WC API Rate Limiter by Volade
Stoppez le card testing sur l'API REST WooCommerce.
WC API Rate Limiter by Volade applique des quotas par IP sur orders, customers et coupons — journal des requêtes bloquées, 4 préréglages et export JSON gratuit. Sans WAF externe obligatoire.

5 préréglages, fingerprint anti-IP rotatives, Store API sync et journal 429 — sans compte.
5
Préréglages
30
Req/min (card testing)
JSON
Export gratuit
429
Réponse standard
En bref
Les boutiques WooCommerce exposent une API REST puissante — et les bots de card testing l'exploitent. Aucun plugin WordPress ne limite proprement `/wc/v3/orders` ou `/customers` sans WAF externe. WC API Rate Limiter by Volade applique des quotas par IP et par fenêtre, quatre préréglages (card testing, standard, agence, clés API), journal des 429 et export JSON sans compte. Allowlist IP, règles par route et CSV avec Volade connecté ; rollup multisite et WP-CLI sur V+.
Captures d'écran
Interface réelle en pleine page — préréglages, diagnostics et réglages détaillés.

Pourquoi l'API WooCommerce est une cible
Card testing, scraping catalogue, charge accidentelle headless — sans limite native dans WooCommerce.
Le problème : API ouverte, zéro quota
WooCommerce expose orders et customers en REST — les bots en abusent.
Card testing, enumeration clients, scraping catalogue : votre hébergeur voit des milliers de POST sur `/wc/v3/orders` avant que vous ne receviez l'alerte chargebacks.
- WooCommerce core : authentification REST, mais pas de rate limiting intégré
- WAF cloud : efficace en périmètre, souvent aveugle aux nuances WC par route
- mu-plugins maison : fragiles, non maintenus, sans journal exploitable
- Désactiver l'API REST : casse headless, mobile apps et intégrations légitimes
- Plugins sécurité génériques : ne ciblent pas `/wc/v3/` avec des presets e-commerce
La réponse WC API Rate Limiter
Quotas REST WooCommerce-native — léger, journalisé, prêt pour l'agence.
Un plugin Volade qui limite par IP et fenêtre glissante, logue les 429 et propose quatre préréglages métier — sans compte pour l'essentiel.
- Préréglage Card testing : REST + Store API checkout, fingerprint hybrid, sync WC native
- Card testing MAX : 15 req/min, POST-only, fingerprint pur, auto-ban connecté
- Scopes : card shield, sensible, Store API, tout WC, orders ou customers
- Journal des blocages avec IP, route, méthode et ratio count/limit
- Export JSON gratuit — CSV et allowlist IP avec compte Volade
- En-têtes X-RateLimit-Remaining pour vos intégrations headless
- wp warl status | export | clear — Site Health et WP-CLI
5 préréglages, zéro tâtonnement
Card testing, Card testing MAX, standard, agence ou clés API — REST + Store API.
Card testing shield
REST + Store API, fingerprint hybrid, sync WooCommerce — première ligne de défense.
RecommandéCard testing MAX
15 req/min POST-only, fingerprint pur, auto-ban — attaque active IP rotatives.
UrgenceWooCommerce standard
120 req/min sur toutes les routes `/wc/` — bon défaut production.
Live storeAgency multi-store
300 req/min avec journal — imports staging et headless sans faux positifs.
AgenceAPI keys only
500 req/min authentifié, anonymes bridés à 60 — clés REST protégées.
Headless4 scopes de protection
Du checkout sensible à tout `/wc/` — choisissez ce que vous exposez aux bots.
Orders, customers, coupons, payment gateways — cible card testing.
Tout préfixe `/wc/` — protection large catalogue et settings.
Uniquement `/wc/v3/orders` — checkout et création commande.
Uniquement `/wc/v3/customers` — enumeration et création compte.
Commencez par wc_sensitive en production — élargissez seulement si vos intégrations l'exigent.
Scénarios réels
Ce que changent les marchands après activation.
Boutique B2C card testing
Avant: 200 POST/min sur orders depuis 3 IP — chargebacks 48h plus tard
Après: 429 dès 30 req/min, IP loguées, export JSON à l'hébergeur
− chargebacks
Agence headless + Woo
Avant: Staging surcharge prod via sync API non throttlée
Après: Preset Agency 300/min + allowlist IP bureau
Sync stable
Marketplace Dokan
Avant: Scraping vendeurs via customers API
Après: Scope customers + journal 7 jours
Données protégées
La protection API que WooCommerce n'a jamais livrée
Quotas REST natifs dans WordPress — pas un WAF cloud, pas du code mu-plugin fragile.
Quotas par IP
Fenêtre glissante configurable — transients WordPress, zéro Redis requis.
4 préréglages
Card testing, standard, agence, clés API — un clic dans l'admin.
Journal 429
IP, route, méthode, user agent et ratio count/limit — exportable.
Export JSON
Rapport incident gratuit — CSV et filtres avec compte Volade.
Allowlist IP
Bureau, staging, partenaire ERP — bypass sans désactiver le plugin.
Site Health
Test direct dans Outils → Santé du site — blocked/allowed 24h.
WP-CLI
warl status, export, clear — scripts agence et CI.
SDK Volade
Discover, XP, V+ premium — même charte que les 9 autres extensions.
À combiner avec le WAF de votre hébergeur — WARL protège précisément les routes WooCommerce REST depuis WordPress.
Comparatif honnête
WARL vs WAF cloud vs REST nu vs mu-plugin custom.
| Fonctionnalité | WARL | WAF cloud | WC REST seul | Code custom |
|---|---|---|---|---|
| Limites sur /wc/v3/orders | ~ | ~ | ||
| Presets card testing | ~ | |||
| Journal blocages exploitable | ~ | ~ | ||
| Export JSON sans compte | ||||
| Allowlist IP par route | ~ | |||
| Store API checkout sync | ~ | ~ | ~ | |
| Fingerprint (rotating IP) | ~ | ~ | ||
| Auto-ban temporaire IP | ~ | ~ | ||
| Sans infra externe | ||||
| Coût | Gratuit | $$$$ | Gratuit | Temps dev |
WARL complète un WAF — il connaît les routes WooCommerce et les presets card testing.
Trois niveaux, un plugin
Limites, préréglages et JSON gratuits sans compte. Compte Volade et V+ pour allowlist, routes et multisite.
Sans compte
- 4 préréglages
- Limites de base
- Journal 100 entrées
- Export JSON
- Site Health
Compte Volade
- Allowlist IP
- Règles par route
- Export CSV
- En-têtes X-RateLimit
- Journal 1 000 entrées
V+ Premium
- Journal 10 000 entrées
- WP-CLI bulk
- Rollup multisite
- Premium sur toute la roadmap
- Support prioritaire
WP-CLI et multisite pour auditer les blocages sur chaque boutique du réseau.
WP-CLI
Automatisez status et exports depuis SSH — idéal agence.
wp warl status wp warl export --file=blocked.json wp warl clear --yes
Multisite
V+ centralise la visibilité des blocages sur chaque site du réseau.
- Dashboard réseau (V+)
- Export consolidé
- Presets synchronisés
- Alertes charge API
Téléchargement
Installez le ZIP, appliquez Card testing shield — première protection en moins de deux minutes.
ZIP avec SDK Volade — activez sous Volade → API Rate Limiter (ou WooCommerce → API Rate Limiter).
- 1Extensions → Ajouter → Téléverser → sélectionnez le ZIP → Activer
- 2Volade → API Rate Limiter (ou WooCommerce → API Rate Limiter)
- 3Appliquez Card testing shield → surveillez le journal → Exportez le JSON si incident
Première limite active en moins de 2 minutes
Questions fréquentes
WAF, WooCommerce REST, card testing, compte Volade et V+.
Non — WARL est une couche WooCommerce-native. Gardez votre WAF ; ajoutez WARL pour les routes `/wc/` et le journal métier.
Gratuit vs V+ Premium
L'extension fonctionne sans compte. V+ débloqué le premium sur cette extension et tout le catalogue.
| Fonctionnalité | Gratuit | V+ |
|---|---|---|
| 4 préréglages & limites de base | ||
| Journal requêtes bloquées & JSON | ||
| Site Health & scopes WC REST | ||
| Règles par route & allowlist IP | ||
| Export CSV & en-têtes X-RateLimit | ||
| WP-CLI bulk & rollup multisite |
Avis, discussions & nouveautés
Partagez votre expérience avec WC API Rate Limiter by Volade et suivez les dernières mises à jour.
Protégez votre API WooCommerce
Téléchargez WC API Rate Limiter by Volade v1.0.0 — preset Card testing en un clic, sans inscription.
Télécharger v1.0.0