WooCommerce spambestellingen ontstaan wanneer bots of fraudeurs neppe bestellingen plaatsen. Deze bestellingen maken de database van je WordPress winkel onoverzichtelijk, verspillen je tijd en leiden zelfs tot financiële verliezen door terugboekingen. In tegenstelling tot spam rond gebruikersregistratie, hebben deze spambestellingen een rechstreekse impact op je verkoop en activiteiten.
Dit probleem komt vaak voort uit zwakke beveiligingsinstellingen, zoals afrekenen als gast, gebrek aan beveiliging tegen bots en slechte validatie.
Omdat WooCommerce geen ingebouwde tools heeft om spambestellingen te voorkomen, moet je extra maatregelen nemen om deze te blokkeren. Laten we meteen beginnen met de beste manieren om het tegen te houden.
1. Cloudflare instellen: je eerste verdedigingslinie
Als het gaat om het tegenhouden van WooCommerce spam rond bestellingen, is Cloudflare je meest effectieve hulpmiddel omdat het spam kan tegenhouden voordat het je site bereikt.
Waar andere oplossingen, zoals CAPTCHA, anti-spam plugins en fraudepreventietools, werken door spam te filteren nadat bots interactie hebben met je winkel, blokkeert Cloudflare het slechte verkeer aan de edge, zodat bots je afreken- en registratiepagina’s überhaupt niet kunnen bereiken.
Cloudflare is dan ook meer dan alleen een Content Delivery Network (CDN); het is een krachtpatser op het gebied van beveiliging. Het biedt Bot Fight Mode, Web Application Firewall (WAF) regels en IP-blokkering, die allemaal de belasting van je winkel verminderen, je bronnen beschermen en frauduleuze bestellingen tegenhouden.
Waarom een eigen Cloudflare account opzetten als Kinsta Cloudflare al bevat?
Bij het schrijven van dit artikel hebben we deze vraag gesteld aan de supportmedewerkers van Kinsta. Hun antwoord? Kinsta’s Cloudflare integratie biedt sterke beveiliging op zakelijk niveau, maar het opzetten van je eigen Cloudflare account geeft je meer controle.
Kinsta’s ingebouwde Web Application Firewall (WAF) en botbescherming passen platformbrede beveiligingsregels toe die zijn ontworpen om alle sites die bij ons worden gehost te beschermen. Met een persoonlijk Cloudflare account kun je echter de beveiligingsinstellingen afstemmen op jouw specifieke WooCommerce winkel.
Ons supportteam raadt klanten vaak aan om hun eigen Cloudflare account in te stellen voor die van Kinsta. Hierdoor kun je:
- Je eigen WAF-regels maken om verdachte bezoekers te weren op afreken- en registratiepagina’s.
- Hele landen blokkeren of alleen regio’s toestaan waarin je bedrijf actief is.
- Extra botfiltering toepassen nog voordat het verkeer je sitecontainer bereikt.
Dat gezegd hebbende, zelfs zonder je eigen Cloudflare account kan het supportteam van Kinsta nog steeds specifieke bots of IP’s blokkeren op het niveau van de container als dat nodig is. Maar als je extra controle en proactieve bescherming wilt, is het zelf configureren van Cloudflare de beste aanpak.
Cloudflare instellen voor WooCommerce spambeveiliging
De eerste stap is om je aan te melden voor een gratis Cloudflare account als je die nog niet hebt. Eenmaal aangemeld kom je op het Cloudflare dashboard.
Om te beginnen klik je op de vervolgkeuzelijst + Add, klik je op Existing domain en voer je het domein van je WooCommerce winkel in. Hierdoor kan Cloudflare het verkeer beheren en beveiligingsregels toepassen op je site.
Na het invoeren van je domein zal Cloudflare je vragen om een pakket te selecteren. Het gratis pakket is voldoende voor de meeste WooCommerce winkels, omdat het Bot Fight Mode, DDoS basisbescherming en beveiligingsregels bevat. Selecteer het Free pakket en klik op Continue.
Cloudflare scant vervolgens je huidige DNS-records. Je ziet een lijst met records die automatisch van je bestaande hostingprovider worden gehaald. Controleer of je primaire domein en subdomeinen correct zijn vermeld. Klik op Continue om verder te gaan.
Cloudflare zal je nu voorzien van nieuwe nameservers. Om de beveiligingsfeatures van Cloudflare te activeren, moet je de nameservers van je domein bij je domeinregistrar bijwerken.
Nadat je je nameservers hebt bijgewerkt, ga je terug naar Cloudflare en klik je op Done, Check Nameservers. Cloudflare kan een paar minuten nodig hebben om de wijzigingen te detecteren. Zodra je site actief is op Cloudflare, kun je regels voor botbescherming instellen.
Bot Fight Mode inschakelen om kwaadaardige bots te challengen
Een van de ingebouwde beveiligingsfeatures van Cloudflare is de Bot Fight Mode, die bekende slechte bots challenget voordat ze interactie kunnen hebben met je WooCommerce winkel.
Om dit in te schakelen, ga je naar Security > Bots in je Cloudflare dashboard. Zoek de Bot Fight Mode en schakel deze in.
Dit zal onmiddellijk helpen bij het verminderen van geautomatiseerde spambestellingen door te voorkomen dat bots je kassa- en registratiepagina’s bereiken.
Als je de Bot Fight Mode inschakelt, is het ook een goed idee om de optie Block AI Bots aan te zetten, die er direct naast staat. Onze supportmedewerkers zeggen dat deze instelling niet strikt noodzakelijk is voor het voorkomen van WooCommerce spam, maar dat het kan helpen bij prestatiepieken die worden veroorzaakt door AI bots die op agressieve wijze je site afschrapen. Deze bots sturen vaak grote hoeveelheden ongecachete verzoeken, wat je site kan vertragen. Door Block AI Bots in te schakelen, verminder je spam-gerelateerd verkeer en voorkom je onnodige belasting van je server, waardoor je WooCommerce winkel soepel blijft draaien.
Een eigen WAF regel maken voor WooCommerce-spambescherming
Met Cloudflare’s WAF kun je regels opstellen om spamverkeer te filteren voordat het je WooCommerce winkel bereikt. Onze supportmedewerkers hebben voorbeelden van twee handige regels gedeeld: een regel die verdachte bezoekers op belangrijke pagina’s challenget en een andere regel die verkeer uit specifieke landen blokkeert.
Voor bescherming bij het afrekenen en registreren moet de regel gericht zijn op zowel het URI pad als de URL querystring. Maak in Cloudflare’s Security > WAF een regel met de naam WooCommerce Spam Protection. Stel het URI pad in op /checkout/ en /my-account/ en voeg ook URL Query String in op wc-ajax=checkout. De actie moet een Managed Challenge zijn, die verdachte gebruikers dwingt om te verifiëren dat ze menselijk zijn voordat ze verder gaan.
Maak voor landgebaseerde blokkering een aparte regel aan in Beveiliging > WAF en stel het veld Land in op is niet gelijk aan United States, Canada en United Kingdom (of andere landen die door je winkel worden ondersteund). Stel de actie in op Blokkeren, zodat alleen bezoekers van goedgekeurde locaties je site kunnen bezoeken.
Deze regels helpen zowel geautomatiseerde spambots als frauduleuze bestellingen uit regio’s met een hoog risico te voorkomen, terwijl legitieme klanten wel worden toegelaten.
Klik op Deploy Rule als je klaar bent. Cloudflare zal nu verdacht verkeer op deze pagina’s challengen, waarbij geautomatiseerde spambots worden geblokkeerd terwijl echte klanten worden doorgelaten.
Hoewel Cloudflare de beste eerste verdedigingslinie is, kan het zijn dat je nog aanvullende filtering op siteniveau nodig hebt. Plugins zijn handig als je gegevens binnen WooCommerce zelf moet analyseren, zoals:
- Klantgegevens controleren voordat je een bestelling blokkeert.
- Het uitfilteren van spamregistraties op basis van e-maildomeinen of IP-geschiedenis.
- Nepbestellingen voorkomen die langs botbeveiliging glippen.
Onze support-engineers raden aan om waar mogelijk Cloudflare te gebruiken om spam te blokkeren voordat het de site bereikt. Maar als Cloudflare alleen niet genoeg is, of als je spamfiltering liever rechtstreeks in WordPress uitvoert, dan zijn hier enkele andere opties om WooCommerce spambestellingen te helpen voorkomen.
2. CAPTCHA toevoegen aan afreken- en registratieformulieren
Een van de eenvoudigste en meest effectieve manieren om spambestellingen te blokkeren is door een CAPTCHA toe te voegen aan de belangrijkste formulieren in je WooCommerce winkel.
CAPTCHA staat voor Completely Automated Public Turing test to tell Computers and Humans Apart. Het is een beveiligingsmaatregel die bots en spammers de toegang tot je site helpt blokkeren. CAPTCHA daagt gebruikers uit met eenvoudige taken zoals het selecteren van afbeeldingen, het aanvinken van een vakje of het typen van vervormde tekst die voor mensen eenvoudig zijn, maar voor bots moeilijk op te lossen.
Op deze manier voorkomt CAPTCHA dat geautomatiseerde bots neppe bestellingen doen, terwijl echte klanten hun aankopen zonder problemen kunnen afronden.
Om spam effectief te voorkomen, moet je CAPTCHA toevoegen aan:
- Afrekenformulieren – Voorkomt dat bots nepbestellingen plaatsen.
- Registratieformulieren – Voorkomt dat accounts van spamklanten worden aangemaakt.
- Inlogformulieren – Blokkeert brute-force aanvallen waarbij bots proberen toegang te krijgen tot accounts.
Verschillende plugins maken het eenvoudig om CAPTCHA te integreren in je WooCommerce site, maar wij raden aan om Simple Cloudflare Turnstile of Advanced Google reCAPTCHA te gebruiken. Je hoeft er maar één te gebruiken. Hieronder doorlopen we beide opties.
Optie 1: Simple Cloudflare Turnstile gebruiken
Cloudflare Turnstile is een privacy-vriendelijk alternatief voor Google reCAPTCHA. Het verifieert gebruikers automatisch zonder ze puzzels te laten oplossen, waardoor het afrekenproces soepeler verloopt.
Om Cloudflare Turnstile in je WordPress site te gebruiken, ga je naar de Cloudflare website en meld je je aan of log je in. Zodra je dit hebt gedaan, kom je op je Cloudflare dashboard. Zoek op je dashboard naar Turnstile. Als dit de eerste keer is dat je het gebruikt, klik dan op de knop Add widget.
Geef je widget vervolgens een naam (bijv. WooCommerce Checkout CAPTCHA) zodat je hem later kunt identificeren. Klik daarna op Add Hostnames om je website toe te voegen.
Scroll nu naar beneden om de Managed onder Widget Mode te selecteren en klik dan op Create.
Zodra de widget is aangemaakt, zal Cloudflare API sleutels genereren die je nodig hebt in je WordPress dashboard. Kopieer zowel de Site Key als de Secret Key van deze pagina.
Er zijn verschillende plugins voor het toevoegen van Turnstile CAPTCHA aan WordPress, maar Simple Cloudflare Turnstile is een gratis en sterk aanbevolen optie.
Om deze te gebruiken, ga je naar Plugins > Add new plugin. Typ in de zoekbalk Simple Cloudflare Turnstile. Installeer en activeer vervolgens de plugin.
Ga na het activeren van de plugin naar Settings > Cloudflare Turnstile. Plak de Site Key en Secret Key die je eerder hebt gekopieerd in de respectievelijke velden.
Scroll nu naar beneden en vink de formulieren aan waar je Turnstile CAPTCHA wilt inschakelen. Zoals hieronder te zien is, selecteer je WooCommerce Login, Register en Checkout.
Klik op Save changes en je bent klaar. Open je WooCommerce afrekenpagina en je zult zien dat de CAPTCHA challenge verschijnt.
Optie 2: Advanced Google reCAPTCHA gebruiken
Google reCAPTCHA is een van de meest gebruikte tools voor bescherming tegen spam. Het biedt reCAPTCHA v2 (verificatie met selectievakje) en reCAPTCHA v3 (verificatie op de achtergrond).
Om te beginnen met het gebruik van Google reCAPTCHA, meld je je aan bij je Google account. Zodra je bent ingelogd, navigeer je naar de pagina met reCAPTCHA producten en klik je op Get started. Dit brengt je naar het beheerdersgedeelte, waar je een nieuwe site kunt registreren door te klikken op + Create. Voer een label in om de CAPTCHA te identificeren en kies dan een type challenge. Voor deze handleiding kies je reCAPTCHA v2 en de optie “I’m not a robot” Checkbox.
Nadat je het type challenge hebt geselecteerd, voeg je het domein van je site toe zonder voorvoegsels (zoals example.com). Klik dan op Submit en kopieer de Site Key en Secret Key die voor je zijn gegenereerd.
Ga vervolgens terug naar je WordPress dashboard. Ga naar Plugins > Add Plugins, zoek naar Advanced Google reCAPTCHA en klik op Install Now en Activate.
Eenmaal geactiveerd, navigeer je naar Settings > Advanced Google reCAPTCHA. Selecteer de Captcha en plak de Site Key en Secret Key van Google in hun respectievelijke velden.
Kies ook hoe je de CAPTCHA wilt laten verschijnen en ga dan naar het tabblad Where To Show. Schakel hier reCAPTCHA op formulieren in en vink zowel WooCommerce Checkout als WooCommerce Registration aan. Klik tot slot op Save Changes om de instellingen toe te passen.
Als deze instelling is voltooid, open je de afrekenpagina van je winkel om te controleren of de CAPTCHA werkt. Als alles correct is geconfigureerd, zou het vakje I’m not a robot nu moeten verschijnen waar dat nodig is.
3. Anti-spam plugins
Hoewel CAPTCHA helpt voorkomen dat bots spambestellingen doen, is het niet altijd genoeg, vooral als je te maken hebt met meer geavanceerde spamtactieken. Daarom heb je anti-spam plugins nodig. Deze plugins filteren automatisch spammails, blokkeren verdachte IP-adressen en detecteren frauduleuze bestelpatronen voordat ze je WooCommerce database bereiken.
WooCommerce heeft geen ingebouwde antispambescherming voor bestellingen, dus het gebruik van een speciale plugin kan spam aanzienlijk verminderen zonder wrijving toe te voegen voor echte klanten.
Er zijn verschillende effectieve anti-spam plugins beschikbaar, maar twee van de beste opties voor WooCommerce winkels zijn CleanTalk Spam Protect en Akismet. Laten we eens kijken hoe je CleanTalk installeert en configureert, dat speciaal is ontworpen voor het voorkomen van spam bij WooCommerce bestellingen.
Zo stel je CleanTalk Spam Protect in voor WooCommerce
CleanTalk is een eersteklas antispamservice die spambestellingen filtert, nepaccounts blokkeert en botregistraties voorkomt – allemaal zonder CAPTCHA. Het werkt geruisloos op de achtergrond en controleert bestellingen en formulierinzendingen aan de hand van zijn wereldwijde spamdatabase.
Om te beginnen ga je naar je WordPress dashboard en navigeer je naar Plugins > Add new. Typ in de zoekbalk CleanTalk Spam Protect. Als je het hebt gevonden, klik je op Install now en vervolgens op Activate.
Ga na activering naar Settings > Anti-Spam by CleanTalk. Je wordt gevraagd om een Access key in te voeren. Omdat CleanTalk een betaalde dienst is, moet je een account aanmaken op de website van CleanTalk en je aanmelden voor een abonnement.
Na het registreren zal CleanTalk je een Access key geven, die je moet kopiëren en plakken in de instellingen van de plugin.
Zodra je de sleutel hebt ingevoerd, kun je bevestigen of dit werkt voor je WooCommerce afrekenformulieren door op de link Advanced settings te klikken en naar beneden te scrollen naar de WooCommerce sectie.
Zodra je deze instellingen hebt ingeschakeld, klik je op Save Changes. Je WooCommerce winkel is nu beschermd tegen spambestellingen en nepregistraties.
4. Afrekenen als gast uitschakelen
Een van de oorzaken van spambestellingen in WooCommerce is dat afrekenen als gast standaard is ingeschakeld.
Klanten toestaan om bestellingen te plaatsen zonder een account aan te maken versnelt het afrekenproces, maar het geeft bots en fraudeurs ook de mogelijkheid om onbeperkt nepbestellingen in te dienen.
Het uitschakelen van gastkassa’s dwingt klanten om een account aan te maken voordat ze een bestelling plaatsen. Deze eenvoudige stap voegt een beveiligingslaag toe omdat bots vaak moeite hebben met het invullen van de extra velden die nodig zijn voor registratie, vooral in combinatie met CAPTCHA of e-mailverificatie.
Maar voordat je het afrekenen als gast uitschakelt, moet je bedenken wat voor invloed dit heeft op je verkoop. Sommige klanten geven de voorkeur aan een frictieloze winkelervaring en verlaten misschien hun winkelwagentje als ze gedwongen worden om een account aan te maken. Als je winkel veel eenmalige kopers heeft, kun je misschien andere veiligheidsmaatregelen overwegen voordat je het afrekenen met gasten volledig uitschakelt.
Om gastkassa uit te schakelen, ga je naar het dashboard van je WordPress en navigeer je naar WooCommerce > Settings. Klik in het instellingenmenu op het tabblad Accounts & Privacy.
Als je klaar bent, scroll je naar beneden en klik je op Save changes.
Als het gastkassa-systeem is uitgeschakeld, kunnen klanten niet meer als gast afrekenen. In plaats daarvan worden ze gevraagd om in te loggen op een bestaande account of om een nieuwe account aan te maken voordat ze hun aankoop afronden.
5. Anti-fraude plugins gebruiken
Zelfs met CAPTCHA en anti-spam maatregelen kunnen er nog frauduleuze transacties doorkomen. Dit komt vooral voor bij oplichters die gestolen creditcards, neppe klantgegevens of massaal gegenereerde bestellingen gebruiken om WooCommerce winkels uit te buiten.
Om dit tegen te gaan voegen anti-fraude plugins een extra beveiligingslaag toe door verdachte transacties te blokkeren voordat ze voltooid zijn.
Deze plugins analyseren verschillende risicofactoren, zoals IP-adressen, e-maildomeinen, factuurgegevens en ongebruikelijk bestelgedrag, om potentiële fraude te detecteren. Als een bestelling wordt gemarkeerd als een hoog risico, kan de plugin deze automatisch blokkeren, vasthouden voor handmatig onderzoek of de winkelbeheerder op de hoogte stellen.
Een van de beste opties voor WooCommerce is Fraud Prevention For WooCommerce and EDD (voorheen Woo Blocker Lite). Laten we eens kijken hoe je het instelt.
Fraude Prevention for WooCommerce instellen
Fraudepreventie voor WooCommerce en EDD is een lichte maar krachtige anti-fraude plugin die is ontworpen om nepbestellingen en spamtransacties te voorkomen. Hiermee kunnen winkeleigenaren aangepaste fraudepreventieregels maken, details van op de zwarte lijst geplaatste gebruikers bekijken en frauderapporten genereren – allemaal zonder echte klanten te beïnvloeden.
Om het te installeren ga je naar je WordPress dashboard, navigeer je naar Plugins > Add New en zoek je naar Fraud Prevention For WooCommerce and EDD. Zodra je de plug gevonden hebt, klik je op Install Now en vervolgens op Activate.
Na activering krijg je een demonstratievideo te zien waarin wordt uitgelegd wat de plugin kan doen. Je komt op de Fraudepreventie instellingen pagina in Dotstore Plugins > Fraud Prevention. Hier configureer je de fraude detectie instellingen voor je winkel.
Bepaal of je frauduleuze gebruikers wilt blokkeren tijdens het registreren, afrekenen of beide door de juiste opties te selecteren in het gedeelte Blacklist Settings. Vink de vakjes aan op basis van wanneer je wilt dat de plugin frauduleuze activiteiten detecteert en voorkomt.
Je kunt specifieke gebruikers ook handmatig op een zwarte lijst zetten op basis van hun e-mailadres, IP-adres, staat of postcode. Als je herhaalde fraudepogingen van een bepaalde bron hebt opgemerkt, kun je deze toevoegen aan de zwarte lijst om te voorkomen dat toekomstige spambestellingen worden geplaatst.
Daarnaast biedt de plugin een gedetailleerd frauderapport waarmee je verdachte activiteiten kunt controleren en geblokkeerde bestellingen kunt volgen. Dit helpt winkeleigenaren om snel patronen in frauduleuze transacties te herkennen en proactieve stappen te nemen om hun WooCommerce site te beveiligen.
Zodra je de nodige instellingen hebt geconfigureerd, klik je op Save Changes. Je winkel is nu beschermd tegen veelvoorkomende fraudetactieken en spambestellingen.
Samenvatting
Spam rond bestellingen in WooCommerce kan een serieus probleem zijn, maar met de juiste beveiligingsmaatregelen kun je je winkel veilig houden.
Bij Kinsta helpen ons 24/7/365 beveiligingsteam, malwarescans elke drie minuten en Cloudflare bescherming van topkwaliteit om spam en frauduleuze activiteiten te blokkeren voordat ze je winkel bereiken. Onze WooCommerce hosting met hoge prestaties kan de snelheid van je winkel verhogen met wel 200%, zodat je verzekerd bent van soepele en veilige transacties.
Als je huidige host niet voldoet, kijk dan eens naar Kinsta’s WooCommerce hosting voor hogere snelheden en betere beveiliging.
