Comment créer une passerelle de paiement sécurisée
Publié: 2021-10-07Il vaut mieux prévenir que guérir. Et cette affirmation est encore plus vraie pour les magasins en ligne. La sécurisation de votre processus de paiement est essentielle pour conserver la confiance de vos clients et maintenir votre flux d'affaires et vos revenus.
Votre système de paiement est-il sous clé ? Apprenez-en plus sur les attaques et assurez-vous d'être protégé grâce à notre liste de contrôle de sécurité.
À quoi ressemblent les attaques de passerelle de paiement ?
Lorsqu'un cybercriminel cible votre passerelle de paiement, son objectif est de découvrir ou de voler des informations de carte de crédit qu'il peut ensuite revendre en ligne.
Les attaques de passerelle de paiement peuvent prendre la forme de :
- Attaques par énumération, qui testent la validité des combinaisons de cartes de crédit pour trouver celles qui fonctionnent. Sur votre site, cela peut ressembler à de nombreuses tentatives infructueuses de paiement avec une petite commande.
- Identifiants d'administrateur volés. Les criminels utilisent des techniques de phishing ou d'autres méthodes pour accéder à votre compte administrateur et à votre passerelle de paiement dans le but de voler les informations de carte de crédit des clients.
- Appareils POS clonés. Les acteurs malveillants copient vos appareils de point de vente (qui utilisent les informations d'identification de votre passerelle de paiement) pour générer de fausses commandes.
Pourquoi se soucier de la sécurité de la passerelle de paiement ?
Une fois que votre magasin est opérationnel, vous pourriez être tenté de penser que vous êtes suffisamment en sécurité, surtout si vous n'avez pas encore été la cible de pirates. Mais lorsque des criminels ciblent votre passerelle de paiement, vous pouvez vous retrouver confronté à des conséquences telles que :
- Temps nécessaire pour trier et traiter les violations, vous évitant de passer du temps sur les parties génératrices de revenus de votre entreprise.
- Problèmes de performances du site Web, en raison du trafic provenant d'attaques par force brute.
- Confiance érodée avec votre fournisseur de passerelle de paiement, entraînant éventuellement des frais plus élevés ou l'annulation du service.
Comment verrouiller votre site
J'espère que vous n'aurez jamais à vous soucier des attaques réelles. Mais faites preuve de prudence et réfléchissez, consacrez du temps et investissez à chacun de ces problèmes pour vous assurer que votre site est verrouillé.
Utilisez CAPTCHA pour les comptes d'utilisateurs et le processus de paiement
Assurez-vous que les bots ne peuvent pas entrer dans votre système en ajoutant un CAPTCHA à vos pages d'inscription et de paiement. Bien qu'il s'agisse d'une étape supplémentaire pour les clients, cela en vaut la peine pour la manière simple et efficace d'empêcher les bots d'attaquer votre site.
Il existe une variété de méthodes que vous pouvez utiliser pour rationaliser le processus pour vos clients légitimes, tout en ajoutant de la sécurité. Considérez les fonctionnalités avancées de l'extension ReCaptcha pour WooCommerce pour trouver le bon équilibre entre facilité et sécurité.
Investissez dans un hébergement de qualité
Votre hébergeur est votre partenaire de performance et de sécurité. Un fournisseur de qualité inclura des fonctionnalités de sécurité essentielles telles que :
- Un certificat SSL, qui crypte les informations client telles que les données de carte de crédit et les adresses.
- Serveurs conformes à la norme PCI qui suivent toutes les directives des sociétés de cartes de crédit.
- Analyses régulières du site, sauvegardes et surveillance des attaques par force brute.
Mais ne comptez pas uniquement sur votre hôte. Envisagez d'ajouter un pare-feu à votre site, qui agit comme une barrière entre votre magasin et les pirates, les empêchant d'entrer.
De plus, des outils comme Jetpack Security fournissent des analyses de logiciels malveillants, des alertes de temps d'arrêt et des sauvegardes hors site.
Utiliser un plugin anti-fraude
Protégez directement votre passerelle de paiement avec un logiciel anti-fraude qui surveille vos commandes et surveille toute activité suspecte.
Des extensions telles que WooCommerce Anti-Fraud recherchent les transactions qui correspondent à des schémas d'attaque typiques et bloquent les commandes suspectes et les utilisateurs douteux.
Vous pouvez bloquer des activités telles que :
- De nombreuses petites commandes passées en succession rapide
- Un afflux soudain de commandes provenant d'un emplacement géographique en dehors de votre zone de commande typique
- Commandes passées à partir d'une liste de blocage d'adresses e-mail et d'adresses IP
- Différences suspectes entre les adresses de facturation et de livraison
- Paiements effectués par de nouveaux comptes PayPal non vérifiés
- Utilisation de serveurs proxy et autres activités de masquage
Vous pouvez définir le niveau de sensibilité des commandes à signaler pour trouver le bon niveau de risque pour votre boutique.
Assurez-vous que les mots de passe sont sûrs
Nous connaissons tous les principes de base en matière de sécurité des mots de passe : utilisez une variété de caractères, n'utilisez pas de nom personnel ni de date et ne réutilisez pas les mots de passe sur les sites Web. Mais vous pouvez ajouter une sécurité supplémentaire en :
- Rendre vos mots de passe administrateur encore plus compliqués avec des caractères spéciaux, etc.
- Ajout d'un logiciel de verrouillage de mot de passe, qui limitera le nombre de tentatives de connexion infructueuses
- Veiller à ce que les utilisateurs ne disposent que des autorisations minimales nécessaires pour effectuer leur travail ou leurs tâches
- Soyez conscient des escroqueries par hameçonnage et ne partagez jamais vos informations de mot de passe avec des entreprises ou des individus suspects
Les mots de passe peuvent également être utilisés pour sécuriser certaines parties de votre site. Utilisez l'extension Catégories protégées par mot de passe pour limiter l'accès aux zones couramment exploitées. Les acheteurs devront avoir un compte pour vérifier leur identité, ou devront accéder au mot de passe directement auprès de vous via des canaux sécurisés.
Limiter le stockage des informations de carte de paiement
Une grande fonctionnalité de WooCommerce est que vous n'avez pas du tout besoin de stocker les informations de carte de crédit - votre passerelle de paiement gérera les informations de sécurité les plus vulnérables et les plus importantes.
Conseil clé : assurez-vous que la passerelle de paiement que vous avez sélectionnée utilise la tokenisation pour transmettre les informations de carte de crédit dans les deux sens. Pour une sécurité maximale, pensez aux paiements WooCommerce .
Mais si vous souhaitez autoriser vos clients à configurer des abonnements ou à s'inscrire à des précommandes, votre système peut stocker des informations sur les options de paiement, soit sur votre site, soit via votre passerelle de paiement. Limitez le nombre de fois où les clients peuvent mettre à jour leurs informations de carte de crédit. Plusieurs mises à jour par jour sont un drapeau rouge des attaques par force brute.
Mettre hors service en toute sécurité les appareils POS
Lorsque les appareils de point de vente ont perdu leur utilité, assurez-vous de les mettre hors service en toute sécurité. Cela signifie effacer toute la mémoire et les paramètres pour s'assurer que tous les codes d'accès ou mots de passe stockés sont supprimés et ne peuvent pas être clonés ou copiés. Cela signifie également renvoyer ces appareils à l'entreprise source afin qu'ils puissent être éliminés en toute sécurité ; ne les laissez pas ramasser la poussière à l'arrière de votre magasin.
Avec toutes les parties du système de paiement entièrement protégées, vous saurez que vous avez fait tout ce que vous pouviez pour garder votre actif commercial le plus important en toute sécurité. Gardez les attaquants à distance et assurez-vous de consacrer votre énergie à la génération de revenus et à la croissance, au lieu de traiter les failles de sécurité.