Referencje antyspamowe
W tym dokumencie
- 1 Przegląd
- 2 Wymagania wstępne
- 3 CAPTCHA
- 4 Weryfikacja e-mail
- 5 Jak CAPTCHA i weryfikacja e-mail oddziałują na siebie
- 6 Ochrona antyspamowa w kreatorze formularzy
- 7 Często zadawane pytania
- 7.1 Czy klienci będą widzieć CAPTCHA na każdym formularzu?
- 7.2 Dlaczego widzę „🛡️ Ochrona antyspamowa” zamiast „reCAPTCHA”?
- 7.3 Czy ustawienia CAPTCHA są respektowane w formularzach Stripe Checkout (poza witryną)?
- 7.4 Czy potrzebuję CAPTCHA, jeśli mam weryfikację e-mail?
- 7.5 Co dzieje się z kodami weryfikacyjnymi po upływie ram czasowych?
- 7.6 Czy mogę wyłączyć ochronę antyspamową dla określonych formularzy?
- 8 Co dalej?
Czas czytania: 7 minut | Poziom trudności: Początkujący

Przegląd
Testowanie kart to najczęstsza forma zautomatyzowanych nadużyć formularzy płatności WordPress — boty wysyłają tysiące skradzionych numerów kart na godzinę, aby znaleźć te, które nadal działają. Ustawienia Ochrony antyspamowej w WP Simple Pay zapewniają dwa uzupełniające się zabezpieczenia:
- CAPTCHA — zatrzymuje zautomatyzowane zgłoszenia, zanim dotrą do Stripe. Wybieraj między Google reCAPTCHA v3, hCaptcha lub Cloudflare Turnstile.
- Weryfikacja e-mail — warstwa reaktywna, która wymaga od klientów potwierdzenia adresu e-mail po wystąpieniu określonej liczby odmów oszustwa w określonych ramach czasowych.
Obie warstwy są konfigurowane w sekcji WP Simple Pay > Ustawienia > Ogólne > 🛡️ Ochrona antyspamowa.
Wymagania wstępne
- WP Simple Pay (CAPTCHA jest dostępna w wersji darmowej)
- WP Simple Pay Pro do weryfikacji e-mail
CAPTCHA
Ustawienie CAPTCHA na górze karty Ochrona antyspamowa pozwala wybrać jednego dostawcę — Brak, Google reCAPTCHA v3, hCaptcha lub Cloudflare Turnstile. Po wybraniu dostawcy poniżej pojawią się pasujące pola poświadczeń.
Google reCAPTCHA v3
Niewidoczna CAPTCHA od Google oparta na wynikach. Nie wymaga interakcji klienta — Google ocenia każde żądanie od 0,0 (prawdopodobnie bot) do 1,0 (prawdopodobnie człowiek), a WP Simple Pay blokuje zgłoszenia poniżej progu.
- Klucz witryny — publiczne poświadczenie z konsoli administratora reCAPTCHA.
- Klucz tajny — prywatne poświadczenie z konsoli administratora reCAPTCHA.
Konfiguracja: Zarejestruj się na google.com/recaptcha/admin, wybierz reCAPTCHA v3 (nie v2), dodaj swoją domenę i wklej uzyskane klucze.
hCaptcha
Alternatywa dla Google reCAPTCHA przyjazna dla prywatności. Widżet z wyzwaniem, który klienci rozwiązują raz. Taki sam kształt danych jak reCAPTCHA — klucz witryny + klucz tajny.
- Klucz witryny — z Twojego panelu hCaptcha.
- Klucz tajny — z Twojego panelu hCaptcha.
Konfiguracja: Zarejestruj się na hcaptcha.com, pobierz dane uwierzytelniające i wklej je tutaj.
Cloudflare Turnstile
Darmowa, szanująca prywatność alternatywa CAPTCHA od Cloudflare. Często niewidoczna, sporadycznie interaktywna. Taki sam kształt konfiguracji — klucz witryny + klucz tajny.
- Klucz witryny — z Twojego panelu Cloudflare Turnstile.
- Klucz tajny — z Twojego panelu Cloudflare Turnstile.
Konfiguracja: Zarejestruj się na cloudflare.com/products/turnstile, utwórz widżet Turnstile i wklej klucze.
Wybór dostawcy
| Dostawca | Koszt | Utrudnienia dla klienta | Prywatność | Uwagi |
|---|---|---|---|---|
| reCAPTCHA v3 | Darmowy | Brak (niewidoczna) | Wysyła dane do Google | Najlepszy domyślny wybór, jeśli już korzystasz z usług Google |
| hCaptcha | Darmowe / Płatne plany | Niskie (sporadyczne kliknięcie) | Szanująca prywatność | Dobra alternatywa dla reCAPTCHA zgodna z RODO |
| Cloudflare Turnstile | Darmowy | Głównie brak | Szanująca prywatność | Najlepszy wybór, jeśli już korzystasz z Cloudflare |
Możesz włączyć tylko jednego dostawcę naraz. Aby przełączyć dostawcę, zmień wybór CAPTCHA w górnej części karty — poprzednie dane uwierzytelniające pozostają zapisane, ale nieaktywne, dopóki nie wrócisz do poprzedniego wyboru.
Weryfikacja e-mail
Weryfikacja e-mail to reaktywna obrona, która aktywuje się dopiero po wykryciu przez WP Simple Pay wzorca prób oszukańczych płatności. Została zaprojektowana tak, aby była niewidoczna dla legalnych klientów przy normalnym ruchu i aktywowała się tylko podczas ataku.
Jak to działa
- WP Simple Pay nasłuchuje webhooków
charge.failedod Stripe z wynikiemfraudulent. - Gdy liczba oszukańczych transakcji przekroczy skonfigurowany próg w skonfigurowanym czasie, każda kolejna forma płatności na stronie będzie wymagać weryfikacji e-mail przed przesłaniem.
- Klienci otrzymują kod weryfikacyjny na podany adres e-mail. Muszą wprowadzić kod, aby dokończyć płatność.
- Gdy upłynie określony czas bez dalszych incydentów oszustwa, weryfikacja zostanie automatycznie wyłączona.
Ustawienia
- Weryfikacja adresu e-mail (Włącz/Wyłącz) — Główny przełącznik. Zdecydowanie zaleca się pozostawienie włączonego.
- Próg — Liczba odrzuconych transakcji z powodu oszustwa wymagana przed aktywacją weryfikacji. Domyślnie: 3.
- Okres — Okno czasowe (w godzinach), w którym mierzony jest próg. Domyślnie: 6 godzin.
Dostrajanie progu i okresu
Domyślne ustawienia (3 odrzucenia w ciągu 6 godzin) są celowo konserwatywne — wyłapują oczywiste testy kart bez niepokojenia klientów podczas normalnych skoków ruchu.
- Obniż próg, jeśli byłeś wcześniej celem ataków i chcesz szybszej reakcji (np.
2odrzucenia). - Skróć okres, jeśli Twoja witryna ma duży wolumen transakcji, a 6 godzin historii maskowałoby świeży atak.
- Zwiększ próg, jeśli masz bardzo duży ruch, a domyślne ustawienia aktywują się z powodu normalnego szumu.
Jak CAPTCHA i weryfikacja adresu e-mail współdziałają
Te dwie warstwy uzupełniają się, a nie są zbędne:
- CAPTCHA działa przy każdym zgłoszeniu i blokuje boty, zanim dotrą do Stripe.
- Weryfikacja adresu e-mail działa po fakcie, tylko wtedy, gdy CAPTCHA została ominięta (np. przez atak kierowany przez człowieka) i zgromadziły się już odrzucenia z powodu oszustwa.
Dla najlepszych rezultatów włącz obie. CAPTCHA tanio obsługuje 99% zautomatyzowanych nadużyć; weryfikacja adresu e-mail wyłapuje 1%, który się przedostanie.
Anty-spam w kreatorze formularzy
Oprócz ustawień globalnych, poszczególne formularze mogą wybrać weryfikację adresu e-mail w zakładce Ogólne edytora formularza. Jest to przydatne, gdy masz formularz wysokiego ryzyka (np. formularz małej darowizny), który zawsze chcesz weryfikować, niezależnie od tego, czy osiągnięto globalny próg.
Często zadawane pytania
Czy klienci zobaczą CAPTCHA na każdym formularzu?
reCAPTCHA v3 i Cloudflare Turnstile są zazwyczaj niewidoczne — większość klientów nigdy nie widzi wyzwania. hCaptcha wyświetla mały widżet, który wymaga jednego kliknięcia. Żaden z nich nie blokuje legalnych klientów w normalnych warunkach.
Dlaczego widzę „🛡️ Anty-Spam” zamiast „reCAPTCHA”?
Zakładka została przemianowana z reCAPTCHA na Anty-Spam po dodaniu obsługi hCaptcha i Cloudflare Turnstile. Nazwa reCAPTCHA pojawia się w niektórych starszych dokumentacjach; podstawowe ustawienia są takie same.
Czy ustawienia CAPTCHA są respektowane na formularzach Stripe Checkout (poza witryną)?
CAPTCHA jest egzekwowana po stronie WordPress przed przekierowaniem do Stripe Checkout. Strona hostowana przez Stripe ma również własne zabezpieczenia przed botami. W przypadku formularzy na stronie (Osadzone/Nakładka) CAPTCHA weryfikuje każde zgłoszenie przed utworzeniem płatności.
Czy potrzebuję CAPTCHA, jeśli mam weryfikację adresu e-mail?
Obie służą różnym celom. CAPTCHA blokuje boty. Weryfikacja adresu e-mail blokuje testowanie kart przez człowieka, gdzie atakujący może rozwiązać CAPTCHA, ale nie ma dostępu do wielu prawdziwych skrzynek e-mail. Używaj obu, jeśli Twoja witryna przetwarza znaczącą ilość płatności.
Co dzieje się z kodami weryfikacyjnymi po zakończeniu okresu?
Wygasłe kody są czyszczone przez zaplanowane zadanie (simpay_cleanup_email_verification_codes). Są one automatycznie unieważniane i nie można ich ponownie wykorzystać.
Czy mogę wyłączyć określone formularze z ochrony Anty-Spam?
Tak — zobacz ustawienia na karcie Ogólne dla poszczególnych formularzy. W razie potrzeby możesz zastąpić globalne zachowanie dla każdego formularza z osobna.
Co dalej?
- Jak skonfigurować ogólne ustawienia formularza płatności – Zastąpienia ochrony Anty-Spam dla poszczególnych formularzy
- Jak włączyć weryfikację adresu e-mail przed przetworzeniem płatności – Przewodnik ze zrzutami ekranu
Nadal masz pytania? Jesteśmy tutaj, aby pomóc!
Ostatnio zmodyfikowano: