如何保护您的 WooCommerce 商店免受欺诈

几周前，WPTavern 强调了最近在 WooCommerce 网站上通过 Stripe 进行的支付欺诈激增。 虽然这个问题本身并不新鲜，但这篇文章是由 Advanced WordPress Facebook Group 上的讨论引发的，几位开发人员注意到他们客户的网站受到类似事件的影响。

他们并不孤单。

根据 Statista 分析的数据，全球因在线支付欺诈造成的电子商务损失翻了一番，从 2021 年的 200 亿美元增加到 2022 年的 410 亿美元。根据这些趋势，目前的预测估计这一数字高达 480 亿美元2023年。

了解付款欺诈

简而言之，“欺诈”意味着窃取不属于您的东西，但是，在线支付欺诈绝非简单。

什么是付款欺诈？

当通过未经授权的交易（即未经卡所有者或银行账户的批准）进行支付时，这被称为支付欺诈。

常见的付款欺诈类型

有各种类型的支付欺诈，执行得如此顺利，以至于受害者需要一段时间才能意识到自己被骗了。

卡片测试

盗用借记卡或信用卡详细信息的欺诈者会进行一些小额购买以确认卡详细信息有效。 这通常称为卡片测试或卡片破解。

欺诈者经常寻找允许您支付任意金额（按需支付）的网站或接受小额捐赠的非营利网站。 否则，他们会随机识别任何毫无戒心的商家网站并购买廉价商品以确认被盗卡仍然有效。

雪上加霜的是，如果欺诈者在技术上足够熟练，可以为此使用自动化脚本或机器人，则可能会在很短的时间内导致大量此类交易。 通常，当受影响的商户和实际持卡人注意到这些异常交易并试图阻止它们时，已经为时已晚。

三角欺诈

这种类型的欺诈可能是一场彻头彻尾的噩梦，因为很难追踪这条链。 通常是这样的：

• 欺诈者在市场（例如 e-Bay 或亚马逊）上设置了一个包含产品的虚假店面。
• 真正的客户访问了欺诈者的商店并购买了产品。
• 然后，欺诈者使用偷来的信用卡向合法商家下订单购买该产品，并提供客户的送货地址。
• 现在，客户没有注意到任何异常，因为她收到的正是她所订购的，使用的是她真实的银行卡详细信息。
• 当被盗卡的所有者看到她账单上的费用并提出付款纠纷时，毫无戒心的商家必须支付退款的罚款。 由于货物已经交付给实际为产品付款的人（尽管是欺诈者），商家无法收回交付的物品或欠他的货款。 此外，他最终还要为拒付支付罚款。
• 如果真正的商家不采取措施阻止此类欺诈交易，损失会很快增加。

友好欺诈

友好欺诈（也称为虚假拒付）是指客户使用自己的有效卡从在线零售商处购买商品，但后来向银行提出拒付，要求退款。 这可能是由于买家的悔恨或犹豫是否要联系商家并友好解决。

替代退款

这是骗子使用偷来的卡向网站（通常是非营利组织或接受按需捐赠的网站）支付大笔款项。 然后，他们联系该网站并声称转移的金额超出了他们的预期，要求将部分退款退还到另一张卡（他自己的），并再次谎称用于原始付款的卡已过期。

防止黑客攻击和支付欺诈的简单措施

公平地说，支付网关处理器确实尽力阻止恶意行为者，但这还不够。

事实上，Stripe 发布了一份说明，详细说明了它对最近卡片测试攻击激增的反应。 虽然这可能有助于减少欺诈，但考虑到此类成功的欺诈企图的规模，这仍然只是一个小问题。

因此，您最好承担起保护您的 WordPress 网站安全的责任，并尽您所能。

这里有 5 个简单的方法来做到这一点！

1. 实施强大的登录流程

网站的安全性取决于其最弱的密码。 强制使用强密码是防止黑客访问您网站的最起码措施。 但是，如果密码太复杂以至于人类无法记住，那么他们可能会偷懒并将其写在不安全的地方。 或者，如果他们很容易记住，那么很可能也很容易被黑客攻击。

强烈建议您通过在登录过程中增加一个步骤来选择增加一层安全性，而不是仅依赖强密码。 一些方法可以做到这一点——

• 使用 WordPress 插件强制执行双因素身份验证
• 启用生物识别密码以完全避免密码

2.定期监控付款

注意任何不寻常的客户模式、奇怪的电子邮件 ID、账单地址和 IP 地址位置不匹配等。您可以手动执行此操作或使用 WooCommerce 支付插件，例如下面列出的插件。

这里有一些专门为防止欺诈而设计的 WooCommerce WordPress 插件

SyncTrack 自动添加支付宝

这是一个相对鲜为人知的免费插件，于 2022 年 5 月发布。 它的目标是出色的——它与 Paypal 集成并传递付款跟踪信息，这样您就可以免受与欺诈订单相关的争议和退款。

然而，这个插件自发布以来并没有更新过最新的 WordPress 版本，所以应该谨慎使用。

WooCommerce Eye4Fraud

如果客户在 Eye4Fraud 批准的帐户上成功提出拒付，它通过承诺全额赔偿来保证拒付保护。 我想没有比这更好的了。

不过，您需要获得一个 Eye4Fraud 帐户才能正常工作，他们会收取您订单金额的一定百分比作为佣金。 他们的网站上没有定价信息，您可以联系他们获取个性化报价。

YITH WooCommerce 反欺诈

该插件会自动检测付款过程中的可疑行为并阻止订单。 例如，IP 地址、地理位置等参数不匹配。

它还允许您根据风险阈值、来自可疑域的电子邮件、异常高的订单金额（您可以指定金额）等条件配置阻止订单的规则。

OPMC 的 Woocommerce 反欺诈

这个流行的反欺诈 WordPress 插件允许您根据预期的客户行为设置各种规则和警报。 任何不符合此要求的订单都会突出显示，以便您可以更仔细地查看它们。

该插件还：

• 评估与每笔付款相关的风险并提醒您注意高风险付款
• 使用 reCAPTCHA 提供针对速度攻击的保护
• 与 QuickEmailVerification 集成以验证电子邮件地址

3. 禁用访客订单（无需客户注册）

考虑强制用户在下订单之前在您的网站上注册。 您还可以通过强制新用户验证他们的电子邮件地址或在注册表单上添加验证码（或两者）来添加额外的检查。

如果还没有，请考虑在您的结帐页面上也添加一个验证码。 尽管这可能会惹恼想要快速流畅结账体验的真实客户，但它可能仍然值得。

但是，这有助于减少机器人使用随机不存在的邮件 ID 下达多个小额订单的卡测试攻击的机会。

4.启用速率限制

YITH 的 WooCommerce 反欺诈插件允许您控制指定时间段内每个用户的订单数量。 这可以防止欺诈者使用相同的客户 ID 自动下大量订单。 当然，这并不是说完全可以阻止它，而是一点点帮助。

5.利用你已有的东西

您应该尽力利用您可能已经在使用的任何资源，例如您的主机、Cloudflare（或类似的安全提供商）。

例如：

• 您可以启用 Cloudflare 的 Bot Fight 模式，这样只要发现典型的机器人流量模式，Cloudflare 就会阻止这些模式。
• 如果他们提供任何可以帮助您处理此类尝试的工具或防火墙，请咨询您的托管服务提供商。

此外，如果您已经在使用 WooCommerce 支付插件，它会突出显示为每笔交易评估的风险级别，如“正常”或“高”——这是基于它与 Stripe 的 RADAR 欺诈预防工具的集成。

虽然您绝对应该使用任何可能的方法来防止欺诈，但您仍有可能看到一些欺诈性订单通过。

将损失降到最低的最佳方法是保持警惕并对您网站上的任何异常购买模式做出快速反应。

如果您看到多个快速连续的小额交易，您应该检查详细信息并立即阻止它们，直到您调查这些交易。

保持警惕，保持安全！