Como evitar testes de cartões e inscrições fraudulentas com o Stripe

Você notou um aumento no número de pagamentos, com ou sem sucesso, em um curto período de tempo e, ao investigar, percebeu que seu site está sendo usado para testes de cartões.

Mudança para Stripe Checkout

Primeiro, se você usa o Stripe Elements, pode tentar mudar para o Stripe Checkout:

1. Navegue até Painel de controle > MemberPress > Configurações > guia Pagamentos.
2. Encontre o Listrado gateway de pagamento.
3. Aqui, clique na caixa de seleção ao lado da opção Checkout Stripe opção.

A mudança para o Checkout Stripe não impedirá o teste de cartão por si só. O objetivo dessa opção é tentar interromper os testadores de cartão que estão atacando seu site. Mudar para o Stripe Checkout desligará os endpoints que os testadores podem estar usando para executar ataques por meio do Stripe Elements. Depois que você tiver aplicado todas as outras atualizações de segurança mencionadas neste documento e o ataque tiver terminado, você poderá reativar o Stripe Elements.

Ativar a proteção de teste do cartão

Ir para Painel de controle > MemberPress > Configurações > Geral e garantir que Ativar a proteção de teste do cartão é verificado.

Ele é ativado por padrão, mas é bom verificar. Se estiver ativado, você poderá alterar o método de obtenção do endereço IP do usuário.

Se seu site usa um proxy de front-end:

• Ativar Use o cabeçalho HTTP X-Forwarded-For OU Usar o cabeçalho HTTP X-Real-IP

Se seu site usa o CloudFlare:

• Ativar Usar o cabeçalho HTTP CF-Connecting-IP

Se seu site NÃO usa o CloudFlare ou um proxy de front-end:

• Ativar Use o REMOTE_ADDR incorporado do PHP

Ativar configurações de radar no Stripe

O Stripe tem o recurso Stripe Radar para ajudar a detectar e bloquear atividades fraudulentas. Saiba mais sobre essas configurações em Configurações de risco do Stripe página.

O Stripe Radar oferece várias verificações de cartão:

• Verificação do código de verificação do cartão (CVC)Essa verificação impedirá quaisquer cobranças que falhem na verificação de CVC. O CVC é o código de verificação impresso diretamente no cartão do usuário. Os usuários precisam adicionar o código CVC correto ao formulário de registro do MemberPress para que o Stripe processe o pagamento.
• Verificação de endereço (AVS)Essa verificação evitará cobranças se a verificação do endereço postal falhar. Ao se registrar, os usuários precisam adicionar o código postal e o endereço da rua ao formulário de registro do MemberPress. Se esses dados não corresponderem ao endereço de cobrança registrado no emissor do cartão (por exemplo, banco), o pagamento falhará.

Atualizar suas chaves de API

Siga estas etapas para atualizar as credenciais:

1. Faça login no seu site como administrador. Depois de fazer login, o URL na barra de endereços do navegador deverá ser o seguinte: https://yourdomain.com/wp-admin/.
2. Adicione o seguinte ao final de seu URL atual: admin.php?page=memberpress-options&display-keys (por exemplo https://yourdomain.com/wp-admin/admin.php?page=memberpress-options&display-keys). Enquanto ainda estiver na barra de endereços, pressione a tecla enter em seu teclado.
3. Isso o levará ao MemberPress Configurações página (Painel de controle > MemberPress > Configurações). Clique no botão Pagamentos guia.
4. UNas configurações do gateway de pagamento Stripe, yvocê deverá ver um novo Atualizar credenciais do Stripe botão. Clique nesse botão para atualizar suas credenciais do Stripe.

Instalar e ativar o complemento MemberPress Math Captcha

Ir para Painel de controle > MemberPress > Add-Ons e instale e ative nosso complemento Math Captcha. Isso adicionará um captcha matemático simples à página de registro e login para ajudar a evitar inscrições de spam.

Você também pode usar outro plug-in de captcha, se preferir, ou Torniquete simples da Cloudflare - Alternativa CAPTCHA. Você também pode usar um deles e o Captcha matemático ao mesmo tempo.

Complemento simples do Cloudflare Turnstile

Conforme mencionado, você deve usar o Torniquete simples da Cloudflare - Alternativa CAPTCHA para adicionar o plug-in Torniquete da Cloudflare em seu site. A integração integrada com o MemberPress permite ativar o Cloudflare Turnstile nos formulários de login e registro do MemberPress.

Para configurar o plug-in, navegue até Painel de controle > Configurações > Cloudflare Turnstile e siga o Guia de plug-ins.

Observação: Quando o Turnstile está ativado para o login do WordPress, o Ativar somente na página padrão wp-login.php ficará disponível. Certifique-se de que desmarque essa subopção para aplicar o Turnstile no login do MemberPress e mantê-lo seguro.

Além disso, você pode adicionar IDs de associação MemberPress ao campo dedicado para aplicar o Turnstile somente em formulários de registro específicos.

Reembolsar e cancelar quaisquer pagamentos fraudulentos

Se algum pagamento tiver sido criado com sucesso durante o teste do cartão, reembolse e cancele essas assinaturas. Você pode fazer isso no MemberPress em seu site ou por meio do Stripe. Se você fizer isso por meio do Stripe, poderá marcar o motivo do reembolso como "Fraude".

Não há como cancelar e reembolsar em massa no MemberPress. Portanto, isso precisará ser feito um de cada vez.

Também recomendamos que você registre os endereços de e-mail e quaisquer outras informações sobre a cobrança e o cartão que foram usados para que, se os clientes enviarem um e-mail reclamando, você possa garantir a eles que já reembolsou a cobrança fraudulenta. Se for possível entrar em contato diretamente com o cliente, informe-o sobre o ocorrido.

Por que isso aconteceu?

Às vezes, os hackers podem obter o segredo da API e usá-lo para falsificar chamadas para o Stripe para fins de teste de cartão.

Ele será consertado?

O Stripe e o MemberPress estão cientes dessa vulnerabilidade e estão trabalhando juntos para lançar uma solução nova e mais segura.