les produits y passent ! Le thé a lui aussi sa box et cela s’appelle La Thé Box, tout simplement !

Le site permet d’acquérir ou offrir la box, de l’activer si on l’a reçue en cadeau, d’acheter une version précédente ou des produits directement. Le site est épuré, sur fond blanc avec des photos colorées qui mettent en avant les coffrets et les produits.

Le site : ICI

La Thé Box

Maison Baluchon, accessoires d'exception fabriqués en Haute-Marne

Maison Baluchon propose des sacs et accessoires, du papier peint et de la décoration, inspirés de la nature. Le site est particulièrement soigné avec de très belles images. On y découvre également les précédentes collections et l’histoire de la marque.

Le site e-commerce, développé sur WordPress et grâce au module Woocommerce, propose les produits à la vente.

Le site : ICI

Next Mobiles est la première offre de location en France qui propose des smartphones neufs ou reconditionnés, avec un système d’abonnement.

Le site est moderne et dynamique, notamment avec un grand slider d’accueil présentant les offres commerciales du moment, des pictogrammes, l’utilisation du noir, rouge et blanc, la présence de grandes photos.

Le site : ICI

Next Mobiles, l'offre française de location de smartphones

Focus sur la sécurité d'un site e-commerce propulsé par WordPress

La question de la sécurité revient régulièrement quand il s’agit de créer un site WordPress. C’est en effet un CMS populaire donc ciblé.

Pour éviter tout désagrément sur un site e-commerce au cœur de la stratégie commerciale de l’entreprise, il convient d’y faire un travail régulier de maintenance. En effet, les pirates ciblent d’abord les sites qui ne sont pas mis à jour de façon régulière.

Une prestation de maintenance permet d’avoir l’esprit tranquille en prévenant les failles qui peuvent apparaître dans le code et les plugins installés. Elle prévoit un service de sauvegarde, d’alertes et d’optimisation de la performance du site et une intervention rapide en cas de problème.

Notre équipe de développeurs WordPress s’occupe d’anticiper ou de résoudre les problèmes si certains surviennent. N'hésitez pas à nous joindre en cas de besoin.

Bleu et Blanc Coloré Dégradé Musique YouTube Miniature (11)

15 rappels de Sécurité essentiels pour WordPress

Nous savons tous qu’internet peut se révéler vulnérable. Les plus grands groupes du web ont des attaques régulières de hackers et de pilleurs de données. WordPress n’est pas à l’abri. En avril 2013, plus de 90000 sites WordPress ont été attaqués…

La sécurité de WordPress est un sujet crucial et essentiel pour tout administrateur système soucieux de préserver son site. Quand on réalise le temps de travail, d’écrits, et de réflexions que représente la création d’un site, il est dangereux d’être approximatif en ce qui concerne sa protection.

Les hackers sont toujours à la recherche de nouvelles failles. De multiples solutions de sécurité s’offrent à vous des plus simples ou plus pointues.

Mesures de sécurité essentielles à WordPress

1- Le compte Admin

En premier lieu, quelque soit la méthode d’installation choisie, créez toujours un nouveau compte ADMIN avec un login + mot de passe ultra sécurisé.

Si possible évitez de choisir un login avec votre prénom ou la racine de votre domaine.

2- Mot de passe

Il faut toujours utiliser des mots de passe complexes associant lettres, symboles et chiffres.

Il vous faut employer de préférence un générateur de chaîne aléatoire de plus de 8 caractères. Vous aurez ainsi un login bien plus sûr.

3- Pensez à restreindre le nombre d’essais d’identification

Plusieurs plugins permettent de vous protéger des attaques par “force brute”, c’est-à-dire les tentatives pour deviner votre mot de passe par une recherche de toutes les combinaisons possibles.

Installez une extension qui bloque les tentatives répétées d’une même adresse IP. (WPS Limit Login par exemple). Si un robot tente d’entrer sur votre site, cela bloque l’accès pendant un certains temps. Une fois l’extension installée, vous pouvez paramétrer le nombre d’essais que vous voulez avant blocage et le temps de connexion après le blocage.

4- Pensez à masquer la version de votre WordPress

Votre version donne des informations aux hackers pour trouver d’éventuelles failles de sécurité. Dans le fichier function.php de votre thème, ajoutez ce bout de code :

remove_action("wp_head", "wp_generator");

Le numéro de version WP se trouve également dans le fichier readme.html situé à la racine de votre WordPress (fichier à supprimer également)

5- Faites des sauvegardes

Les backups du système sont à effectuer au moins toutes les semaines pour prévenir un piratage ou un crash disque.  Il vaut mieux prévenir que guérir!

Sous WordPress les solutions pour la sauvegarde ne manquent pas.

6- Soyez prudent lorsque vous téléchargez des templates

Les thèmes gratuits télécharger au hasard du web peuvent révéler de nombreux virus.

Pour vous protéger, installez un plugin de type TAC, comme par exemple : Theme Authenticity Checker, celui-ci scanne et analyse les thèmes à la recherche d’un éventuel virus.

7- Faites des mises à jour régulières

C’est du basique mais cela reste essentiel, toujours avoir la dernière version, c’est essentiel !

  • Mettez à jour votre WordPress car cela permet d’avoir les tous derniers correctifs des failles de sécurité.
  • Voyons aussi comment mettre à jour vos plugins afin d’avoir toujours la version la plus récente/secure et aussi pour éviter tout risque d’incompatibilité.
  • Il n’y a pas que les plugins et WordPress, mettez à jour votre thème.

Encore une fois avant toute mise à jour, pensez à sauvegarder votre site.

8- Ajoutez/changez les clefs de sécurité secrètes

Les clés d’authentification SALT créent un cookie d’identification qui protège votre installation.

Si ces codes ne sont pas présents dans votre fichier wp-config.php, vous pouvez les générer et les ajouter en vous rendant sur https://api.wordpress.org/secret-key/1.1/salt/

wordpress-salt-keys

9- Protégez vos fichiers

Bloquez la navigation dans vos dossiers WordPress. Par défaut, n’importe qui peut accéder au contenu de vos dossiers WordPress (wp-content) via un simple navigateur.

Pour protéger le fichier wp-config via votre .htaccess, ajoutez:

<Files wp-config.php>
 order allow,deny
 deny from all
</Files>

Pour cacher les répertoires sensibles toujours via le htaccess:

Options All -Indexes

Enfin pour protéger le fichier htaccess lui-même:

<Files .htaccess>
 order allow,deny 
 deny from all 
</Files>

10- Changez le préfixe “wp_”

Par défaut le préfixe des tables de la base MYSQL pour WordPress est “wp_”. Ce préfixe est connu de tous et peut être vulnérable en cas d’injection.

Utilisez le plugin Brozzme DB Prefix,  un outil en un clic pour modifier votre préfixe de base de données (base de données et wp-config.php). Pour appliquer un nouveau préfixe, il vous suffit de vérifier que le wp-config.php est inscriptible et que les droits Alter de la base de données sont activer.

Une seule entrée est nécessaire : le nouveau préfixe de base de données. Le plugin va s’occuper de tout. Vous n’avez qu’à appuyer sur le bouton si vous êtes ok avec le préfixe généré. Bien sûr, le préfixe peut être modifié pour répondre à vos besoins.

11- Masquez les erreurs de connexion

WordPress renvoie un message bien trop explicite en cas de problème de connexion, ajouter la ligne suivante à votre functions.php du thème permet d’afficher un message d’erreur banalisé:

add_filter('login_errors',create_function('$a', "return null;"));

12- Désactiver l’éditeur de fichiers

Empêchez l’édition de vos fichiers directement depuis WordPress, ajouter simplement la ligne suivante à votre functions.php:

define('DISALLOW_FILE_EDIT',true);

13- Déplacer votre PhpMyAdmin

Cette application Web permet de gérer vos bases de données, située généralement à l’adresse suivante: /monsite.com/phpmyadmin, il est fortement recommandé de la déplacer (voir avec votre hébergeur ou infogérance).

14- Déplacer votre page de login

A l’aide d’un simple plugin tel que WPS Hide Login vous pouvez changer votre URL de connexion WordPress et limiter ainsi les attaques par “Brut Force” des hackers.

15- Choisissez un hébergement spécialisé WordPress

Laissez votre hébergeur se préoccuper de la sécurité. Avec un hébergeur WordPress, votre site est entre de bonnes mains, certes plus cher que le mutualisé, ce type d’hébergement maintient, protège, répare et optimise votre site.

Aller plus loin pour sécuriser WordPress

Sur un site WordPress, deux notions essentielles sont à penser le filtrage et la désinfection. Un utilisateur peut s’infiltrer par des moyens multiples et le codage sert à détecter le piratage (chaines de caractères suspects, emails incorrects). Un bon codage sert à bloquer ces tentatives d’intrusions. La désinfection se fait à l’aide un antivirus efficace qui scanne les failles de sécurité de votre site.

Pensez à vous informer régulièrement sur les nouvelles failles de sécurité. Elles sont nombreuses et en étant vigilant, vous pouvez les devancer et être toujours bien protégé. Pensez à être constant dans vos vérifications de sécurité, car elles ne peuvent jamais être sûres à 100%.

Voici quelques sites pour suivre les alertes et failles détectées: Vigilance.fr ou bien encore Blog.secupress.fr

En bonus, retrouvez ci après 4 solutions pour renforcer la sécurité de WordPress:

  • Passer votre WordPress en HTTPS, c’est la meilleure façon de protéger les données de vos utilisateurs et de vous défendre contre l’usurpation d’identité. Les sites sécurisés via SSL bénéficient en outre, d’un avantage pour leur référencement dans les pages de résultats de recherche.
  • Un moyen détourné pour se protéger est de camoufler son WordPress, pour se faire il existe le plugin HideMyWp. Ce dernier déplace certains répertoires et masque le fait que vous utilisiez un WP. Attention toutefois sa configuration peut être périlleuse…
  • Enfin, l’antivirus que je préfère : WordFence. C’est un plugin freemium, c’est à dire que les options de base sont gratuites et certaines réservées aux utilisateurs premium. Très efficace et performant, je vous invite à lire le tutoriel complet de cet antivirus pour WordPress.
  • Enfin si pour votre WordPress il est déjà trop tard, consultez notre guide : WordPress piraté, comment réagir ?

Enfin et pour conclure : Protégez votre travail par de vrais mots de passe sécurisés, faites des sauvegardes régulières, installez un antivirus qui scanne régulièrement votre site et vos fichiers. Ce sont là des actes de préventions importants.

La création d’un site WordPress demande du temps, il mérite d’être à l’abri !

Bleu et Blanc Coloré Dégradé Musique YouTube Miniature (9)

Connaissez-vous le plugin de sécurité : Sucuri ?

À l’instar des plugins iTheme Security et WordFence, aujourd’hui, je vous propose une présentation du plugin Sucuri Security – Auditing, Malware Scanner and Hardening.

Un plugin pour auditer la sécurité en 12 points

Une fois l’installation et l’activation du plugin effectuées, vous pourrez constater que par défaut, WordPress contient certaines lacunes en matière de sécurité.

Sucuri vous aide à combler les failles de WordPress

L’idéal est, d’utiliser cette section, le plus tôt possible (par exemple, juste, après l’installation de WordPress) et voici pourquoi :

  1. Sucuri, vérifie que votre version de WordPress est à jour. (Premier point essentiel).
  2. Le plugin vérifie, l’éventuelle installation d’un firewall lié à votre site. En cas de recherche infructueuse, Sucuri vous propose, en version premium, l’installation de son propre firewall. Veuillez noter que les prestations premium de ce plugin ne s’adresse pas au petit budget.
  3. Sucuri vérifie, si la version de WordPress est visible en mode public et vous propose de camoufler le numéro de version, le cas échéant. Moins, vous donnerez d’indices aux hackers ou autres sur votre CMS, mieux cela vaudra.
  4. Sucuri vous propose de restreindre l’accès à la possibilité exécuter du code php depuis le répertoire upload de WordPress. Attention, certains plugins nécessitent de lever cette restriction pour bien fonctionner.
  5. Sucuri peut même, dans certains cas vous proposer de bloquer, l’accès, au répertoire Wp-content. Il s’agit d’une option que je déconseille d’activer pour différentes raisons. Vos images et l’exécution des fonctionnalités de vos thèmes WordPress risquent de ne plus être accessibles. Votre site semblera cassé.
  6. Le plugin de sécurité WordPress vous propose d’imposer certaines restrictions d’accès au répertoire wp-includes
  7. J’apprécie le plugin de Sucuri pour l’option suivante. Il permet de vérifier la version du PHP utilisé sur votre serveur pour votre site.
  8. Sucuri vérifie l’état de vos clés permettant de définir l’accès à votre site ou blog sous WordPress. Ces clés vous aident, par exemple, à générer, aléatoirement et de manière renforcée des mots de passe très difficiles à craquer.
  9. Le plugin supprime le fichier txt indiquant le véritable numéro de version de votre version de WordPress.
  10. Sucuri vérifie l’existence d’un éventuel compte administrateur avec l’id admin et vous propose une procédure le cas échéant pour le supprimer.
  11. Il vous permet de bloquer l’édition de plugin et vos thèmes depuis WordPress pour renforcer la sécurité de votre site.
  12. Sucuri vous avertit si le préfixe des tables de la base de données est celui par défaut ( wp_ ). Attention, si vous souhaitez modifier ce préfixe pour vos tables, il vous faudra, certainement modifier la ligne adéquate du fichier config.php pour faire correspondre la base de données avec avec les fichiers de votre site sur votre serveur. Dans le cas contraire, vous n’aurez certainement plus accès à votre blog.

Un plugin pour savoir si votre site est sain

L’onglet Malware Scan de Sucuri vous permet rapidement d’analyser votre site à la recherche de codes malveillants. Malheureusement, en cas de résultat positif, Sucuri ne vous offre pas le moyen de corriger gratuitement le code infecté. Pour cela, il faut passer par des prestations premium.

Onglet Dashboard

Cet onglet récapitule tous les changements effectués sur votre site (de la tentative de connexion, au changement de thème, en passant par la mise à jour d’un article, par exemple).

Très pratique , en cas de piratage, cet onglet vous présente des logs complémentaires à ceux de votre serveur pour bien diagnostiquer une panne ou un piratage.

Ne soyez pas affolé par cette section, les tentatives infructueuses de connexions, avec les identifiants admin et le nom de domaine, sont très courantes.

Menu Setting

C’est un menu très important à bien paramétrer selon vos besoins. Pensez à désactiver la notification par mail pour toutes les tentatives de connexion infructueuses sinon vous allez être inondés de mails. Pensez, par contre à la notification, par mail, de tentative de connexion réussie.

Vous avez d’autres options intéressantes, mais sachez que le plugin est en anglais.

Onglet Post Hack

En cas de piratage et de restauration de votre site, cette section peut s’avérer utile pour réinitialiser des plugins, des mots de passe et les clés spécifiques à WordPress. Attention, tout de même, cette section n’est à utiliser, qu’en cas d’extrême nécessite.

Ce que j’aurais souhaité en matière de sécurité

Même si cette présentation du plugin Sucuri Security – Auditing, Malware Scanner and Hardening n’est pas exhaustive, voici quelques éléments que j’aurais voulu voir dans ce plugin.

Pour moi, il manque, un point important : la possibilité de changer les URLs de connexion et d’inscription sous WordPress (wp-admin, wp-login…). Que cela ne tienne, vous pouvez utiliser le plugin WPS Hide Login pour combler ce manque.

Enfin, j’aurais aimé une section plus poussée pour l’analyse du site, un peu comme celle de Wordfence. Ce dernier peut nous aider gratuitement même à désinfecter un site, le cas échéant.

J’aurais aussi aimé trouver un filtre pour gérer les crawlers (robots) qui tenteraient d’exploiter des failles liées aux erreurs 404 comme dans Wordfence.

Enfin pour terminer, j’aurais aimé, une gestion plus explicite, des attaques de type brute Force.

Toujours est-il qu’aucun plugin de sécurité WordPress n’est infaillible, mais ce n’est pas pour autant qu’il faut négliger leur configuration. Si vous hésitez dans votre choix, en matière de plugin pour sécuriser votre site sous WordPress, je vous invite à essayez ses deux plugin

  • iTheme Security
  • WordFence
Bleu et Blanc Coloré Dégradé Musique YouTube Miniature (8)

Rediriger automatiquement la page Panier vers la page Commande

Si vous n’utilisez pas vraiment la boutique e-commerce de WooCommerce mais que vous souhaitez seulement profiter du tunnel d’achat (site d’abonnement à des options payantes, site de formations, etc.), peut-être que vous n’avez pas besoin que votre acheteur passe par l’étape de la page Panier.

Dans ce cas, rien de mieux que de simplifier le parcours d’achat de votre utilisateur et rediriger la page Panier directement vers la page Commande pour améliorer au mieux votre taux de conversion.

Dans le cadre d’un abonnement par exemple, il y a peu d’intérêt à afficher la page Panier puisqu’il y a un récapitulatif de l’achat sur la page Commande.

Pour ajouter cette fonctionnalité à votre boutique, copiez-collez le code suivant dans le fichier functions.php de votre thème enfant:

				
					// Rediriger la page Panier directement vers la page Commande dans WooCommerce

add_action('template_redirect', 'wpm_wc_redirect_cart_to_checkout');

function wpm_wc_redirect_cart_to_checkout() {
// Si on est sur la page panier et que celui-ci n'est pas vide
	if (is_cart() && !WC()->cart->is_empty()) {
		wp_redirect(wc_get_checkout_url());
		exit;
	}
}

				
			

Et voila, grâce à ces quelques lignes de code, vos utilisateurs seront maintenant automatiquement redirigés vers la page Commande de WooCommerce lorsqu’il essayeront d’afficher leur page Panier.

Attention cependant à la boutique en ligne sur laquelle vous utilisez ce code car l’utilisateur ne pourra pas changer les quantités de produits dans le panier depuis la page commande.

Bleu et Blanc Coloré Dégradé Musique YouTube Miniature (6)

Modifier l’URL du logo de la page de connexion de WordPress

Lorsque vous arrivez sur la page /wp-admin de votre site, vous avez le logo de WordPress affiché au dessus du formulaire de connexion à l’administration.

Par défaut, le lien pointe vers l’URL du site francophone de WordPress: w-insideconcept.com

Si vous voulez modifier cette URL par celle de votre propre site, copiez-collez le code suivant dans le fichier functions.php de votre thème enfant:

				
					// Modifier l'URL du logo de connexion sur la page d'administration 

add_filter( 'login_headerurl', 'wpm_custom_login_url' );

function wpm_custom_login_url($url) {
// On définit la nouvelle URL du lien ici
  return 'https://www.exemple.com';
}

				
			

Pensez juste à MODIFIER l’Url https://www.exemple.com par votre propre Url.

Bleu et Blanc Coloré Dégradé Musique YouTube Miniature (5)

Ajouter un badge « Rupture de stock » sur les produits indisponibles

Lorsque vous utilisez la gestion de stock de WooCommerce et qu’un de vos produits est en rupture de stock, rien mis à part une petite ligne en rouge sur la page du produit ne le précise.

Seule une petite ligne discrète en rouge « Rupture de stock » est affichée. Pas forcément très clair pour notre client donc.

 

 

Nous allons plutôt afficher une badge « Rupture de stock » en rouge et gros sur l’image au niveau de la boutique et à coté du titre sur notre page produit. Cela améliorera grandement l’expérience client.

Voici comment procéder : copiez-collez le code suivant dans le fichier functions.php de votre thème enfant:

				
					/* Indiquer la rupture de stock */

add_action( 'woocommerce_before_shop_loop_item_title', 'wpm_display_sold_out_loop_woocommerce' );// On l'affiche sur la page boutique
add_action( 'woocommerce_single_product_summary', 'wpm_display_sold_out_loop_woocommerce' );// On l'affiche sur la page du produit seul

 
function wpm_display_sold_out_loop_woocommerce() {
    global $product;
 	//Si le produit est en rupture de stock, on affiche :
    if ( !$product->is_in_stock() ) {
        echo '<span class="soldout">' . __( 'Rupture de stock', 'woocommerce' ) . '</span>';
    }
} 

				
			

Vous pouvez utiliser le CSS suivant pour modifier l’apparence du badge :

				
					.soldout {
	padding: 3px 8px;
	text-align: center;
	background: red;
	color: white;
	font-weight: bold;
	position: absolute;
	top: 6px;
	right: 6px;
	font-size: 12px;
}

				
			

Bien sûr, n’hésitez pas à modifier l’apparence via le CSS pour coller au maximum au design de votre site et de votre boutique WooCommerce !