Referință Anti-Spam
În acest document
- 1 Prezentare generală
- 2 Cerințe preliminare
- 3 CAPTCHA
- 4 Verificarea prin e-mail
- 5 Cum interacționează CAPTCHA și verificarea prin e-mail
- 6 Anti-Spam în Form Builder
- 7 Întrebări frecvente
- 7.1 Clienții vor vedea CAPTCHA pe fiecare formular?
- 7.2 De ce văd „🛡️ Anti-Spam” în loc de „reCAPTCHA”?
- 7.3 Sunt respectate setările CAPTCHA pe formularele Stripe Checkout (în afara site-ului)?
- 7.4 Am nevoie de CAPTCHA dacă am Verificare prin e-mail?
- 7.5 Ce se întâmplă cu codurile de verificare după expirarea intervalului de timp?
- 7.6 Pot să scutesc anumite formulare de Anti-Spam?
- 8 Ce urmează?
Timp de citire: 7 minute | Dificultate: Începător

Prezentare generală
Card-testing este cea mai comună formă de abuz automatizat împotriva formularelor de plată WordPress — boții trimit mii de numere de card furate pe oră pentru a găsi care încă funcționează. Setările Anti-Spam din WP Simple Pay vă oferă două apărări complementare:
- CAPTCHA — Oprește trimiterile automate înainte ca acestea să ajungă la Stripe. Alegeți între Google reCAPTCHA v3, hCaptcha sau Cloudflare Turnstile.
- Verificare prin e-mail — Un strat reactiv care necesită ca clienții să își confirme adresa de e-mail după ce un număr configurabil de refuzuri din cauza fraudei au apărut într-un interval de timp configurabil.
Ambele straturi sunt configurate sub WP Simple Pay > Setări > General > 🛡️ Anti-Spam.
Cerințe preliminare
- WP Simple Pay (CAPTCHA este disponibilă în versiunea gratuită)
- WP Simple Pay Pro pentru Verificarea prin e-mail
CAPTCHA
Setarea CAPTCHA din partea de sus a tab-ului Anti-Spam vă permite să alegeți un furnizor — Niciunul, Google reCAPTCHA v3, hCaptcha sau Cloudflare Turnstile. După ce ați ales un furnizor, câmpurile de credențiale corespunzătoare apar mai jos.
Google reCAPTCHA v3
CAPTCHA bazat pe scor, invizibil de la Google. Nu este necesară interacțiunea clientului — Google evaluează fiecare cerere de la 0,0 (probabil bot) la 1,0 (probabil uman), iar WP Simple Pay blochează trimiterile sub prag.
- Cheie de site — Credențial public din consola dvs. de administrare reCAPTCHA.
- Cheie secretă — Credențial privat din consola dvs. de administrare reCAPTCHA.
Configurare: Înregistrați-vă la google.com/recaptcha/admin, alegeți reCAPTCHA v3 (nu v2), adăugați domeniul dvs. și lipiți cheile rezultate.
hCaptcha
Alternativă la Google reCAPTCHA, prietenoasă cu confidențialitatea. Widget vizibil cu provocare pe care clienții îl rezolvă o dată. Aceeași formă de date ca reCAPTCHA — cheie de site + cheie secretă.
- Cheie de site — Din tabloul de bord hCaptcha.
- Cheie secretă — Din tabloul de bord hCaptcha.
Configurare: Înregistrați-vă la hcaptcha.com, preluați credențialele și lipiți-le aici.
Cloudflare Turnstile
CAPTCHA gratuit de la Cloudflare, respectuos cu confidențialitatea. Adesea invizibil, ocazional interactiv. Aceeași formă de configurare — cheie de site + cheie secretă.
- Cheie de site — Din tabloul de bord Cloudflare Turnstile.
- Cheie secretă — Din tabloul de bord Cloudflare Turnstile.
Configurare: Înregistrați-vă la cloudflare.com/products/turnstile, creați un widget Turnstile și lipiți cheile.
Alegerea unui furnizor
| Furnizor | Cost | Fricțiune pentru client | Confidențialitate | Note |
|---|---|---|---|---|
| reCAPTCHA v3 | Gratuit | Niciuna (invizibil) | Trimite date către Google | Cel mai bun implicit dacă utilizați deja servicii Google |
| hCaptcha | Niveluri gratuite / plătite | Scăzută (clic ocazional) | Respectuos cu confidențialitatea | Alternativă bună la reCAPTCHA pentru GDPR |
| Cloudflare Turnstile | Gratuit | În mare parte niciuna | Respectuos cu confidențialitatea | Cea mai bună alegere dacă utilizați deja Cloudflare |
Puteți activa un singur furnizor la un moment dat. Pentru a schimba furnizorul, modificați selecția CAPTCHA din partea de sus a filei — credențialele anterioare rămân salvate, dar inactive până când reveniți la ele.
Verificare prin e-mail
Verificarea prin e-mail este o apărare reactivă care se activează doar după ce WP Simple Pay detectează un model de încercări de plată frauduloase. Este concepută pentru a fi invizibilă clienților legitimi în trafic normal și intră în acțiune doar în timpul unui atac.
Cum funcționează
- WP Simple Pay ascultă webhook-urile
charge.failedde la Stripe cu un rezultatfraudulent. - Când numărul de scăderi de fraudă depășește pragul configurat în intervalul de timp configurat, fiecare formular de plată ulterior de pe site va necesita verificarea prin e-mail înainte de trimitere.
- Clienții primesc un cod de verificare la adresa de e-mail introdusă. Aceștia trebuie să introducă codul pentru a finaliza plata.
- Odată ce intervalul de timp expiră fără alte evenimente de fraudă, verificarea este dezactivată automat.
Setări
- Verificare prin e-mail (Activare/Dezactivare) — Comutator principal. Foarte recomandat să fie lăsat activat.
- Prag — Numărul de refuzuri din cauza fraudei necesare înainte ca verificarea să se activeze. Implicit: 3.
- Interval de timp — Fereastra (în ore) în care este măsurat pragul. Implicit: 6 ore.
Ajustarea pragului și a intervalului de timp
Setările implicite (3 refuzuri în 6 ore) sunt intenționat conservatoare — acestea prind testarea evidentă a cardurilor fără a deranja clienții în timpul vârfurilor normale de trafic.
- Scădeți pragul dacă ați fost vizat anterior și doriți o reacție mai rapidă (de ex.,
2refuzuri). - Scădeți intervalul de timp dacă site-ul dvs. are un volum mare de tranzacții și 6 ore de istoric ar masca un atac recent.
- Creșteți pragul dacă aveți trafic foarte mare și setarea implicită se declanșează pe zgomot normal.
Cum interacționează CAPTCHA și verificarea prin e-mail
Cele două niveluri sunt complementare, nu redundante:
- CAPTCHA rulează la fiecare trimitere și blochează roboții înainte ca aceștia să ajungă la Stripe.
- Verificarea prin e-mail rulează după fapt, doar atunci când CAPTCHA a fost ocolit (de ex., printr-un atac condus de un om) și refuzurile din cauza fraudei s-au acumulat deja.
Pentru cele mai bune rezultate, activați ambele. CAPTCHA gestionează 99% din abuzurile automate ieftin; verificarea prin e-mail prinde 1% care trece.
Anti-Spam în Form Builder
Pe lângă setările globale, formularele individuale pot opta pentru verificarea prin e-mail în fila General a editorului de formulare. Acest lucru este util atunci când aveți un formular cu risc ridicat (de ex., un formular de donație mică) pe care doriți întotdeauna să îl verificați, indiferent dacă pragul global a fost atins.
Întrebări Frecvente
Vor vedea clienții CAPTCHA pe fiecare formular?
reCAPTCHA v3 și Cloudflare Turnstile sunt de obicei invizibile — majoritatea clienților nu văd niciodată o provocare. hCaptcha afișează un mic widget care necesită un singur clic. Niciuna dintre ele nu blochează clienții legitimi în condiții normale.
De ce văd „🛡️ Anti-Spam” în loc de „reCAPTCHA”?
Fila a fost redenumită din reCAPTCHA în Anti-Spam atunci când a fost adăugat suportul pentru hCaptcha și Cloudflare Turnstile. Numele reCAPTCHA persistă în unele documentații mai vechi; setările de bază sunt aceleași.
Sunt respectate setările CAPTCHA pe formularele Stripe Checkout (în afara site-ului)?
CAPTCHA este impus pe partea WordPress înainte de redirecționarea către Stripe Checkout. Pagina găzduită de Stripe are, de asemenea, propriile protecții împotriva roboților. Pentru formularele de pe site (integrate/overlay), CAPTCHA validează fiecare trimitere înainte ca plata să fie creată.
Am nevoie de un CAPTCHA dacă am verificarea prin e-mail?
Ambele servesc scopuri diferite. CAPTCHA blochează roboții. Verificarea prin e-mail blochează testarea cardurilor condusă de oameni, unde atacatorul poate rezolva CAPTCHA, dar nu are acces la multe cutii poștale reale. Folosiți ambele dacă site-ul dvs. procesează un volum semnificativ de plăți.
Ce se întâmplă cu codurile de verificare după ce intervalul de timp expiră?
Codurile expirate sunt curățate de o sarcină programată (simpay_cleanup_email_verification_codes). Acestea sunt invalidate automat și nu pot fi refolosite.
Pot să scutesc anumite formulare de Anti-Spam?
Da — consultați setările din fila General pentru fiecare formular. Puteți suprascrie comportamentul global pe bază de formular, atunci când este necesar.
Ce urmează?
- Cum să configurați setările generale ale unui formular de plată – Suprascrieri anti-spam per formular
- Cum să activați verificarea prin e-mail înainte ca plățile să fie procesate – Ghid cu capturi de ecran
Încă aveți întrebări? Suntem aici pentru a vă ajuta!
Ultima modificare: