Referência Anti-Spam
Neste Documento
- 1 Visão Geral
- 2 Pré-requisitos
- 3 CAPTCHA
- 4 Verificação de E-mail
- 5 Como CAPTCHA e Verificação de E-mail Interagem
- 6 Anti-Spam no Construtor de Formulários
- 7 Perguntas Frequentes
- 7.1 Os clientes verão o CAPTCHA em todos os formulários?
- 7.2 Por que vejo “🛡️ Anti-Spam” em vez de “reCAPTCHA”?
- 7.3 As configurações de CAPTCHA são respeitadas no Stripe Checkout (fora do site) formulários?
- 7.4 Preciso de um CAPTCHA se tiver Verificação de E-mail?
- 7.5 O que acontece com os códigos de verificação após o término do período?
- 7.6 Posso isentar formulários específicos do Anti-Spam?
- 8 Próximos Passos?
Tempo de leitura: 7 minutos | Dificuldade: Iniciante

Visão Geral
Teste de cartão é a forma mais comum de abuso automatizado contra formulários de pagamento do WordPress — bots enviam milhares de números de cartão roubados por hora para descobrir quais ainda funcionam. As configurações de Anti-Spam do WP Simple Pay oferecem duas defesas complementares:
- CAPTCHA — Interrompe envios automatizados antes mesmo de chegarem ao Stripe. Escolha entre Google reCAPTCHA v3, hCaptcha ou Cloudflare Turnstile.
- Verificação de E-mail — Uma camada reativa que exige que os clientes confirmem seu endereço de e-mail após um número configurável de recusas de fraude ocorrerem dentro de um período configurável.
Ambas as camadas são configuradas em WP Simple Pay > Configurações > Geral > 🛡️ Anti-Spam.
Pré-requisitos
- WP Simple Pay (CAPTCHA está disponível na versão gratuita)
- WP Simple Pay Pro para Verificação de E-mail
CAPTCHA
A configuração de CAPTCHA no topo da aba Anti-Spam permite que você escolha um provedor — Nenhum, Google reCAPTCHA v3, hCaptcha ou Cloudflare Turnstile. Após escolher um provedor, os campos de credenciais correspondentes aparecem abaixo.
Google reCAPTCHA v3
CAPTCHA invisível baseado em pontuação do Google. Nenhuma interação do cliente é necessária — o Google pontua cada solicitação de 0.0 (provavelmente bot) a 1.0 (provavelmente humano) e o WP Simple Pay bloqueia envios abaixo do limiar.
- Chave do Site — Credencial pública do seu console de administração do reCAPTCHA.
- Chave Secreta — Credencial privada do seu console de administração do reCAPTCHA.
Configuração: Cadastre-se em google.com/recaptcha/admin, escolha reCAPTCHA v3 (não v2), adicione seu domínio e cole as chaves resultantes.
hCaptcha
Alternativa ao Google reCAPTCHA, amigável à privacidade. Widget de desafio visível que os clientes resolvem uma vez. Mesma estrutura de dados do reCAPTCHA — chave do site + chave secreta.
- Chave do Site — Do seu painel do hCaptcha.
- Chave Secreta — Do seu painel do hCaptcha.
Configuração: Cadastre-se em hcaptcha.com, obtenha as credenciais e cole-as.
Cloudflare Turnstile
CAPTCHA gratuito e que respeita a privacidade do Cloudflare. Frequentemente invisível, ocasionalmente interativo. Mesma forma de configuração — chave do site + chave secreta.
- Chave do Site — Do seu painel do Cloudflare Turnstile.
- Chave Secreta — Do seu painel do Cloudflare Turnstile.
Configuração: Cadastre-se em cloudflare.com/products/turnstile, crie um widget Turnstile e cole as chaves.
Escolhendo um Provedor
| Provedor | Custo | Fricção com o cliente | Privacidade | Observações |
|---|---|---|---|---|
| reCAPTCHA v3 | Grátis | Nenhum (invisível) | Envia dados para o Google | Melhor opção padrão se você já usa serviços do Google |
| hCaptcha | Níveis gratuitos / pagos | Baixo (clique ocasional) | Respeita a privacidade | Boa alternativa ao reCAPTCHA para o GDPR |
| Cloudflare Turnstile | Grátis | Principalmente nenhum | Respeita a privacidade | Melhor escolha se você já usa Cloudflare |
Você só pode ativar um provedor por vez. Para trocar de provedor, altere a seleção do CAPTCHA no topo da aba — as credenciais anteriores permanecem salvas, mas inativas até que você volte.
Verificação por e-mail
A Verificação de E-mail é uma defesa reativa que atua apenas após o WP Simple Pay detectar um padrão de tentativas de pagamento fraudulentas. Ela foi projetada para ser invisível para clientes legítimos em tráfego normal e só entra em ação durante um ataque.
Como Funciona
- O WP Simple Pay escuta os webhooks
charge.faileddo Stripe com um resultadofraudulent. - Quando o número de declines de fraude ultrapassa seu limite configurado dentro do período configurado, cada formulário de pagamento subsequente no site exigirá verificação de e-mail antes do envio.
- Os clientes recebem um código de verificação no endereço de e-mail que inseriram. Eles devem inserir o código para concluir o pagamento.
- Assim que o período expirar sem mais eventos de fraude, a verificação será desativada automaticamente.
Configurações
- Verificação de E-mail (Ativar/Desativar) — Controle mestre. Altamente recomendado deixar ativado.
- Limite — Número de recusas de fraude exigidas antes que a verificação seja ativada. Padrão: 3.
- Período — Janela (em horas) durante a qual o limite é medido. Padrão: 6 horas.
Ajustando o Limite e o Período
Os padrões (3 recusas em 6 horas) são deliberadamente conservadores — eles capturam testes de cartão óbvios sem incomodar os clientes durante picos normais de tráfego.
- Diminua o limite se você já foi alvo antes e deseja uma reação mais rápida (por exemplo,
2recusas). - Diminua o período se o seu site tem alto volume de transações e 6 horas de histórico mascarariam um ataque recente.
- Aumente o limite se você tem tráfego muito alto e o padrão está sendo acionado por ruído normal.
Como o CAPTCHA e a Verificação de E-mail Interagem
As duas camadas são complementares, não redundantes:
- O CAPTCHA é executado em cada envio e bloqueia bots antes que eles cheguem ao Stripe.
- A Verificação de E-mail é executada depois do fato, apenas quando o CAPTCHA foi contornado (por exemplo, por um ataque conduzido por humanos) e as recusas de fraude já se acumularam.
Para melhores resultados, ative ambos. O CAPTCHA lida com 99% do abuso automatizado de forma barata; a Verificação de E-mail captura os 1% que passam.
Anti-Spam no Construtor de Formulários
Além das configurações globais, formulários individuais podem optar pela Verificação de E-mail na aba Geral do editor de formulários. Isso é útil quando você tem um formulário de alto risco (por exemplo, um pequeno formulário de doação) que você sempre quer verificado, independentemente de o limite global ter sido atingido.
Perguntas Frequentes
Os clientes verão o CAPTCHA em todos os formulários?
reCAPTCHA v3 e Cloudflare Turnstile geralmente são invisíveis — a maioria dos clientes nunca vê um desafio. O hCaptcha mostra um pequeno widget que requer um clique. Nenhum deles bloqueia clientes legítimos em condições normais.
Por que vejo “🛡️ Anti-Spam” em vez de “reCAPTCHA”?
A aba foi renomeada de reCAPTCHA para Anti-Spam quando o suporte a hCaptcha e Cloudflare Turnstile foi adicionado. O nome reCAPTCHA permanece em alguma documentação mais antiga; as configurações subjacentes são as mesmas.
As configurações de CAPTCHA são respeitadas em formulários do Stripe Checkout (fora do site)?
O CAPTCHA é aplicado no lado do WordPress antes do redirecionamento para o Stripe Checkout. A página hospedada do Stripe também tem suas próprias proteções contra bots. Para formulários no local (Embutido/Overlay), o CAPTCHA valida cada envio antes que o pagamento seja criado.
Preciso de um CAPTCHA se tiver Verificação de E-mail?
Ambos servem a propósitos diferentes. O CAPTCHA bloqueia bots. A Verificação de E-mail bloqueia testes de cartão conduzidos por humanos onde o invasor pode resolver o CAPTCHA, mas não tem acesso a muitas caixas de entrada de e-mail reais. Use ambos se o seu site processa um volume significativo de pagamentos.
O que acontece com os códigos de verificação após o término do prazo?
Códigos expirados são limpos por uma tarefa agendada (simpay_cleanup_email_verification_codes). Eles são invalidados automaticamente e não podem ser reutilizados.
Posso isentar formulários específicos do Anti-Spam?
Sim — consulte as configurações da guia Geral por formulário. Você pode substituir o comportamento global em uma base por formulário, quando necessário.
Próximos Passos?
- Como Configurar as Configurações Gerais de um Formulário de Pagamento – Substituições de anti-spam por formulário
- Como Habilitar a Verificação de E-mail Antes do Processamento dos Pagamentos – Guia passo a passo com capturas de tela
Ainda tem d uevovidas? Estamos aqui para ajudar!
Última Modificação: