Les spam de commandes WooCommerce se produisent lorsque des robots ou des fraudeurs passent de fausses commandes. Ces commandes encombrent la base de données de votre boutique WordPress, vous font perdre du temps et entraînent même des pertes financières dues à des rétrocessions. Contrairement au spam d’enregistrement d’utilisateur, ces spams de commandes ont un impact direct sur vos ventes et vos opérations.
Ce problème découle souvent de réglages de sécurité faibles, tels que la vérification ouverte des invités, le manque de protection contre les robots et une mauvaise validation.
Puisque WooCommerce n’inclut pas d’outils intégrés pour empêcher les spams de commandes, vous devrez prendre des mesures supplémentaires pour les bloquer. Nous allons donc nous pencher sur les meilleurs moyens d’y remédier.
1. Configurer Cloudflare : votre première ligne de défense
Lorsqu’il s’agit d’arrêter le spam de commande WooCommerce, Cloudflare est votre outil le plus efficace car il peut aider à arrêter le spam avant qu’il n’atteigne votre site.
Alors que d’autres solutions, telles que les CAPTCHA, les extensions anti-spam et les outils de prévention des fraudes, filtrent les spams après que les robots aient interagi avec votre boutique, Cloudflare bloque le mauvais trafic en amont, empêchant les robots d’atteindre vos pages de commande et d’enregistrement.
Cloudflare est plus qu’un simple réseau de diffusion de contenu (CDN), c‘est une centrale de sécurité. Il propose un mode de lutte contre les robots, des règles de pare-feu d’application Web (WAF) et un blocage d’IP, qui réduisent la charge de votre boutique, protègent vos ressources et empêchent les commandes frauduleuses de passer entre les mailles du filet.
Pourquoi créer un compte Cloudflare personnel si Kinsta inclut déjà Cloudflare ?
Lors de la rédaction de cet article, nous avons posé cette question aux ingénieurs du support de Kinsta. Leur réponse ? L’intégration de Cloudflare dans Kinsta offre une sécurité solide au niveau de l’entreprise, mais la création de votre propre compte Cloudflare vous donne plus de contrôle.
Le Web Application Firewall (WAF) intégré de Kinsta et la protection contre les robots appliquent des règles de sécurité à l’échelle de la plateforme, conçues pour protéger tous les sites hébergés chez nous. Cependant, un compte Cloudflare personnel vous permet d’affiner les réglages de sécurité pour votre boutique WooCommerce spécifique.
Notre équipe de support recommande souvent aux clients de configurer leur propre compte Cloudflare avant celui de Kinsta. Cela vous permet de :
- Créer des règles WAF personnalisées pour défier les visiteurs suspects sur les pages de commande et d’enregistrement.
- Bloquer des pays entiers ou n’autoriser que les régions dans lesquelles votre entreprise opère.
- Appliquer un filtrage supplémentaire des robots avant même que le trafic n’atteigne le conteneur de votre site.
Cela dit, même sans votre propre compte Cloudflare, l’équipe d’assistance de Kinsta peut toujours bloquer des bots ou des IP spécifiques au niveau du conteneur si nécessaire. Mais si vous voulez un contrôle supplémentaire et une protection proactive, configurer Cloudflare vous-même est la meilleure approche.
Comment configurer Cloudflare pour la protection anti-spam de WooCommerce ?
La première étape consiste à ouvrir un compte Cloudflare gratuit si vous n’en avez pas déjà un. Une fois connecté, vous serez dirigé vers le tableau de bord de Cloudflare.
Pour commencer, cliquez sur le menu déroulant + Ajouter, cliquez sur Domaine existant, puis saisissez le domaine de votre boutique WooCommerce. Cela permet à Cloudflare de gérer le trafic et d’appliquer des règles de sécurité à votre site.

Après avoir saisi votre domaine, Cloudflare vous demandera de sélectionner un plan. Le plan gratuit est suffisant pour la plupart des boutiques WooCommerce, car il inclut le Bot Fight Mode, une protection DDoS de base et des règles de sécurité. Sélectionnez le plan gratuit, puis cliquez sur Continuer.

Ensuite, Cloudflare analysera vos enregistrements DNS actuels. Vous verrez une liste d’enregistrements tirés automatiquement de votre fournisseur d’hébergement actuel. Assurez-vous que votre domaine principal et vos sous-domaines sont correctement répertoriés. Cliquez sur Continuer pour poursuivre.

Cloudflare va maintenant vous fournir de nouveaux serveurs de noms. Pour activer les fonctions de sécurité de Cloudflare, vous devez mettre à jour les serveurs de noms de votre domaine auprès de votre registraire de domaine.
Après avoir mis à jour vos serveurs de noms, retournez sur Cloudflare et cliquez sur Terminé, Vérifier les serveurs de noms. Cloudflare peut prendre quelques minutes pour détecter les changements. Une fois que votre site est actif sur Cloudflare, vous pouvez configurer des règles de protection contre les robots.
Activer le mode « Bot Fight » pour bloquer les robots malveillants
L’une des fonctions de sécurité intégrées de Cloudflare est le Bot Fight Mode, qui bloque les robots malveillants connus avant qu’ils ne puissent interagir avec votre boutique WooCommerce.
Pour l’activer, naviguez vers Sécurité > Bots dans votre tableau de bord Cloudflare. Localisez Bot Fight Mode et activez-le.

Cela contribuera immédiatement à réduire les commandes automatisées de spam en empêchant les robots d’atteindre vos pages de commande et d’enregistrement.
Lorsque vous activez le Bot Fight Mode, il est également conseillé d’activer le réglage Block AI Bots, qui se trouve juste à côté. Nos ingénieurs de support mentionnent que bien que ce réglage ne soit pas strictement nécessaire pour la prévention du spam de WooCommerce, il peut aider avec les pics de performance causés par les robots d’intelligence artificielle qui scrappent agressivement votre site. Ces robots envoient souvent de gros volumes de requêtes non mises en cache, ce qui peut ralentir votre site. En activant l’option Bloquer les robots d’intelligence artificielle, vous réduisez le trafic lié au spam et évitez une charge inutile sur votre serveur, ce qui permet à votre boutique WooCommerce de fonctionner correctement.
Créer une règle WAF personnalisée pour la protection anti-spam de WooCommerce
Le WAF de Cloudflare vous permet de configurer des règles pour filtrer le trafic de spam avant qu’il n’atteigne votre boutique WooCommerce. Nos ingénieurs support ont partagé des exemples de deux règles utiles : une qui défie les visiteurs suspects sur des pages clés et une autre qui bloque le trafic en provenance de pays spécifiques.
Pour la protection de la commande et de l’enregistrement, la règle doit cibler à la fois le chemin URI et la chaîne de requête de l’URL. Dans Sécurité > WAF de Cloudflare, créez une règle nommée WooCommerce Spam Protection. Définissez le chemin URI pour qu’il contienne /checkout/
et /my-account/
et ajoutez la chaîne de requête URL pour qu’elle contienne wc-ajax=checkout
. L’action doit être un Managed Challenge, qui oblige les utilisateurs suspects à vérifier qu’ils sont humains avant de continuer.

Pour le blocage par pays, créez une règle distincte dans Sécurité > WAF et définissez le champ Pays comme n’étant pas égal à United States
, Canada
, et United Kingdom
(ou tout autre pays pris en charge par votre boutique). Définissez l’action sur Bloquer, afin que seuls les visiteurs provenant de pays approuvés puissent accéder à votre site.

Ces règles permettent d’empêcher les robots spammeurs et les commandes frauduleuses provenant de régions à haut risque, tout en autorisant les clients légitimes à accéder à votre site.
Une fois que vous avez terminé, cliquez sur Déployer la règle. Cloudflare s’attaquera désormais au trafic suspect sur ces pages, bloquant les robots spammeurs tout en autorisant les clients légitimes à passer.
Bien que Cloudflare constitue la meilleure première ligne de défense, il se peut que vous ayez besoin d’un filtrage supplémentaire au niveau du site. Les extensions sont très utiles lorsque vous avez besoin d’analyser des données au sein même de WooCommerce, comme par exemple :
- Vérifier les détails du client avant de bloquer une commande.
- Filtrer les enregistrements de spam basés sur les domaines d’e-mail ou l’historique des IP.
- Empêcher les fausses commandes qui échappent à la protection contre les robots.
Nos ingénieurs support recommandent d’utiliser Cloudflare dans la mesure du possible pour bloquer les spams avant qu’ils n’atteignent le site. Cependant, si Cloudflare n’est pas suffisant, ou si vous préférez gérer le filtrage des spams directement dans WordPress, voici quelques autres options pour aider à prévenir les commandes de spams WooCommerce.
2. Ajouter un CAPTCHA aux formulaires de commande et d’enregistrement
L’une des façons les plus simples et les plus efficaces de bloquer les commandes de spam est d’ajouter un CAPTCHA aux formulaires clés de votre boutique WooCommerce.
CAPTCHA signifie Completely Automated Public Turing test to tell Computers and Humans Apart. Il s’agit d’une mesure de sécurité qui permet d’empêcher les robots et les spammeurs d’accéder à votre site. Le CAPTCHA confronte les utilisateurs à des tâches simples, comme sélectionner des images, cocher une case ou saisir un texte déformé, qui sont faciles à résoudre pour les humains, mais difficiles à résoudre pour les robots.

Les CAPTCHA empêchent les robots de passer de fausses commandes tout en permettant aux vrais clients d’effectuer leurs achats sans problème.
Pour empêcher efficacement les spams, vous devriez ajouter un CAPTCHA aux :
- Formulaires de paiement – Pour empêcher les robots de passer de fausses commandes.
- Formulaires d’inscription – Empêche la création de comptes clients indésirables.
- Formulaires de connexion – bloque les attaques par force brute par lesquelles les robots tentent d’accéder aux comptes.
Plusieurs extensions facilitent l’intégration des CAPTCHA dans votre site WooCommerce, mais nous vous recommandons d’utiliser Simple Cloudflare Turnstile ou Advanced Google reCAPTCHA. Vous n’avez besoin d’en implémenter qu’un seul. Ci-dessous, nous allons vous guider à travers les deux options.
Option 1 : Utiliser Cloudflare Turnstile

Cloudflare Turnstile est une alternative respectueuse de la vie privée à Google reCAPTCHA. Il vérifie automatiquement les utilisateurs sans leur demander de résoudre des énigmes, ce qui rend le processus de paiement plus fluide.
Pour utiliser Cloudflare Turnstile sur votre site WordPress, rendez-vous sur le site web de Cloudflare et inscrivez-vous ou connectez-vous. Une fois que vous avez fait cela, vous serez dirigé vers votre tableau de bord Cloudflare. Sur votre tableau de bord, cherchez Turnstile. Si vous l’utilisez pour la première fois, cliquez sur le bouton Ajouter un widget.

Ensuite, nommez votre widget (par exemple, WooCommerce Checkout CAPTCHA) afin de pouvoir l’identifier plus tard. Ensuite, cliquez sur Add Hostnames pour ajouter votre site web.

Faites défiler vers le bas pour sélectionner le mode Widget infogéré, puis cliquez sur Créer.

Une fois le widget créé, Cloudflare génère des clés API dont vous aurez besoin dans votre tableau de bord WordPress. Copiez la clé du site et la clé secrète à partir de cette page.
Il existe plusieurs extensions pour ajouter le CAPTCHA Turnstile à WordPress, mais Simple Cloudflare Turnstile est une option gratuite et fortement recommandée.
Pour l’utiliser, allez dans Extensions > Ajouter. Dans la barre de recherche, saisissez Simple Cloudflare Turnstile. Ensuite, installez et activez l’extension.

Après avoir activé le plugin, allez dans Réglages > Cloudflare Turnstile. Collez la clé du site et la clé secrète que vous avez copiées plus tôt dans les champs respectifs.

Maintenant, faites défiler vers le bas et cochez les formulaires pour lesquels vous souhaitez activer le CAPTCHA Turnstile. Comme indiqué ci-dessous, sélectionnez WooCommerce Login, Registration, and Checkout.

Cliquez sur Enregistrer les modifications et vous aurez terminé. Ouvrez votre page de commande WooCommerce, et vous remarquerez que le défi CAPTCHA apparaît.
Option 2 : Utilisation de Google reCAPTCHA avancé

Google reCAPTCHA est l’un des outils de protection contre le spam les plus utilisés. Il propose reCAPTCHA v2 (vérification par case à cocher) et reCAPTCHA v3 (vérification en arrière-plan).
Pour commencer à utiliser Google reCAPTCHA, connectez-vous à votre compte Google. Une fois connecté, accédez à la page Produits reCAPTCHA et cliquez sur Démarrer. Vous accédez alors à la zone d’administration, où vous pouvez enregistrer un nouveau site en cliquant sur + Créer. Saisissez un libellé pour identifier le CAPTCHA, puis choisissez un type de défi. Pour ce guide, sélectionnez reCAPTCHA v2 et choisissez l’option « Je ne suis pas un robot ».

Après avoir sélectionné le type de défi, ajoutez le domaine de votre site sans aucun préfixe (comme example.com
). Cliquez ensuite sur Envoyer et copiez la clé du site et la clé secrète générées pour vous.
Ensuite, retournez dans votre tableau de bord WordPress. Allez dans Extensions > Ajouter, recherchez Advanced Google reCAPTCHA, puis cliquez sur Installer maintenant et Activer.

Une fois l’extension activée, accédez à Réglages > Advanced Google reCAPTCHA. Sélectionnez le Captcha et collez la Clé du site et la Clé secrète de Google dans leurs champs respectifs.

Choisissez également la manière dont vous souhaitez que le CAPTCHA apparaisse, puis passez à l’onglet Où afficher. Ici, activez reCAPTCHA sur les formulaires et cochez WooCommerce Checkout et WooCommerce Registration. Enfin, cliquez sur Enregistrer les modifications pour appliquer les réglages.

Une fois cette configuration terminée, ouvrez la page de paiement de votre boutique pour vérifier que le CAPTCHA fonctionne. Si tout est configuré correctement, la case à cocher « Je ne suis pas un robot » doit maintenant apparaître là où c’est nécessaire.
3. Utiliser des plugins anti-spam
Si le CAPTCHA permet d’empêcher les robots d’envoyer des spams de commandes, il n’est pas toujours suffisant, surtout lorsqu’il s’agit de tactiques de spam plus sophistiquées. C’est pourquoi vous avez besoin d’extensions anti-spam. Ces extensions fonctionnent en filtrant automatiquement les e-mails indésirables, en bloquant les adresses IP suspectes et en détectant les commandes frauduleuses avant qu’elles n’atteignent votre base de données WooCommerce.
WooCommerce n’inclut pas de protection anti-spam intégrée pour les commandes, c’est pourquoi l’utilisation d’une extension dédiée peut réduire de manière significative le spam sans ajouter de friction pour les clients réels.
Plusieurs extensions anti-spam efficaces sont disponibles, mais deux des meilleures options pour les boutiques WooCommerce sont CleanTalk Spam Protect et Akismet. Nous allons voir comment installer et configurer CleanTalk, qui est spécialement conçu pour la prévention des spams dans les commandes WooCommerce.
Comment configurer CleanTalk Spam Protect pour WooCommerce
CleanTalk est un service anti-spam premium qui filtre les spams de commandes, bloque les faux comptes et empêche les enregistrements de robots – le tout sans nécessiter de CAPTCHA. Il fonctionne silencieusement en arrière-plan, vérifiant les commandes et les envois de formulaires dans sa base de données mondiale de spams.
Pour commencer, allez dans votre tableau de bord WordPress et naviguez vers Extensions > Ajouter. Dans la barre de recherche, saisissez CleanTalk Spam Protect. Une fois que vous l’avez trouvé, cliquez sur Installer maintenant, puis sur Activer.

Après l’activation, allez dans Réglages > Anti-Spam by CleanTalk. Vous serez invité à saisir une clé d’accès. CleanTalk étant un service payant, vous devez créer un compte sur le site web de CleanTalk et souscrire à un abonnement.
Après l’inscription, CleanTalk vous fournira une clé d’accès que vous devrez copier et coller dans les réglages de l’extension.

Une fois que vous avez saisi la clé, vous pouvez confirmer que cela fonctionnera pour vos formulaires de commande WooCommerce en cliquant sur le lien Réglages avancés et en faisant défiler vers le bas jusqu’à la section WooCommerce.

Une fois que vous avez activé ces réglages, cliquez sur Enregistrer les modifications. Votre boutique WooCommerce est maintenant protégée contre les spams de commande et les faux enregistrements.
4. Désactiver la commande invité
L’une des causes des spams de WooCommerce est l’activation par défaut de l’option « Guest Checkout ».
Permettre aux clients de passer des commandes sans créer de compte accélère le processus de paiement, mais cela permet également aux robots et aux fraudeurs d’envoyer de fausses commandes sans restriction.
La désactivation de l’option « commande invité » oblige les clients à créer un compte avant de passer une commande. Cette simple étape ajoute une couche de sécurité car les robots ont souvent du mal à remplir les champs supplémentaires nécessaires pour l’enregistrement, en particulier lorsqu’ils sont associés à un CAPTCHA ou à une vérification par e-mail.
Cependant, avant de désactiver le contrôle des visiteurs, réfléchissez à l’impact que cela pourrait avoir sur vos ventes. Certains clients préfèrent une expérience d’achat sans friction et risquent d’abandonner leur panier s’ils sont obligés de créer un compte. Si votre boutique compte de nombreux acheteurs ponctuels, vous pouvez envisager d’autres mesures de sécurité avant de désactiver complètement le contrôle des visiteurs.
Pour désactiver le paiement par les invités, allez dans votre tableau de bord WordPress et naviguez jusqu’à WooCommerce > Réglages. Dans le menu des réglages, cliquez sur l’onglet Comptes et confidentialité.

Une fois que vous avez terminé, faites défiler vers le bas et cliquez sur Enregistrer les modifications.
Une fois que le paiement par les invités est désactivé, les clients ne pourront plus passer la commande en tant qu’invités. Au lieu de cela, ils seront invités à se connecter à un compte existant ou à en créer un nouveau avant de terminer leur achat.
5. Utiliser des plugins anti-fraude
Même avec les CAPTCHA et les mesures anti-spam, certaines transactions frauduleuses peuvent encore passer. C’est notamment le cas des escrocs qui utilisent des cartes bancaires volées, de fausses informations sur les clients ou des commandes générées en masse pour exploiter les boutiques WooCommerce.
Pour lutter contre cela, les extensions anti-fraude ajoutent une couche supplémentaire de sécurité en bloquant les transactions suspectes avant qu’elles ne soient terminées.
Ces extensions analysent divers facteurs de risque, tels que les adresses IP, les domaines d’e-mail, les détails de facturation et les comportements de commande inhabituels, afin de détecter les fraudes potentielles. Si une commande est signalée comme présentant un risque élevé, l’extension peut la bloquer automatiquement, la mettre en attente en vue d’un examen manuel ou en informer l’administrateur de la boutique.
L’une des meilleures options disponibles pour WooCommerce est Fraud Prevention For WooCommerce and EDD (anciennement Woo Blocker Lite). Voyons comment la configurer.
Comment configurer la prévention des fraudes pour WooCommerce
Fraud Prevention For WooCommerce and EDD est une extension anti-fraude légère mais puissante conçue pour empêcher les fausses commandes et les transactions de spam. Il permet aux propriétaires de boutiques de créer des règles de prévention des fraudes personnalisées, de voir les détails des utilisateurs sur liste de blocage et de générer des rapports de fraude – tout cela sans affecter les clients réels.
Pour l’installer, allez dans votre tableau de bord WordPress, naviguez vers Extensions > Ajouter, et recherchez Fraud Prevention For WooCommerce and EDD. Une fois que vous l’avez trouvé, cliquez sur Installer maintenant, puis sur Activer.

Après l’activation, vous verrez une vidéo de démonstration expliquant ce que l’extension peut faire. Vous pouvez accéder à la page de configuration de la prévention des fraudes dans Extensions Dotstore > Fraud Prevention. C’est là que vous configurerez les réglages de détection des fraudes pour votre boutique.

Décidez si vous souhaitez bloquer les utilisateurs frauduleux lors de l’inscription, de la commande ou des deux en sélectionnant les options appropriées dans la section Réglages de la liste de blocage. Cochez les cases en fonction du moment où vous souhaitez que l’extension détecte et empêche les activités frauduleuses.

Vous pouvez également mettre manuellement sur liste de blocage des utilisateurs spécifiques en fonction de leur adresse e-mail, de leur adresse IP, de leur état ou de leur code postal. Si vous avez remarqué des tentatives de fraude répétées de la part d’une source particulière, le fait de l’ajouter à la liste de blocage empêchera les futures spams de commandes d’être passés.

En outre, l’extension fournit un rapport de fraude détaillé qui vous permet de surveiller les activités suspectes et de suivre les commandes bloquées. Cela permet aux propriétaires de boutiques d’identifier rapidement des modèles de transactions frauduleuses et de prendre des mesures proactives pour sécuriser leur site WooCommerce.

Une fois que vous avez configuré les réglages nécessaires, cliquez sur Enregistrer les modifications. Votre boutique est maintenant protégée contre les tactiques de fraude courantes et les spams de commande.
Résumé
Le spam de commandes WooCommerce peut être un problème sérieux, mais avec les bonnes mesures de sécurité, vous pouvez garder votre boutique en sécurité.
Chez Kinsta, notre équipe de sécurité 24/7, nos analyses de logiciels malveillants toutes les trois minutes et notre protection Cloudflare de niveau entreprise aident à bloquer les spams et les activités frauduleuses avant qu’ils n’atteignent votre boutique. Notre hébergement WooCommerce haute performance peut augmenter la vitesse de votre boutique jusqu’à 200 %, garantissant des transactions fluides et sécurisées.
Si votre hébergeur actuel n’est pas à la hauteur, découvrez l’hébergement WooCommerce de Kinsta pour des vitesses plus rapides et une meilleure sécurité.