Dokumentacja WP Simple Pay

Materiały dokumentacyjne, referencyjne i samouczki dla WP Simple Pay

Referencje antyspamowe

Czas czytania: 7 minut | Poziom trudności: Początkujący

Podsekcja ustawień Anty-Spam pokazująca cztery karty dostawców CAPTCHA i przełącznik weryfikacji adresu e-mail.

Przegląd

Testowanie kart to najczęstsza forma zautomatyzowanych nadużyć formularzy płatności WordPress — boty wysyłają tysiące skradzionych numerów kart na godzinę, aby znaleźć te, które nadal działają. Ustawienia Ochrony antyspamowej w WP Simple Pay zapewniają dwa uzupełniające się zabezpieczenia:

  1. CAPTCHA — zatrzymuje zautomatyzowane zgłoszenia, zanim dotrą do Stripe. Wybieraj między Google reCAPTCHA v3, hCaptcha lub Cloudflare Turnstile.
  2. Weryfikacja e-mail — warstwa reaktywna, która wymaga od klientów potwierdzenia adresu e-mail po wystąpieniu określonej liczby odmów oszustwa w określonych ramach czasowych.

Obie warstwy są konfigurowane w sekcji WP Simple Pay > Ustawienia > Ogólne > 🛡️ Ochrona antyspamowa.

Wymagania wstępne

  • WP Simple Pay (CAPTCHA jest dostępna w wersji darmowej)
  • WP Simple Pay Pro do weryfikacji e-mail

CAPTCHA

Ustawienie CAPTCHA na górze karty Ochrona antyspamowa pozwala wybrać jednego dostawcę — Brak, Google reCAPTCHA v3, hCaptcha lub Cloudflare Turnstile. Po wybraniu dostawcy poniżej pojawią się pasujące pola poświadczeń.

Google reCAPTCHA v3

Niewidoczna CAPTCHA od Google oparta na wynikach. Nie wymaga interakcji klienta — Google ocenia każde żądanie od 0,0 (prawdopodobnie bot) do 1,0 (prawdopodobnie człowiek), a WP Simple Pay blokuje zgłoszenia poniżej progu.

  • Klucz witryny — publiczne poświadczenie z konsoli administratora reCAPTCHA.
  • Klucz tajny — prywatne poświadczenie z konsoli administratora reCAPTCHA.

Konfiguracja: Zarejestruj się na google.com/recaptcha/admin, wybierz reCAPTCHA v3 (nie v2), dodaj swoją domenę i wklej uzyskane klucze.

hCaptcha

Alternatywa dla Google reCAPTCHA przyjazna dla prywatności. Widżet z wyzwaniem, który klienci rozwiązują raz. Taki sam kształt danych jak reCAPTCHA — klucz witryny + klucz tajny.

  • Klucz witryny — z Twojego panelu hCaptcha.
  • Klucz tajny — z Twojego panelu hCaptcha.

Konfiguracja: Zarejestruj się na hcaptcha.com, pobierz dane uwierzytelniające i wklej je tutaj.

Cloudflare Turnstile

Darmowa, szanująca prywatność alternatywa CAPTCHA od Cloudflare. Często niewidoczna, sporadycznie interaktywna. Taki sam kształt konfiguracji — klucz witryny + klucz tajny.

  • Klucz witryny — z Twojego panelu Cloudflare Turnstile.
  • Klucz tajny — z Twojego panelu Cloudflare Turnstile.

Konfiguracja: Zarejestruj się na cloudflare.com/products/turnstile, utwórz widżet Turnstile i wklej klucze.

Wybór dostawcy

Dostawca Koszt Utrudnienia dla klienta Prywatność Uwagi
reCAPTCHA v3 Darmowy Brak (niewidoczna) Wysyła dane do Google Najlepszy domyślny wybór, jeśli już korzystasz z usług Google
hCaptcha Darmowe / Płatne plany Niskie (sporadyczne kliknięcie) Szanująca prywatność Dobra alternatywa dla reCAPTCHA zgodna z RODO
Cloudflare Turnstile Darmowy Głównie brak Szanująca prywatność Najlepszy wybór, jeśli już korzystasz z Cloudflare

Możesz włączyć tylko jednego dostawcę naraz. Aby przełączyć dostawcę, zmień wybór CAPTCHA w górnej części karty — poprzednie dane uwierzytelniające pozostają zapisane, ale nieaktywne, dopóki nie wrócisz do poprzedniego wyboru.

Weryfikacja e-mail

Weryfikacja e-mail to reaktywna obrona, która aktywuje się dopiero po wykryciu przez WP Simple Pay wzorca prób oszukańczych płatności. Została zaprojektowana tak, aby była niewidoczna dla legalnych klientów przy normalnym ruchu i aktywowała się tylko podczas ataku.

Jak to działa

  1. WP Simple Pay nasłuchuje webhooków charge.failed od Stripe z wynikiem fraudulent.
  2. Gdy liczba oszukańczych transakcji przekroczy skonfigurowany próg w skonfigurowanym czasie, każda kolejna forma płatności na stronie będzie wymagać weryfikacji e-mail przed przesłaniem.
  3. Klienci otrzymują kod weryfikacyjny na podany adres e-mail. Muszą wprowadzić kod, aby dokończyć płatność.
  4. Gdy upłynie określony czas bez dalszych incydentów oszustwa, weryfikacja zostanie automatycznie wyłączona.

Ustawienia

  • Weryfikacja adresu e-mail (Włącz/Wyłącz) — Główny przełącznik. Zdecydowanie zaleca się pozostawienie włączonego.
  • Próg — Liczba odrzuconych transakcji z powodu oszustwa wymagana przed aktywacją weryfikacji. Domyślnie: 3.
  • Okres — Okno czasowe (w godzinach), w którym mierzony jest próg. Domyślnie: 6 godzin.

Dostrajanie progu i okresu

Domyślne ustawienia (3 odrzucenia w ciągu 6 godzin) są celowo konserwatywne — wyłapują oczywiste testy kart bez niepokojenia klientów podczas normalnych skoków ruchu.

  • Obniż próg, jeśli byłeś wcześniej celem ataków i chcesz szybszej reakcji (np. 2 odrzucenia).
  • Skróć okres, jeśli Twoja witryna ma duży wolumen transakcji, a 6 godzin historii maskowałoby świeży atak.
  • Zwiększ próg, jeśli masz bardzo duży ruch, a domyślne ustawienia aktywują się z powodu normalnego szumu.

Jak CAPTCHA i weryfikacja adresu e-mail współdziałają

Te dwie warstwy uzupełniają się, a nie są zbędne:

  • CAPTCHA działa przy każdym zgłoszeniu i blokuje boty, zanim dotrą do Stripe.
  • Weryfikacja adresu e-mail działa po fakcie, tylko wtedy, gdy CAPTCHA została ominięta (np. przez atak kierowany przez człowieka) i zgromadziły się już odrzucenia z powodu oszustwa.

Dla najlepszych rezultatów włącz obie. CAPTCHA tanio obsługuje 99% zautomatyzowanych nadużyć; weryfikacja adresu e-mail wyłapuje 1%, który się przedostanie.

Anty-spam w kreatorze formularzy

Oprócz ustawień globalnych, poszczególne formularze mogą wybrać weryfikację adresu e-mail w zakładce Ogólne edytora formularza. Jest to przydatne, gdy masz formularz wysokiego ryzyka (np. formularz małej darowizny), który zawsze chcesz weryfikować, niezależnie od tego, czy osiągnięto globalny próg.

Często zadawane pytania

Czy klienci zobaczą CAPTCHA na każdym formularzu?

reCAPTCHA v3 i Cloudflare Turnstile są zazwyczaj niewidoczne — większość klientów nigdy nie widzi wyzwania. hCaptcha wyświetla mały widżet, który wymaga jednego kliknięcia. Żaden z nich nie blokuje legalnych klientów w normalnych warunkach.

Dlaczego widzę „🛡️ Anty-Spam” zamiast „reCAPTCHA”?

Zakładka została przemianowana z reCAPTCHA na Anty-Spam po dodaniu obsługi hCaptcha i Cloudflare Turnstile. Nazwa reCAPTCHA pojawia się w niektórych starszych dokumentacjach; podstawowe ustawienia są takie same.

Czy ustawienia CAPTCHA są respektowane na formularzach Stripe Checkout (poza witryną)?

CAPTCHA jest egzekwowana po stronie WordPress przed przekierowaniem do Stripe Checkout. Strona hostowana przez Stripe ma również własne zabezpieczenia przed botami. W przypadku formularzy na stronie (Osadzone/Nakładka) CAPTCHA weryfikuje każde zgłoszenie przed utworzeniem płatności.

Czy potrzebuję CAPTCHA, jeśli mam weryfikację adresu e-mail?

Obie służą różnym celom. CAPTCHA blokuje boty. Weryfikacja adresu e-mail blokuje testowanie kart przez człowieka, gdzie atakujący może rozwiązać CAPTCHA, ale nie ma dostępu do wielu prawdziwych skrzynek e-mail. Używaj obu, jeśli Twoja witryna przetwarza znaczącą ilość płatności.

Co dzieje się z kodami weryfikacyjnymi po zakończeniu okresu?

Wygasłe kody są czyszczone przez zaplanowane zadanie (simpay_cleanup_email_verification_codes). Są one automatycznie unieważniane i nie można ich ponownie wykorzystać.

Czy mogę wyłączyć określone formularze z ochrony Anty-Spam?

Tak — zobacz ustawienia na karcie Ogólne dla poszczególnych formularzy. W razie potrzeby możesz zastąpić globalne zachowanie dla każdego formularza z osobna.

Co dalej?

Nadal masz pytania? Jesteśmy tutaj, aby pomóc!

Ostatnio zmodyfikowano:

Zacznij akceptować płatności już dziś

Zacznij akceptować jednorazowe i cykliczne płatności lub darowizny na swojej stronie WordPress.