GNU/Linux >> Tutoriels Linux >  >> Panels >> Plesk

Comment empêcher les transactions frauduleuses avec WordPress

Bien que la plupart de ces directives vous aideront avec n'importe quelle application de commerce électronique, il y aura des mentions spécifiques pour les plugins liés à WooCommerce car il est (sans doute) devenu la norme pour le commerce électronique sur WordPress.

Fraude et sécurité du site Web

La première chose à comprendre à propos de la gestion des transactions frauduleuses est qu'elles n'ont rien à voir directement avec la sécurité de votre site Web; la fraude est techniquement un sujet distinct, quoique tangentiellement lié. Il n'y a vraiment qu'un seul moyen d'atténuer les transactions frauduleuses :analyser les données fournies par le titulaire de la carte et déterminer la probabilité que ces données soient vraiment les siennes ou si elles ont été volées. Cependant, les techniques spécifiques d'analyse de ces données varient. Le dernier élément à considérer est de savoir si vous sont responsables pour empêcher les transactions frauduleuses ou votre processeur de carte de crédit est.

Transfert de responsabilité du compte marchand

Il existe deux niveaux de processeurs de cartes de crédit en matière de fraude :

  1. Vous n'êtes pas responsable : Les processeurs de cartes de crédit comme PayPal, Stripe.com et Square.com font tout pour vous, y compris la détection et le signalement des fraudes. Cela signifie que vous n'êtes pas obligé faites n'importe quoi de votre côté pour aider à prévenir la fraude, mais cela signifie également qu'ils sont plus susceptibles de bloquer une transaction potentiellement sommaire même si elle provient d'un client légitime (c'est ce qu'on appelle un faux positif). Remarque :Veuillez vérifier auprès de chaque processeur pour confirmer la responsabilité. Nous formulons des hypothèses basées sur nos expériences avec eux.
  2. Vous êtes responsable : Les processeurs plus traditionnels s'attendent à ce que vous détectiez et préveniez la fraude. Il s'agirait d'entreprises comme Chase Paymentech, Moneris, etc. Lorsque vous utilisez ces processeurs, il est dans votre intérêt de mettre en œuvre une méthode (ou plusieurs méthodes) de détection des fraudes. Cela pourrait être l'utilisation d'outils que le processeur vous fournit (mais vous devez l'activer), comme AVS (système de vérification d'adresse) et la vérification du code CVV ou CVC à l'arrière de la carte de crédit, ou il pourrait s'agir d'un logiciel de détection de fraude dans votre système de commerce électronique. .

Systèmes typiques de fraude des processeurs CC

  1. AVS, ou système de vérification d'adresse , est un service fourni par tous les processeurs de cartes de crédit (y compris ceux qui vous transfèrent la responsabilité) qui compare l'adresse de facturation fournie par le client lors de sa commande à l'adresse que le client a fournie à l'émetteur de sa carte de crédit. Lorsqu'il n'y a pas de correspondance, un indicateur est renvoyé par le processeur de carte de crédit à votre logiciel de commerce électronique.
  2. CVV (également appelé CSC ou CVD) est ce trois chiffres C ard S sécurité C ode (ou C et V érification V alue) au dos des cartes de crédit. Sur les cartes AMEX, c'est 4 chiffres et sur le devant. Souvent, les personnes qui commettent une fraude en ligne ont acheté les détails de la carte sans le numéro CVV et ainsi valider ce numéro peut aider à réduire la fraude.
  3. 3D Secure (vérifié par Visa ou Mastercard SecureCode) est un système qui exige que vos clients créent un mot de passe complètement séparé avec Visa ou Mastercard à utiliser sur chaque transaction où l'entreprise facturant la carte a choisi d'utiliser les systèmes 3D Secure. Celui-ci est particulièrement délicat car cela ajoute une étape supplémentaire au processus de paiement où le client est redirigé vers un site tiers (le site Web Verified by Visa ou SecureCode) pour vérifier son identité. Si le client n'a pas encore configuré de mots de passe VbV ou SC avec sa carte, il devra suivre tout un processus d'enregistrement avec lui avant de finaliser la transaction. Pire encore, chaque fois qu'ils obtiennent un nouveau numéro de carte, ils doivent se réinscrire dans le système. Alors que 3D Secure rend la fraude presque impossible, il ajoute également un obstacle considérable à la réalisation facile des commandes sur votre site Web. Avant de l'activer, évaluez le degré de maîtrise de la technologie de votre clientèle et comparez-le au nombre ou à la valeur en dollars de toutes vos commandes frauduleuses.

Si vous utilisez une société de traitement de carte de crédit qui fait gérer la fraude pour vous, ils bloqueront probablement automatiquement les commandes qui échouent aux contrôles AVS, CVV ou 3D Secure. Si la responsabilité vous incombe, dans la plupart des cas, vous pouvez alors choisir ce qu'il faut faire des transactions qui échouent aux tests, comme les conserver pour un examen manuel, puis suivre le client par e-mail ou par téléphone pour voir s'il s'agit du titulaire légitime de la carte.

À un moment donné, vous devez faire des sacrifices pour améliorer la sécurité, et il n'y a aucune différence en matière de fraude. Un client a activé AVS et CVV et a signalé :

Après que nous ayons tout changé pour [maintenir les transactions signalées comme non-concordance AVS], j'ai discuté avec [le processeur] et ils ont insisté pour que nous soyons plus stricts avec les règles. Ils ont recommandé que si même UNE chose n'allait pas, nous ne traiterions pas les commandes. Le problème avec cela, c'est que nous avons reçu beaucoup de bons de commande légitimes refusés à cause d'AVS.

Malheureusement, c'est ainsi que ces choses fonctionnent. Si vous souhaitez éviter les transactions frauduleuses, vous devrez peut-être intervenir manuellement dans davantage de transactions afin que l'ensemble du processus se déroule sans heurts.

Notez également que le module de traitement des paiements utilisé sur votre site Web doit prendre en charge chacune de ces fonctionnalités pour pouvoir les utiliser. Par exemple, le module principal de Moneris pour WooCommerce prend en charge l'activation des vérifications AVS et CVV, mais il ne prend pas encore en charge 3D Secure.

Si vous ne voyez pas d'option dans les paramètres du module de paiement que vous souhaitez activer pour améliorer votre protection contre la fraude, je crains qu'elle ne soit pas disponible pour vous et vous devriez contacter le développeur du module de paiement pour WooCommerce pour découvrez s'ils seraient intéressés à l'implémenter, ou recherchez un autre module créé par une autre société qui possède les fonctionnalités que vous souhaitez.

Une autre alternative serait de remplacer les processeurs de cartes de crédit par un processeur qui inclut une meilleure protection contre la fraude et leur transfère la responsabilité.

Gestion des fraudes logicielles

Si vous êtes susceptible de prévenir la fraude, il existe des plugins supplémentaires pour aider à atténuer les transactions frauduleuses avant même qu'elles ne soient envoyées au processeur de carte de crédit. Si vous utilisez WooCommerce, consultez le module anti-fraude de WooCommerce comme option potentielle (remarque :nous ne l'avons pas testé).

Sur notre propre site Web, nous utilisons un système de sondage similaire. Plutôt que de se concentrer sur les données de carte de crédit, ces modules se concentrent davantage sur les points de données publics, comme :

  1. Vérifier auprès des bases de données de fraude pour voir si l'adresse e-mail fournie par le client a été utilisée dans des transactions frauduleuses antérieures
  2. Identifier l'adresse IP du client pour voir si elle essaie d'être usurpée (fausse localisation)
  3. Comparaison de l'adresse IP (estimée) du client avec l'emplacement de son adresse de facturation (s'il y a un écart important, c'est un signal d'alarme)
  4. Traiter les comptes de messagerie gratuits comme légèrement moins fiables que les e-mails avec un domaine personnalisé/d'entreprise (c'est moins courant de nos jours).

Gardez à l'esprit que les plugins comme celui-ci sont aussi sujet aux faux positifs (peut-être même plus que CVV + AVS), vous pouvez donc voir des commandes bloquées à cause d'un tel plugin et vous devrez prendre des mesures manuelles pour corriger la situation à chaque fois qu'elle se produit.

C'est à vous de décider lequel de ces systèmes vous préférez mettre en œuvre.

Si vous souhaitez assurer la transaction la plus fluide pour vos clients qui ne soit pas interrompue par d'éventuels bloqueurs de fraude, mais vous comprenez que tout quantité de réduction de la protection contre la fraude pourrait permettre une transaction frauduleuse, nous vous recommandons de vous fier aux systèmes de votre processeur de carte de crédit comme AVS + CVV pour atténuer la fraude car ils détecteront probablement la plupart des transactions frauduleuses tout en équilibrant la simplicité pour les achats des clients.

Si vous souhaitez garantir le moins de transactions frauduleuses possible, mais que vous comprenez que cela causera probablement une certaine frustration chez les clients et ajoutera plus de vérification manuelle pour vous et/ou vos employés, il est alors recommandé d'activer tous les systèmes de protection contre la fraude disponibles. dans la configuration de vos extensions de paiement.


Plesk
  1. Comment installer WordPress avec Nginx sur Ubuntu 18.04

  2. Comment installer WordPress avec Docker sur Ubuntu

  3. Comment installer WordPress avec LEMP sur Ubuntu 20.04

  4. Comment installer WordPress avec Nginx sur Debian 10

  5. Comment installer WordPress avec cPanel en 5 minutes

Comment installer WordPress avec LAMP Stack sur Ubuntu 20.04

Comment installer WordPress avec Apache dans Ubuntu 20.04

Comment installer WordPress avec Docker sur Ubuntu 16.04 LTS

Comment installer WordPress avec Nginx dans Ubuntu 20.04

Comment installer WordPress sur CentOS 7.1 avec Apache

Comment installer WordPress avec EasyEngine sur Ubuntu 20.04