# Checklist 20 astuces sécurité WooCommerce 2026

**Boutique / client :** _________________________  
**Passerelle :** Stripe / PayPal / autre  
**API REST active :** oui / non  
**Date audit :** _________________________

---

## Phase 0 — Signaux d'alerte (5 min)

- [ ] Paiements refusés en rafale dans Stripe/PayPal sans ventes réelles
- [ ] Commandes micro-montants (0–5 €) avec emails jetables
- [ ] Pics `POST /wp-json/wc/v3/orders` dans les logs
- [ ] Comptes clients créés en boucle la nuit
- [ ] Mail acquéreur ou restriction compte marchand

Si 2+ cases cochées → prioriser astuces **1, 2, 4, 14** cette semaine.

---

## Astuces 1 à 5 — API REST et card testing

- [ ] **1** — Limiter REST WooCommerce (preset card testing ou WARL)
- [ ] **2** — Révoquer clés API inutilisées / lecture seule si possible
- [ ] **3** — Allowlist IP ERP / headless documentée
- [ ] **4** — Activer 3-D Secure / Radar Stripe
- [ ] **5** — Journal HTTP 429 surveillé 7 jours post-config

---

## Astuces 6 à 10 — Accès et surface d'attaque

- [ ] **6** — HTTPS forcé + HSTS hébergeur
- [ ] **7** — Limite tentatives connexion wp-admin
- [ ] **8** — Désactiver éditeur fichiers (`DISALLOW_FILE_EDIT`)
- [ ] **9** — XML-RPC désactivé si inutilisé
- [ ] **10** — WooCommerce + plugins à jour (HPOS compatible)

---

## Astuces 11 à 15 — Hygiène stack

- [ ] **11** — Audit plugins zombies (Plugin Usage Detector)
- [ ] **12** — `WP_DEBUG` désactivé en production
- [ ] **13** — Clés API staging ≠ production
- [ ] **14** — Alertes Stripe « declined » configurées
- [ ] **15** — CAPTCHA inscription / checkout si spam comptes

---

## Astuces 16 à 20 — Agence et incident

- [ ] **16** — Bloquer emails jetables si pertinent
- [ ] **17** — Webhooks WooCommerce secrets vérifiés
- [ ] **18** — Rôles utilisateurs minimaux (pas 5 admins)
- [ ] **19** — Runbook incident card testing imprimé
- [ ] **20** — Debug Tracker activé en staging pour reproduire

---

## Validation post-audit

- [ ] Test `curl` REST → 429 après seuil (staging)
- [ ] Checkout client réel OK
- [ ] ERP / headless toujours fonctionnel (allowlist)
- [ ] Export config JSON sauvegardé

Article : <https://volade.com/fr/blog/20-astuces-securite-woocommerce-2026>
