WordPress et authentification forte SCA, découvrez tout ce qu’il faut savoir dans cet article. Si vous vendez des produits ou services sur votre site wordpress, vous avez probablement déjà reçu de nombreux messages relatif à la SCA (Strong Customer Authentication). En général, ces messages vous informent que votre site doit respecter les nouveaux standards de paiement avant le 14 septembre 2019. Après cette date, vous courez le risque que certains paiements en ligne sur votre site soient tout simplement refusés.
Comprendre la directive européenne DSP2 et l'authentification forte SCA
Pour résumer, DSP2 est une directive réglementaire européenne qui a pour objectif de renforcer la sécurité des achats en ligne pour lutter contre la fraude. Cette directive concerne donc toutes les transactions de paiement en ligne réalisées au sein de l'Espace économique européen. Pour sécuriser le paiement, le système d'authentification forte introduit une étape supplémentaire dans le processus d'authentification. La technologie 3D Secure vous demande par exemple pour confirmer votre paiement en ligne de saisir un code à usage unique. Ce code à usage unique vous est envoyé par votre organisme bancaire le plus souvent par SMS.
En résumé : à l'échelle de l'Europe les sites marchands vont devoir respecter de nouvelles contraintes pour renforcer la sécurité des paiements en ligne de leurs clients.
Quels impacts sur un site marchand WordPress ?
Vous vendez des produits ou services dans l'Espace économique européen sur votre site wordpress ? Votre site devra donc supporter l'authentification forte SCA à partir du 14 septembre. Dans le cas contraire, un paiement sur 4 pourrait être refusé sur votre site. Il va donc falloir mettre à jour tous les éléments de votre site concernés par le paiement en ligne: plugin woocommerce, plugin de paiement, etc. Si votre site a régulièrement été mis à jour avec une bonne maintenance, tout devrait se passer assez facilement. Dans le cas contraire vous risquez d'avoir à faire face à des mises à jour lourdes pour rattraper le temps perdu.
En résumé : si votre site wordpress et votre hébergement ont régulièrement été mis à jour, le support de ce nouveau mode de paiement sera simplifié. Dans le cas contraire, il vous faudra rattraper le temps perdu
La réponse de vos prestataires de paiement en ligne
Pour réaliser vos paiements en ligne, vous passez par l'intermédiaire d'un ou plusieurs prestataires financiers externes qui gèrent pour vous la transaction de paiement initialisée sur votre site. Il s'agit de tiers de confiance dont le métier consiste à traiter les paiements en ligne de vos clients. Au moment du paiement en ligne, votre site met directement en relation votre client avec cet intermédiaire financier qui prend le relais pour traiter le paiement. Il existe donc entre votre site marchand et votre prestataire financier un plugin en charge de ce dialogue. C'est justement ce plugin qui va devoir être mis à jour. Il faut donc identifier ce plugin sur votre site et vous rapprocher de votre prestataire de paiement qui donnera les instructions à suivre. Dans de nombreux cas, votre prestataire de paiement confie la réalisation et la maintenance de ce plugin à un éditeur logiciel. C'est alors ce dernier qui vous donnera les instructions à suivre pour la mise à jour du plugin.
En résumé : commencer par vous rapprocher de vos prestataires de paiement, identifier sur votre site le plugin qui gère les transactions avec cet intermédiaire financier et identifier si besoin l'éditeur de ce plugin pour obtenir des informations sur les mises à jour disponibles
Un exemple de support SCA avec Stripe sur woocommerce
Illustrons cette problématique avec la mise à jour d'un site wordpress utilisant la solution de paiement en ligne Stripe sur woocommerce. Dans ce cas de figure le plugin WooCommerce Stripe Gateway permet de faire le lien entre le site wordPress et la solution de paiement Stripe. Stripe renvoit donc vers l'éditeur de ce plugin qui est WooCommerce. Ce dernier indique qu'il faut mettre à jour le plugin WooCommerce Stripe Gateway vers sa version 4.2.0. Cette version intègre en effet cet update: "Add support for Strong Customer Authentication (SCA) for user-initiated payments". Après vérification, sur un site régulièrement mis à jour, la version de ce plugin est déjà 4.2.3. Sur tous les sites pour lesquels nous gérons la maintenance wordpress : il n'y a donc rien à faire à l'heure où cet article est écrit.
Toutefois sur un site qui n'a pas été mis à jour, il peut être impossible de monter ce plugin en version sans mettre à jour WooCommerce. La mise à jour de WooCommerce pourra également être bloquée si la version de WordPress utilisée n'est pas assez récente. Et enfin, la mise à jour d'une ancienne version de WordPress vous imposera probablement une montée en version de PHP sur votre hébergement. En résumé, il est important de mettre régulièrement son site à jour.
En résumé : aucune intervention n'est nécessaire pour les sites sur lesquels nous intervenons chaque mois dans le cadre d'un contrat de maintenance.