Si l’internet est une ressource extraordinaire pour l’humanité qui nous permet à tous de regarder des centaines de GIFs de chats à tout moment de la journée, les escroqueries et les malfaiteurs abondent à l’intérieur de ses frontières.
Chaque propriétaire de boutique WooCommerce connaît les risques associés à la fraude, qu’il s’agisse de frais de remboursement pour un produit qui n’a pas été retourné, de problèmes logistiques, d’une réputation entachée, etc.
Le pire, c’est que de nombreux fraudeurs s’enfuient avec l’argent et que c’est vous qui devez payer la note. Les sociétés de cartes de crédit remboursent presque toujours l’acheteur lorsqu’elles identifient un achat frauduleux, mais les propriétaires de magasins ne sont guère dédommagés dans des situations similaires.
Vous perdez donc une vente et un produit pour chaque cas d’escroquerie réussie.
En outre, le fait d’avoir à gérer constamment des litiges et des rétrofacturations concernant des activités frauduleuses sur votre site peut donner une mauvaise réputation à votre entreprise et affecter vos ventes à plus grande échelle.
Heureusement, il existe de nombreuses façons de renforcer votre boutique WooCommerce contre les mauvais acteurs et, comme toujours, nous allons vous présenter chaque méthode une par une.
Introduction à la fraude dans le commerce électronique
la fraude dans le domaine du commerce électronique dépasse largement le cadre de la violation de la sécurité d’un site Web et peut aller des fausses commandes WooCommerce au vol d’identité. Avec autant de moyens d’attaque par lesquels des parties malveillantes peuvent nuire à votre entreprise, les propriétaires de boutiques en ligne doivent garder une longueur d’avance à tout moment.
Puisque la première étape pour se protéger est de connaître son ennemi, passons en revue quelques-unes des stratégies créatives que les escrocs utilisent souvent :
La fraude à la carte de crédit
La fraude à la carte de crédit est beaucoup plus fréquente que vous ne le pensez. Selon l’étude 2021 de Security.org, près de la moitié des adultes américains ont déclaré avoir été victimes d’un débit frauduleux sur leur carte de crédit ou de débit.
Ce type de fraude se produit lorsque la carte de crédit d’un client (ou ses données) est volée ou clonée afin d’acheter illégalement des articles en ligne. Dans de nombreux cas, les informations financières sont obtenues par hameçonnage, une méthode d’attaque par laquelle une personne est amenée à fournir des données financières personnelles sensibles par courrier électronique, SMS ou téléphone.
Fraude par rétrofacturation
La fraude par rétrofacturation, également appelée fraude amicale, se produit lorsqu’un client effectue un achat pour ensuite demander une rétrofacturation après avoir reçu l’article ou le service. Cela ne semble pas très amical, n’est-ce pas ?
La fraude par rétrofacturation n’est agréable pour personne et ses effets négatifs vont bien au-delà des pertes financières associées à un achat frauduleux.
Selon Quicksprout, 80 % des commerçants contestent les rétrofacturations illégitimes, mais moins de 20 % des propriétaires de magasins parviennent à gagner ces litiges. Si vos débits compensatoires et vos litiges continuent de s’accumuler, la fiabilité et la réputation globale de votre entreprise s’effondreront.
Fausses commandes
Les farceurs ne manquent pas sur le Web, il ne faut donc pas s’étonner si l’un d’eux se retrouve sur votre boutique en ligne. L’une des façons les plus simples pour ces personnes de cibler les propriétaires d’entreprise est de passer de fausses commandes sur votre site, ou des commandes faites à des adresses non valides ou à de fausses identités (ce qui rend impossible la livraison du produit expédié).
Les fausses commandes peuvent abonder lorsque les clients ont la possibilité de choisir le mode de paiement « contre remboursement ».
Pourquoi se donner tant de mal ? – vous pourriez vous demander. La vérité, c’est que les escrocs passent de fausses commandes dans le seul but de vous causer des tas d’ennuis, à vous, le propriétaire de l’entreprise.
La meilleure chose que vous puissiez faire est d’être conscient de l’existence des fausses commandes et de réduire votre surface d’attaque en suivant les étapes présentées dans cet article.
Comment prévenir la fraude sur WooCommerce ?
Voici quelques stratégies que vous pouvez envisager :
Effectuer une analyse de vulnérabilité
La première étape pour protéger votre entreprise WooCommerce est de s’assurer que votre site web lui-même est sûr. Il est essentiel de tester régulièrement votre site pour identifier les vulnérabilités potentielles dont les pirates peuvent tirer parti.
Il existe une variété de plugins WordPress que vous pouvez utiliser pour analyser automatiquement votre site Web à la recherche de faiblesses, certains des meilleurs concurrents étant Sucuri et WordFence. Les scanners de sécurité sont à l’affût des données malveillantes et des erreurs du site Web et surveillent l’intégrité des fichiers principaux de votre site.
Découvrez trois failles de sécurité courantes de WooCommerce.
Authentification à deux facteurs
Un autre moyen de s’assurer que les comptes créés sur votre site WooCommerce appartiennent à de vrais clients et ne sont pas gérés par des robots ou des pirates est de configurer l’authentification à deux facteurs. Ce processus de connexion exige que les clients saisissent à la fois un nom d’utilisateur et un mot de passe corrects, ainsi qu’un code de vérification, une réponse à une question de sécurité ou tout autre type d’authentification supplémentaire.
Mettez en place des mesures anti-spam
Le spam peut aller bien au-delà des trolls dans les commentaires de votre blog. Pour les propriétaires de boutiques WooCommerce, le spam peut également signifier des commandes de spam, des comptes robots et de faux avis sur vos produits et services. Heureusement, quelques mesures anti-spam simples peuvent vous aider à tenir ces problèmes à distance.
Vous pouvez commencer par modifier simplement certaines de vos configurations WordPress. Par exemple, vous pouvez configurer les paramètres généraux de façon à ce que l’option « Tout le monde peut s’inscrire » soit désactivée pour empêcher les robots de créer des comptes. De même, désactiver l’option « Autoriser les clients à passer des commandes sans compte » sur WooCommerce et exiger une vérification par e-mail pour l’enregistrement des clients est un moyen simple mais efficace de réduire le risque de fausses commandes.
En ce qui concerne l’absence de spam dans les commentaires sur vos produits, nous vous recommandons également d’activer l’option « Les commentaires ne peuvent être laissés que par des propriétaires vérifiés » dans l’onglet Produits de vos paramètres WooCommerce.
Les boutiques en ligne étant une cible très attrayante pour les escrocs, il est également recommandé de modifier l’URL de la page d’enregistrement.
Enfin, vous pouvez également installer des plugins anti-spam pour vous aider à augmenter la sécurité et la fiabilité de votre site. Par exemple, Akismet est un plugin WordPress qui vous aidera à repousser les spams de commentaires et à préserver votre crédibilité. Si vous utilisez des formulaires pour collecter des données sur vos clients, vous pouvez également opter pour Honeypot Contact Form 7, qui identifie les robots en les incitant à saisir des informations dans des champs que les répondants humains doivent laisser vides. Le plugin garde également une trace du temps de soumission du formulaire pour identifier les robots et rejette les soumissions qui tombent sous un seuil défini par l’utilisateur.
Liste noire des utilisateurs par emplacement
Il n’est pas rare que les pirates utilisent des proxies pour accéder à un site Web à partir d’une adresse IP différente. La réception de commandes provenant d’endroits où vous ne proposez pas de livraison ou où vous n’exercez pas d’activité commerciale est également un signe d’activité suspecte. Pour ces raisons, l’établissement d’une liste noire d’utilisateurs provenant de certains pays et lieux peut être un moyen efficace de prévenir la fraude sur WooCommerce.
Vous pouvez mettre certains pays sur liste noire lorsque vous configurez WooCommerce directement en configurant vos paramètres WooCommerce en sélectionnant l’option « Vendre à tous les pays, sauf… ».
En option, vous pouvez utiliser le bloqueur de pays IP2Location, qui vous permet de bloquer l’accès à votre site aux utilisateurs de plages d’adresses IP spécifiques, à certains pays ou à toute personne utilisant des proxys anonymes.
En prime, le plugin ne restreint pas l’accès aux robots d’exploration des moteurs de recherche, ce qui vous permet de bloquer le trafic de spam sans nuire à votre référencement.
Configurez votre passerelle de paiement pour la prévention des fraudes
Un grand nombre des points que nous allons aborder ne sont pas nécessairement des paramètres que vous pouvez régler vous-même. Nous vous recommandons donc de contacter votre passerelle de paiement afin d’explorer/de modifier les points suivants :
CCV2 obligatoire
C’est une évidence. Exiger que les utilisateurs saisissent ces trois petits chiffres au dos de chaque carte est l’un des moyens les plus faciles de prévenir la fraude sur votre boutique WooCommerce avant même qu’elle n’ait une chance de se produire.
Filtres AVS
Les filtres AVS (Address Verification Service) sont le moyen par lequel votre passerelle de paiement vérifie le code postal et l’adresse de facturation de la commande par rapport aux informations enregistrées par la banque de la carte.
Il existe différents degrés de correspondance possible, allant de « No Match » à « Full Match », et vous avez la possibilité d’effectuer l’une des actions suivantes pour chaque type de correspondance : Accepter, Rejeter, Accepter et Signaler, ou Conserver pour examen.
En d’autres termes, c’est la raison pour laquelle votre banque vous demande de l’informer si vous comptez effectuer des achats avec vos cartes à l’étranger. Il s’agit d’une mesure de sécurité simple, mais même les filtres les plus simples peuvent être très efficaces.
Les filtres de vélocité
Le but d’un filtre de vélocité est de mesurer le nombre de transactions en cours que votre magasin traite à un moment donné et de commencer à fermer la vanne s’il détecte quelque chose de louche.
Disons que votre magasin réalise habituellement entre 40 et 50 ventes par jour et que vous définissez un filtre de vélocité pour le double de ce chiffre, soit 100 ventes. Un afflux soudain de commandes peut parfois indiquer que quelqu’un jette des tonnes de déchets frauduleux sur votre boutique. Ainsi, dès que votre seuil de commande quotidien est atteint, votre filtre se met en action pour chaque achat suivant.
Lorsqu’il est activé, un filtre de vélocité peut tout faire : vous signaler une transaction (tout en la traitant normalement), la retenir pour examen ou la bloquer complètement.
Si vous avez un produit saisonnier ou si vous connaissez des « poussées » occasionnelles, il faut également en tenir compte lors de la configuration de votre filtre de vélocité. La dernière chose que vous voulez faire est de frustrer les acheteurs pendant la période de pointe des ventes !
Utilisez un plugin anti-fraude
Il n’existe pas de solution unique en matière de sécurité, car les sites les mieux protégés comportent plusieurs couches de mesures de prévention, de détection et d’atténuation.
Si vous cherchez un bon point de départ, nous vous recommandons de jeter un coup d’œil à des plugins tels que YITH WooCommerce Anti-Fraud – une solution puissante pour les propriétaires de sites qui souhaitent prendre les choses en main et consacrer du temps à une configuration adéquate.
Ce plugin fait vraiment plus de choses que nous ne pouvons en mettre dans un seul segment, mais voici un aperçu de ce que vous pouvez faire avec lui :
- Restreindre ou bloquer les commandes en fonction de votre nombre moyen d’achats mensuels attendus
- Détecter, restreindre et bloquer les commandes passées derrière un proxy
- Demander une vérification par e-mail pour les commandes via PayPal
- Restreindre les commandes par pays
- Restreindre les commandes par domaine de messagerie
- Restreindre les commandes en fonction d’un seuil de risque personnalisable
…et bien plus encore !
Comme tout plugin, les plugins anti-fraude doivent être configurés correctement pour être efficaces, donc celui-ci est plus pour les bricoleurs que pour une solution « feu et oublie ».
La plupart des griefs formulés par les utilisateurs à l’égard des plugins anti-fraude (par exemple, de nombreux faux positifs, des vérifications/réglages constants, des clients bloqués alors qu’ils ne devraient pas l’être, etc.) peuvent être atténués ou éliminés en configurant et en maintenant correctement votre solution anti-fraude.
Utilisez un plugin ReCaptcha
WooTales a publié un article comparant l’efficacité de différents plugins reCaptcha pour les boutiques WooCommerce, et le bien nommé (si ce n’est pas trop) « reCaptcha for WooCommerce » est arrivé en tête.
Quelle est la différence entre un plugin anti-fraude ordinaire et un plugin reCaptcha ?
Un bon plugin reCaptcha vous permet de placer des messages Captcha sur différentes pages de votre site (page de paiement, page d’inscription, page « ajouter un mode de paiement », etc.), de personnaliser les messages d’erreur (pour une meilleure interface utilisateur) et de définir des seuils de score reCaptcha pour éviter les faux positifs.
En plus de cela, ce type de plugin protège votre site contre un ennemi plus sinistre connu sous le nom de carding ou l’utilisation de scripts malveillants pour tester des centaines ou des milliers de numéros de cartes frauduleuses sur votre site en succession rapide.
Le carding étant une forme d’attaque par force brute sur votre passerelle de paiement, il peut ralentir votre site si rien n’est fait. Pire encore, votre passerelle de paiement peut bloquer votre compte si elle détermine que votre réponse aux menaces continues est insuffisante.
Les gens de WooTales recommandent d’installer reCaptcha pour WooCommerce sur vos pages de paiement et d’ajout de méthode de paiement , ainsi que de définir un seuil entre 0,3 et 0,5.
Analyse du comportement des consommateurs
Comme couche supplémentaire de sécurité, nous recommandons de surveiller constamment le comportement de vos clients. En gardant un œil sur qui sont vos clients, comment ils interagissent avec votre site et quelles sont leurs habitudes d’achat, vous pourrez facilement identifier toute activité anormale ou suspecte sur votre site. Parmi les données à surveiller, citons les modes de paiement préférés de vos clients, le nombre moyen de tentatives de connexion et la taille typique des commandes.
L’utilisation d’outils de prévention de la fraude qui mettent en œuvre l’analyse comportementale vous permet de simplifier cette tâche car ils identifient automatiquement les relations entre le comportement des utilisateurs et le risque de fraude. Un outil anti-fraude qui vaut la peine d’être considéré et qui s’intègre à WooCommerce est No Fraud Protection, qui utilise l’intelligence artificielle pour analyser des centaines de points de données pour les transactions de votre boutique en ligne. Leur logiciel a également un système en place pour éviter de rejeter les commandes légitimes, ce qui vous assure de ne pas perdre de revenus en protégeant votre commerce en ligne.
Un dernier mot sur la prévention des fraudes de WooCommerce
Tout comme vous ne renonceriez pas à installer une alarme et des caméras de sécurité pour votre commerce de détail, les utilisateurs de WooCommerce ne devraient pas négliger la prévention de la fraude sur leurs boutiques en ligne. La mise en œuvre des solutions énumérées ci-dessus peut vous faire économiser beaucoup d’argent, de maux de tête et de temps.
Quelles que soient les solutions anti-fraude que vous décidez finalement d’employer, n’oubliez pas de prendre en compte les besoins de vos clients réels et l’expérience utilisateur. Si vous cherchez un expert WooCommerce pour vous aider à mettre en œuvre la sécurité sur votre site Web, vous pouvez prendre contact avec les WooNinjas.
