Sécuriser un site Shopify : bonnes pratiques et outils
Shopify gère la sécurité infrastructure pour vous : certificat SSL, conformité PCI DSS niveau 1, protection DDoS. Mais cela ne vous protège pas de tout. Les failles viennent souvent des apps tierces, du phishing ciblant les administrateurs, et de la fraude au paiement. Voici comment blinder votre boutique Shopify.
Activer la double authentification
C’est la première chose à faire. Activez la 2FA sur tous les comptes administrateurs et staff. Shopify supporte les applications d’authentification (Google Authenticator, Authy) et les clés de sécurité physiques (YubiKey). Sans 2FA, un mot de passe compromis donne un accès total à votre boutique et aux données clients.
Auditer les applications tierces
Chaque app Shopify a accès à certaines données de votre boutique (produits, clients, commandes). Certaines apps malveillantes ou mal codées peuvent fuiter ces données. Vérifiez régulièrement les permissions accordées dans Paramètres > Apps et canaux de vente. Supprimez les apps que vous n’utilisez plus. Préférez les apps vérifiées par Shopify (badge « Built for Shopify »).
Protéger contre la fraude au paiement
La fraude e-commerce coûte 48 milliards de dollars par an dans le monde. Shopify intègre un système d’analyse de fraude basique. Pour aller plus loin, utilisez Shopify Fraud Protect ou des solutions tierces comme Signifyd ou NoFraud. Activez le 3D Secure (Verified by Visa, Mastercard SecureCode) pour authentifier les paiements à risque.
Sécuriser le thème et le code personnalisé
Si vous personnalisez votre thème Shopify avec du code Liquid, JavaScript ou CSS, assurez-vous de ne pas introduire de failles XSS. N’incluez jamais de scripts provenant de sources non vérifiées. Testez vos modifications dans un thème de développement avant de les publier. N’utilisez jamais de thèmes piratés.
Configurer les permissions staff correctement
Shopify permet de créer des comptes staff avec des permissions granulaires. Un employé qui gère les commandes n’a pas besoin d’accéder aux paramètres de paiement ou aux données financières. Appliquez le principe du moindre privilège : chaque personne n’a accès qu’à ce qui est strictement nécessaire pour son travail.
Sauvegarder régulièrement
Shopify ne propose pas de sauvegarde intégrée de votre boutique. Si une app corrompue efface vos produits ou si vous faites une erreur de manipulation, la récupération est difficile. Utilisez des apps de backup comme Rewind ou BackupMaster pour sauvegarder automatiquement produits, thème, commandes et données clients.
Odyssix sécurise votre e-commerce
Que votre boutique soit sur Shopify ou WooCommerce, Odyssix propose des services de protection et surveillance IT adaptés au e-commerce. Audit de sécurité, configuration optimale et monitoring continu. Contactez-nous.
À découvrir aussi
Questions fréquentes
Shopify est plus sécurisé par défaut car Shopify gère l'infrastructure, les mises à jour et la conformité PCI. WooCommerce peut atteindre le même niveau de sécurité mais nécessite une configuration manuelle, un hébergement sécurisé et une maintenance régulière.
Changez immédiatement votre mot de passe, activez la 2FA, révoquez les sessions actives, vérifiez les comptes staff créés, auditez les apps installées, et contactez le support Shopify. Vérifiez aussi les coordonnées bancaires et les adresses email de notification.
Oui, Shopify chiffre les données en transit (TLS/SSL) et au repos. Les données de carte bancaire ne sont jamais stockées sur vos serveurs (tokenisation). Shopify est conforme PCI DSS niveau 1, le plus haut niveau de certification de sécurité des paiements.
Rédigé par l'équipe Odyssix
Experts IT, Cybersécurité & Digital depuis 2018
Odyssix accompagne les PME dans leur transformation numérique et la sécurisation de leur système d'information. Nos experts certifiés (CEH, OSCP, ISO 27001) partagent leur expérience terrain à travers nos articles de blog.
Besoin d'en savoir plus ?
Contactez nos experts pour une démonstration personnalisée.
