Background image: Matthieu's World Background image: Matthieu's World
Social Icons
Comment j'ai stoppé les paiements frauduleux sur ma boutique WooCommerce (sans me ruiner)

Comment j'ai stoppé les paiements frauduleux sur ma boutique WooCommerce (sans me ruiner)

4 min de lecture
Par Matthieu Cousin

Table des matières

Pendant plusieurs semaines, un comportement étrange est apparu sur ma boutique : des dizaines, parfois des centaines de petites commandes à 5 €. Presque toutes refusées. Toujours le même nom, une adresse ukrainienne louche, et un produit unique payé avec des cartes bancaires différentes.

Bref, un testeur de carte bleue à l’œuvre.

Ces "card testers" utilisent des sites comme le mien pour vérifier si les cartes qu’ils ont volées (ou achetées sur le dark web) fonctionnent encore. Et moi ? Je suis leur cobaye.

Au début, j’ai cru à un bug... Puis je me suis dit : « hey, après tout, s’ils paient... »

Mais très vite, j’ai compris que ça allait me coûter beaucoup plus cher que ça ne rapportait :

  • Trop d’échecs de paiement = compte Stancer qui pourrait être suspendu
  • Paiement accepté puis remboursé = frais cachés (jusqu'à 15 € chez certains Payment Service Provider)
  • Et surtout : du temps perdu à gérer les litiges

Alors j’ai réagi. Et plutôt que de payer un plugin premium à 30 €/mois, j’ai codé le mien.

Mes premiers déboires

J'ai commencé par bloquer l'adresse mail de la personne qui passait commande. Raté : elle changeait à chaque fois. Probablement un script qui gère la création d'emails jetables.

J'ai ensuite testé reCAPTCHA : inefficace. Le script passe à travers sans souci.

J'ai essayé de retirer les produits ciblés du catalogue. Il en choisissait d'autres. Clairement : automatisé, flexible, pas un amateur.

Il me fallait une solution plus robuste. Soit je bloquais les IP suspectes moi-même, soit je déléguais à un système plus intelligent.

Pourquoi le plugin officiel FraudLabs Pro ne suffisait pas

Je suis tombé sur FraudLabs Pro. Leur service note chaque commande selon des critères de fraude : adresse IP, email, incohérences, proxy, etc. Ils ont même un plugin officiel pour WooCommerce.

Sauf que... dans sa version gratuite, le plugin vérifie APRÈS le paiement. Autrement dit : la carte est déjà testée. Trop tard.

Il faut payer pour que la vérification se fasse avant le paiement. 30 €/mois. Hors de question.

Mais le service est bon, et ils offrent 500 vérifications gratuites par mois via leur API. J’ai donc créé un plugin perso qui utilise leur API avant le paiement. Et ça change tout.

Mon plugin : FraudLabs Gatekeeper

🔐 Ce que fait mon plugin

Il intercepte le bouton "Commander" sur WooCommerce avant que le client ne soit redirigé vers Stancer (ou une autre passerelle).

Il envoie les données de la commande à FraudLabs Pro (API v2).

En fonction de leur réponse, il y a 3 cas possibles :

🟢 APPROVED

La commande est considérée comme saine.

  • Mon plugin laisse passer : le paiement est lancé normalement.
  • La commande est créée avec statut pending (en attente de paiement)
  • Stancer prend le relais. Classique.

🟡 REVIEW

Là, FraudLabs hésite. Ce n’est pas forcément une fraude, mais ça vaut le coup de vérifier à la main.

Voici ce qui se passe :

  • La commande est créée avec le statut on-hold
  • Le panier est vidé
  • Le client voit une page de commande reçue (mais sans lien de paiement)
  • De mon côté :
    • Je reçois une notif (email ou via Telegram avec n8n)
    • Si je valide manuellement la commande (je passe le statut en pending-payment), ça déclenche l’envoi du lien de paiement (automatisé via n8n ou à faire à la main avec un lien contenant ?flp_bypass=true)

⚠️ Important : l’envoi automatique du lien de paiement via email n’est pas inclus dans le plugin. Je l’ai fait via une automatisation n8n. Libre à toi de faire pareil, ou de gérer à la main.

❌ REJECT

C’est une fraude avérée.

  • Une commande est créée avec le statut on-hold puis immédiatement annulée (cancelled)
  • Cela permet à WooCommerce d’envoyer l’email de "commande annulée"
  • Le panier est vidé, le paiement bloqué
  • Le client reçoit un mail lui expliquant que sa transaction a été bloquée pour suspicion de fraude (et peut répondre si erreur)

Les détails techniques qui comptent

  • Emails natifs WooCommerce : pas de surcharge, tout passe par les paramètres classiques
  • Filtrage des statuts : j’ai bloqué les notifs parasites sur on-hold pour ne pas inonder le client
  • API FraudLabs Pro v2, gratuite jusqu'à 500 appels/mois
  • Compatible avec n8n pour automatiser les notifs ou l’envoi du lien de paiement

Pourquoi c’est utile (et pour qui)

  • Tu utilises une passerelle sans vérification anti-fraude (ex : Stancer)
  • Tu vends des produits à petit prix ➜ cibles idéales pour les card testers
  • Tu veux proteger ton compte PSP (Payment Service Provider) des fraudes
  • Tu refuses de payer un abonnement mensuel juste pour un pré-check

Conclusion

Ce plugin m’a littéralement sauvé la boutique.

Je suis passé de 20 commandes frauduleuses par jour à 0. Et tout en gardant le contrôle, sans frais supplémentaires, sans abonnement, et avec une bonne dose d’automatisation maison.

Je le partage ici pour aider ceux qui sont dans la même galère. J'en fais la démo dans cette vidéo :

✉️ Lien de téléchargement. Il n'y a qu'à téléverser l'extension dans ton WordPress. Tu peux aller mettre ta clé API Fraudlabs dans Réglage>Fraudlabs gatekeeper. Il y a un readme dans le ZIP, si tu veux le lire, il faudra décompresser le plugin, puis le recompresser pour l'utiliser.

Et si tu veux discuter de potentielles améliorations, n'hésite pas à me contacter.

Cheers

Besoin d’un coup de main pour cette partie technique ?

Je sais que parfois, même bien expliqué, un workflow reste intimidant.
Si tu préfères qu’on le mette en place ensemble, contacte-moi : je suis freelance en automatisation, et je peux t’aider à passer de “je devrais le faire” à “c’est déjà en place”.

Sinon, continue de piocher dans les ressources du site, elles sont faites pour ça ✌️

Commentaires