Documentation WP Simple Pay

Documentation, matériel de référence et tutoriels pour WP Simple Pay

Référence Anti-Spam

Temps de lecture : 7 minutes | Difficulté : Débutant

La sous-section des paramètres Anti-Spam montrant les quatre cartes de fournisseur CAPTCHA et le commutateur de vérification par e-mail.

Vue d’ensemble

Le test de cartes est la forme la plus courante d'abus automatisé contre les formulaires de paiement WordPress — les robots soumettent des milliers de numéros de cartes volées par heure pour trouver ceux qui fonctionnent encore. Les paramètres Anti-Spam de WP Simple Pay vous offrent deux défenses complémentaires :

  1. CAPTCHA — Arrête les soumissions automatisées avant même qu'elles n'atteignent Stripe. Choisissez entre Google reCAPTCHA v3, hCaptcha ou Cloudflare Turnstile.
  2. Vérification par e-mail — Une couche réactive qui exige que les clients confirment leur adresse e-mail après qu'un nombre configurable de refus frauduleux se soient produits dans un délai configurable.

Les deux couches sont configurées sous WP Simple Pay > Paramètres > Général > 🛡️ Anti-Spam.

Prérequis

  • WP Simple Pay (CAPTCHA est disponible dans la version gratuite)
  • WP Simple Pay Pro pour la vérification par e-mail

CAPTCHA

Le paramètre CAPTCHA en haut de l'onglet Anti-Spam vous permet de choisir un fournisseur — Aucun, Google reCAPTCHA v3, hCaptcha ou Cloudflare Turnstile. Après avoir choisi un fournisseur, les champs d'identification correspondants apparaissent ci-dessous.

Google reCAPTCHA v3

CAPTCHA invisible basé sur le score de Google. Aucune interaction client requise — Google attribue un score à chaque requête de 0,0 (probablement un bot) à 1,0 (probablement un humain) et WP Simple Pay bloque les soumissions en dessous du seuil.

  • Clé de site — Identifiant public de votre console d'administration reCAPTCHA.
  • Clé secrète — Identifiant privé de votre console d'administration reCAPTCHA.

Configuration : Inscrivez-vous sur google.com/recaptcha/admin, choisissez reCAPTCHA v3 (pas v2), ajoutez votre domaine et collez les clés résultantes.

hCaptcha

Alternative à Google reCAPTCHA respectueuse de la vie privée. Widget de défi visible que les clients résolvent une fois. Même structure de données que reCAPTCHA — clé de site + clé secrète.

  • Clé de site — Depuis votre tableau de bord hCaptcha.
  • Clé secrète — Depuis votre tableau de bord hCaptcha.

Configuration : Inscrivez-vous sur hcaptcha.com, récupérez vos identifiants et collez-les ici.

Cloudflare Turnstile

Alternative gratuite et respectueuse de la vie privée de Cloudflare. Souvent invisible, occasionnellement interactive. Même forme de configuration — clé de site + clé secrète.

  • Clé de site — Depuis votre tableau de bord Cloudflare Turnstile.
  • Clé secrète — Depuis votre tableau de bord Cloudflare Turnstile.

Configuration : Inscrivez-vous sur cloudflare.com/products/turnstile, créez un widget Turnstile et collez les clés.

Choix d'un fournisseur

Fournisseur Coût Friction client Vie privée Remarques
reCAPTCHA v3 Gratuit Aucun (invisible) Envoie des données à Google Meilleur choix par défaut si vous utilisez déjà des services Google
hCaptcha Niveaux gratuits / payants Faible (clic occasionnel) Respectueux de la vie privée Bonne alternative au reCAPTCHA pour le RGPD
Cloudflare Turnstile Gratuit Principalement aucun Respectueux de la vie privée Meilleur choix si vous utilisez déjà Cloudflare

Vous ne pouvez activer qu'un seul fournisseur à la fois. Pour changer de fournisseur, modifiez la sélection CAPTCHA en haut de l'onglet — les identifiants précédents restent sauvegardés mais inactifs jusqu'à ce que vous reveniez en arrière.

Vérification par e-mail

La vérification par e-mail est une défense réactive qui s'active uniquement après que WP Simple Pay ait détecté un schéma de tentatives de paiement frauduleuses. Elle est conçue pour être invisible aux clients légitimes lors d'un trafic normal et ne s'active qu'en cas d'attaque.

Comment ça marche

  1. WP Simple Pay écoute les webhooks charge.failed de Stripe avec un résultat fraudulent.
  2. Lorsque le nombre de détections de fraude dépasse votre seuil configuré dans le délai configuré, chaque formulaire de paiement sur site ultérieur nécessitera une vérification par e-mail avant la soumission.
  3. Les clients reçoivent un code de vérification à l'adresse e-mail qu'ils ont saisie. Ils doivent entrer le code pour finaliser le paiement.
  4. Une fois le délai écoulé sans autre événement de fraude, la vérification est automatiquement désactivée.

Paramètres

  • Vérification par e-mail (Activer/Désactiver) — Interrupteur principal. Fortement recommandé de le laisser activé.
  • Anti-Spam dans le générateur de formulaires
  • Période — Fenêtre (en heures) pendant laquelle le seuil est mesuré. Par défaut : 6 heures.

Ajustement du seuil et de la période

Les valeurs par défaut (3 refus en 6 heures) sont délibérément conservatrices — elles interceptent les tests de cartes évidents sans gêner les clients lors des pics de trafic normaux.

  • Réduisez le seuil si vous avez déjà été ciblé et souhaitez une réaction plus rapide (par exemple, 2 refus).
  • Réduisez la période si votre site a un volume de transactions élevé et que 6 heures d'historique masqueraient une nouvelle attaque.
  • Augmentez le seuil si vous avez un trafic très élevé et que la valeur par défaut se déclenche sur du bruit normal.

Interaction entre CAPTCHA et vérification par e-mail

Les deux couches sont complémentaires, pas redondantes :

  • CAPTCHA s'exécute sur chaque soumission et bloque les bots avant qu'ils n'atteignent Stripe.
  • La vérification par e-mail s'exécute a posteriori, uniquement lorsque le CAPTCHA a été contourné (par exemple, par une attaque menée par un humain) et que les refus pour fraude se sont déjà accumulés.

Pour de meilleurs résultats, activez les deux. CAPTCHA gère 99 % des abus automatisés à moindre coût ; la vérification par e-mail intercepte le 1 % qui passe.

Anti-Spam in the Form Builder

En plus des paramètres globaux, les formulaires individuels peuvent opter pour la vérification par e-mail sous l'onglet Général de l'éditeur de formulaire. Ceci est utile lorsque vous avez un formulaire à haut risque (par exemple, un formulaire de petit don) que vous souhaitez toujours vérifier, indépendamment de l'atteinte du seuil global.

Questions fréquemment posées

Les clients verront-ils le CAPTCHA sur chaque formulaire ?

reCAPTCHA v3 et Cloudflare Turnstile sont généralement invisibles — la plupart des clients ne voient jamais de défi. hCaptcha affiche un petit widget qui nécessite un clic. Aucun d'entre eux ne bloque les clients légitimes dans des conditions normales.

Pourquoi vois-je « 🛡️ Anti-Spam » au lieu de « reCAPTCHA » ?

L'onglet a été renommé de reCAPTCHA à Anti-Spam lorsque la prise en charge de hCaptcha et Cloudflare Turnstile a été ajoutée. Le nom reCAPTCHA subsiste dans une ancienne documentation ; les paramètres sous-jacents sont les mêmes.

Les paramètres CAPTCHA sont-ils respectés sur les formulaires Stripe Checkout (hors site) ?

CAPTCHA est appliqué côté WordPress avant la redirection vers Stripe Checkout. La page hébergée de Stripe dispose également de ses propres protections anti-bots. Pour les formulaires sur site (intégrés/superposés), CAPTCHA valide chaque soumission avant la création du paiement.

Ai-je besoin d'un CAPTCHA si j'ai la vérification par e-mail ?

Les deux servent des objectifs différents. CAPTCHA bloque les bots. La vérification par e-mail bloque les tests de cartes menés par des humains où l'attaquant peut résoudre le CAPTCHA mais n'a pas accès à de nombreuses boîtes de réception réelles. Utilisez les deux si votre site traite un volume de paiements significatif.

Que deviennent les codes de vérification une fois la période écoulée ?

Les codes expirés sont nettoyés par une tâche planifiée (simpay_cleanup_email_verification_codes). Ils sont automatiquement invalidés et ne peuvent pas être réutilisés.

Puis-je exempter des formulaires spécifiques du filtre Anti-Spam ?

Oui — consultez les paramètres de l'onglet Général par formulaire. Vous pouvez remplacer le comportement global sur une base par formulaire si nécessaire.

Et ensuite ?

Vous avez encore des questions ? Nous sommes là pour vous aider !

Dernière modification :

Commencez à accepter les paiements dès aujourd'hui

Commencez à accepter les paiements uniques et récurrents ou les dons sur votre site Web WordPress.