# Runbook agence — card testing WooCommerce en 48 h

## Jour 1 — matin (2 h)

1. **Email client** : « Votre boutique montre-t-elle ces 5 signes de card testing ? » (checklist jointe)
2. Installer **WC API Rate Limiter by Volade** sur staging
3. Exporter logs passerelle 7 derniers jours — chercher refus paiement en rafale
4. Appliquer preset **Card testing shield**
5. Noter IP serveur ERP / middleware client pour allowlist

## Jour 1 — après-midi (3 h)

6. Test 15 requêtes REST `/wc/v3/orders` → confirmer **HTTP 429**
7. Passer commande test checkout réelle — doit réussir
8. Si headless : tester import produits — passer preset **Agency** si faux positifs
9. Activer journal 429 + export JSON pilote
10. Site Health → test WARL

## Jour 2 — matin (2 h)

11. Déploiement production (fenêtre 15 min)
12. Allowlist IP agence + IP client
13. `wp warl status` — capture pour dossier client
14. Configurer alerte monitoring (uptime ou logs hébergeur)

## Jour 2 — après-midi (1 h)

15. Restitution client : tableau signes détectés / mesures actives
16. Recommandation passerelle (3-D Secure, règles Stripe Radar)
17. Planning revue mensuelle journal 429
18. Devis maintenance sécurité WooCommerce si chargebacks en cours

## Script email restitution

> Bonjour,
>
> Nous avons audité l'exposition **API REST WooCommerce** de {boutique} et déployé un rate limiting ciblé sur les routes sensibles (commandes, clients, coupons).
> Sur staging : {X} requêtes bloquées en test, checkout légitime validé.
> Prochaine étape : surveillance 7 jours du journal 429 et ajustement si besoin.
>
> Export JSON joint — preset **Card testing** documenté dans votre runbook.
