Riferimento Anti-Spam
In Questo Documento
- 1 Panoramica
- 2 Prerequisiti
- 3 CAPTCHA
- 4 Verifica e-mail
- 5 Come interagiscono CAPTCHA e verifica e-mail
- 6 Anti-Spam nel Form Builder
- 7 Domande frequenti
- 7.1 I clienti vedranno il CAPTCHA su ogni modulo?
- 7.2 Perché vedo “🛡️ Anti-Spam” invece di “reCAPTCHA”?
- 7.3 Le impostazioni CAPTCHA vengono rispettate su moduli Stripe Checkout (fuori sito)?
- 7.4 Ho bisogno di un CAPTCHA se ho la verifica e-mail?
- 7.5 Cosa succede ai codici di verifica dopo la scadenza del periodo di tempo?
- 7.6 Posso esentare moduli specifici dall'Anti-Spam?
- 8 Prossimi Passi?
Tempo di lettura: 7 minuti | Difficoltà: Principiante

Panoramica
Il card-testing è la forma più comune di abuso automatizzato contro i moduli di pagamento WordPress: i bot inviano migliaia di numeri di carte rubate all'ora per scoprire quali funzionano ancora. Le impostazioni Anti-Spam di WP Simple Pay ti offrono due difese complementari:
- CAPTCHA — Interrompe le richieste automatizzate prima ancora che raggiungano Stripe. Scegli tra Google reCAPTCHA v3, hCaptcha o Cloudflare Turnstile.
- Verifica e-mail — Uno strato reattivo che richiede ai clienti di confermare il proprio indirizzo e-mail dopo che si è verificato un numero configurabile di rifiuti fraudolenti entro un periodo di tempo configurabile.
Entrambi gli strati sono configurati in WP Simple Pay > Impostazioni > Generali > 🛡️ Anti-Spam.
Prerequisiti
- WP Simple Pay (CAPTCHA è disponibile nella versione gratuita)
- WP Simple Pay Pro per la verifica e-mail
CAPTCHA
L'impostazione CAPTCHA in cima alla scheda Anti-Spam ti consente di scegliere un provider: Nessuno, Google reCAPTCHA v3, hCaptcha o Cloudflare Turnstile. Dopo aver scelto un provider, i campi delle credenziali corrispondenti appaiono sotto.
Google reCAPTCHA v3
CAPTCHA invisibile basato su punteggio di Google. Nessuna interazione del cliente richiesta: Google assegna un punteggio a ogni richiesta da 0.0 (probabile bot) a 1.0 (probabile umano) e WP Simple Pay blocca le richieste al di sotto della soglia.
- Chiave del sito — Credenziale pubblica dalla tua console di amministrazione reCAPTCHA.
- Chiave segreta — Credenziale privata dalla tua console di amministrazione reCAPTCHA.
Configurazione: Registrati su google.com/recaptcha/admin, scegli reCAPTCHA v3 (non v2), aggiungi il tuo dominio e incolla le chiavi risultanti.
hCaptcha
Alternativa a Google reCAPTCHA, rispettosa della privacy. Widget di sfida visibile che i clienti risolvono una volta. Stessa forma dati di reCAPTCHA — chiave del sito + chiave segreta.
- Chiave del sito — Dal tuo pannello hCaptcha.
- Chiave segreta — Dal tuo pannello hCaptcha.
Configurazione: Registrati su hcaptcha.com, recupera le credenziali e incollale.
Cloudflare Turnstile
CAPTCHA gratuito e rispettoso della privacy di Cloudflare. Spesso invisibile, occasionalmente interattivo. Stessa forma di configurazione — chiave del sito + chiave segreta.
- Chiave del sito — Dal tuo pannello Cloudflare Turnstile.
- Chiave segreta — Dal tuo pannello Cloudflare Turnstile.
Configurazione: Registrati su cloudflare.com/products/turnstile, crea un widget Turnstile e incolla le chiavi.
Scelta di un provider
| Provider | Costo | Frizione del cliente | Privacy | Note |
|---|---|---|---|---|
| reCAPTCHA v3 | Gratuito | Nessuno (invisibile) | Invia dati a Google | Miglior predefinito se utilizzi già servizi Google |
| hCaptcha | Livelli gratuiti / a pagamento | Basso (clic occasionale) | Rispettoso della privacy | Buona alternativa GDPR a reCAPTCHA |
| Cloudflare Turnstile | Gratuito | Per lo più nessuno | Rispettoso della privacy | Scelta migliore se utilizzi già Cloudflare |
Puoi abilitare un solo provider alla volta. Per cambiare provider, modifica la selezione CAPTCHA in cima alla scheda — le credenziali precedenti rimangono salvate ma inattive finché non torni indietro.
Verifica email
La verifica dell'e-mail è una difesa reattiva che si attiva solo dopo che WP Simple Pay rileva uno schema di tentativi di pagamento fraudolenti. È progettata per essere invisibile ai clienti legittimi nel traffico normale e attivarsi solo durante un attacco.
Come funziona
- WP Simple Pay ascolta gli webhook
charge.faileddi Stripe con un esitofraudulent. - Quando il numero di tentativi di frode supera la soglia configurata nel periodo di tempo configurato, ogni modulo di pagamento successivo sul sito richiederà la verifica dell'e-mail prima dell'invio.
- I clienti ricevono un codice di verifica all'indirizzo e-mail inserito. Devono inserire il codice per completare il pagamento.
- Una volta trascorso il periodo di tempo senza ulteriori eventi di frode, la verifica viene disabilitata automaticamente.
Impostazioni
- Verifica e-mail (Abilita/Disabilita) — Interruttore principale. Fortemente consigliato lasciarlo attivo.
- Soglia — Numero di rifiuti per frode richiesti prima che la verifica si attivi. Predefinito: 3.
- Periodo di tempo — Finestra (in ore) durante la quale viene misurata la soglia. Predefinito: 6 ore.
Regolazione della soglia e del periodo di tempo
Le impostazioni predefinite (3 rifiuti in 6 ore) sono volutamente conservative: bloccano i tentativi evidenti di testare le carte senza infastidire i clienti durante i normali picchi di traffico.
- Abbassa la soglia se sei stato preso di mira in precedenza e desideri una reazione più rapida (ad es.
2rifiuti). - Abbassa il periodo di tempo se il tuo sito ha un alto volume di transazioni e 6 ore di cronologia maschererebbero un nuovo attacco.
- Aumenta la soglia se hai un traffico molto elevato e l'impostazione predefinita si attiva a causa del rumore normale.
Come interagiscono CAPTCHA e verifica e-mail
I due livelli sono complementari, non ridondanti:
- CAPTCHA viene eseguito su ogni invio e blocca i bot prima che raggiungano Stripe.
- La verifica e-mail viene eseguita a posteriori, solo quando il CAPTCHA è stato bypassato (ad es. da un attacco guidato da un umano) e i rifiuti per frode si sono già accumulati.
Per ottenere i migliori risultati, abilita entrambi. CAPTCHA gestisce il 99% degli abusi automatizzati a basso costo; la verifica e-mail blocca l'1% che riesce a passare.
Anti-Spam nel Form Builder
Oltre alle impostazioni globali, i singoli moduli possono scegliere di attivare la verifica e-mail nella scheda Generale dell'editor del modulo. Questo è utile quando hai un modulo ad alto rischio (ad es. una piccola richiesta di donazione) che desideri sempre verificare, indipendentemente dal raggiungimento della soglia globale.
Domande frequenti
I clienti vedranno il CAPTCHA su ogni modulo?
reCAPTCHA v3 e Cloudflare Turnstile sono solitamente invisibili: la maggior parte dei clienti non vede mai una sfida. hCaptcha mostra un piccolo widget che richiede un clic. Nessuno di essi blocca i clienti legittimi in condizioni normali.
Perché vedo “🛡️ Anti-Spam” invece di “reCAPTCHA”?
La scheda è stata rinominata da reCAPTCHA ad Anti-Spam quando è stato aggiunto il supporto per hCaptcha e Cloudflare Turnstile. Il nome reCAPTCHA permane in parte della documentazione più vecchia; le impostazioni sottostanti sono le stesse.
Le impostazioni CAPTCHA vengono rispettate sui moduli di Stripe Checkout (fuori sito)?
CAPTCHA viene applicato sul lato WordPress prima del reindirizzamento a Stripe Checkout. La pagina ospitata da Stripe ha anche le proprie protezioni anti-bot. Per i moduli sul sito (incorporati/sovrapposti), CAPTCHA convalida ogni invio prima che venga creato il pagamento.
Ho bisogno di un CAPTCHA se ho la verifica e-mail?
Entrambi servono scopi diversi. CAPTCHA blocca i bot. La verifica e-mail blocca i test di carte guidati da umani in cui l'attaccante può risolvere il CAPTCHA ma non ha accesso a molte caselle di posta elettronica reali. Usa entrambi se il tuo sito elabora un volume di pagamenti significativo.
Cosa succede ai codici di verifica dopo la scadenza del periodo di tempo?
I codici scaduti vengono eliminati da un'attività pianificata (simpay_cleanup_email_verification_codes). Vengono invalidati automaticamente e non possono essere riutilizzati.
Posso esentare moduli specifici da Anti-Spam?
Sì, consulta le impostazioni della scheda Generale per modulo. Puoi sovrascrivere il comportamento globale su base per modulo quando necessario.
Cosa fare dopo?
- Come configurare le impostazioni generali di un modulo di pagamento – Sovrascritture anti-spam per modulo
- Come abilitare la verifica e-mail prima dell’elaborazione dei pagamenti – Guida con screenshot
Hai ancora domande? Siamo qui per aiutarti!
Ultima modifica: