WP Simple Pay Dokumentation

Dokumentation, referensmaterial och handledningar för WP Simple Pay

Anti-Spam Referens

Lästid: 7 minuter | Svårighetsgrad: Nybörjare

Underavsnittet Anti-Spam-inställningar som visar de fyra CAPTCHA-leverantörskorten och växlingsknappen för e-postverifiering.

Översikt

Korttestning är den vanligaste formen av automatiserad missbruk mot WordPress betalningsformulär — bottar skickar tusentals stulna kortnummer per timme för att hitta vilka som fortfarande fungerar. WP Simple Pays Anti-Spam-inställningar ger dig två kompletterande skydd:

  1. CAPTCHA — Stoppar automatiserade inlämningar innan de ens når Stripe. Välj mellan Google reCAPTCHA v3, hCaptcha eller Cloudflare Turnstile.
  2. E-postverifiering — Ett reaktivt lager som kräver att kunder bekräftar sin e-postadress efter ett konfigurerbart antal bedrägeriförsök inom en konfigurerbar tidsram.

Båda lagren konfigureras under WP Simple Pay > Inställningar > Allmänt > 🛡️ Anti-Spam.

Förutsättningar

  • WP Simple Pay (CAPTCHA finns i gratisversionen)
  • WP Simple Pay Pro för e-postverifiering

CAPTCHA

CAPTCHA-inställningen högst upp i Anti-Spam-fliken låter dig välja en leverantör — Ingen, Google reCAPTCHA v3, hCaptcha eller Cloudflare Turnstile. Efter att ha valt en leverantör visas motsvarande fält för autentiseringsuppgifter nedan.

Google reCAPTCHA v3

Poängbaserad, osynlig CAPTCHA från Google. Ingen kundinteraktion krävs — Google poängsätter varje begäran från 0,0 (troligen bot) till 1,0 (troligen människa) och WP Simple Pay blockerar inlämningar under tröskelvärdet.

  • Webbplatsnyckel — Offentlig autentiseringsuppgift från din reCAPTCHA-administratörskonsol.
  • Hemlig nyckel — Privat autentiseringsuppgift från din reCAPTCHA-administratörskonsol.

Inställningar: Registrera dig på google.com/recaptcha/admin, välj reCAPTCHA v3 (inte v2), lägg till din domän och klistra in de resulterande nycklarna.

hCaptcha

Sekretessvänligt Google reCAPTCHA-alternativ. Synlig utmaningswidget som kunder löser en gång. Samma dataformat som reCAPTCHA — webbplatsnyckel + hemlig nyckel.

  • Webbplatsnyckel — Från din hCaptcha-instrumentpanel.
  • Hemlig nyckel — Från din hCaptcha-instrumentpanel.

Inställningar: Registrera dig på hcaptcha.com, hämta dina uppgifter och klistra in dem.

Cloudflare Turnstile

Cloudflares kostnadsfria, sekretessvänliga CAPTCHA. Ofta osynlig, ibland interaktiv. Samma konfigurationsformat — webbplatsnyckel + hemlig nyckel.

  • Webbplatsnyckel — Från din Cloudflare Turnstile-instrumentpanel.
  • Hemlig nyckel — Från din Cloudflare Turnstile-instrumentpanel.

Inställningar: Registrera dig på cloudflare.com/products/turnstile, skapa en Turnstile-widget och klistra in nycklarna.

Välja en leverantör

Leverantör Kostnad Kundfriktion Sekretess Anteckningar
reCAPTCHA v3 Gratis Ingen (osynlig) Skickar data till Google Bästa standardvalet om du redan använder Googles tjänster
hCaptcha Gratis / Betalda nivåer Låg (enstaka klick) Sekretessvänlig Bra GDPR-alternativ till reCAPTCHA
Cloudflare Turnstile Gratis Mestadels ingen Sekretessvänlig Bästa valet om du redan använder Cloudflare

Du kan bara aktivera en leverantör åt gången. För att byta leverantör, ändra CAPTCHA-valet högst upp i fliken — de tidigare uppgifterna sparas men är inaktiva tills du byter tillbaka.

E-postverifiering

E-postverifiering är ett reaktivt skydd som aktiveras endast efter att WP Simple Pay upptäcker ett mönster av bedrägliga betalningsförsök. Det är utformat för att vara osynligt för legitima kunder vid normal trafik och endast aktiveras under en attack.

Hur det fungerar

  1. WP Simple Pay lyssnar efter charge.failed webhooks från Stripe med ett fraudulent utfall.
  2. När antalet bedrägliga avvisningar överskrider din konfigurerade tröskel inom den konfigurerade tidsramen, kräver varje efterföljande betalningsformulär på webbplatsen e-postverifiering före inlämning.
  3. Kunder får en verifieringskod till den e-postadress de angav. De måste ange koden för att slutföra betalningen.
  4. När tidsramen löper ut utan ytterligare bedrägerihändelser inaktiveras verifieringen automatiskt.

Inställningar

  • E-postverifiering (aktivera/inaktivera) — Huvudväxling. Rekommenderas starkt att lämna på.
  • Tröskelvärde — Antal bedrägeriavslag som krävs innan verifiering aktiveras. Standard: 3.
  • Tidsram — Fönster (i timmar) under vilket tröskelvärdet mäts. Standard: 6 timmar.

Justering av tröskelvärde och tidsram

Standardinställningarna (3 avslag på 6 timmar) är medvetet konservativa – de fångar upp uppenbar korttestning utan att besvära kunder under normala trafiktoppar.

  • Sänk tröskelvärdet om du har utsatts för attacker tidigare och vill ha en snabbare reaktion (t.ex. 2 avslag).
  • Sänk tidsramen om din webbplats har hög transaktionsvolym och 6 timmars historik skulle dölja en ny attack.
  • Höj tröskelvärdet om du har mycket hög trafik och standardinställningen utlöses vid normalt brus.

Hur CAPTCHA och e-postverifiering interagerar

De två lagren är komplementära, inte redundanta:

  • CAPTCHA körs på varje inskick och blockerar bottar innan de når Stripe.
  • E-postverifiering körs i efterhand, endast när CAPTCHA har kringgåtts (t.ex. av en mänskligt driven attack) och bedrägeriavslag redan har ackumulerats.

För bästa resultat, aktivera båda. CAPTCHA hanterar 99 % av automatiserat missbruk billigt; e-postverifiering fångar upp den 1 % som slinker igenom.

Antispam i formulärbyggaren

Utöver de globala inställningarna kan enskilda formulär välja att använda e-postverifiering under formulärredigerarens flik Allmänt. Detta är användbart när du har ett högriskformulär (t.ex. ett formulär för små donationer) som du alltid vill verifiera, oavsett om det globala tröskelvärdet har uppnåtts.

Vanliga frågor

Kommer kunder att se CAPTCHA på varje formulär?

reCAPTCHA v3 och Cloudflare Turnstile är vanligtvis osynliga – de flesta kunder ser aldrig en utmaning. hCaptcha visar en liten widget som kräver ett klick. Ingen av dem blockerar legitima kunder under normala förhållanden.

Varför ser jag "🛡️ Antispam" istället för "reCAPTCHA"?

Fliken döptes om från reCAPTCHA till Antispam när stöd för hCaptcha och Cloudflare Turnstile lades till. Namnet reCAPTCHA finns kvar i en del äldre dokumentation; de underliggande inställningarna är desamma.

Respekteras CAPTCHA-inställningar på Stripe Checkout (utanför webbplatsen) formulär?

CAPTCHA verkställs på WordPress-sidan innan omdirigering till Stripe Checkout. Stripes värdsida har också sina egna skydd mot bottar. För formulär på webbplatsen (inbäddade/överlägg) validerar CAPTCHA varje inskick innan betalningen skapas.

Behöver jag en CAPTCHA om jag har e-postverifiering?

Båda tjänar olika syften. CAPTCHA blockerar bottar. E-postverifiering blockerar mänskligt driven korttestning där angriparen kan lösa CAPTCHA men inte har tillgång till många riktiga e-postinkorgar. Använd båda om din webbplats hanterar en meningsfull betalningsvolym.

Vad händer med verifieringskoder efter att tidsramen har löpt ut?

Utgångna koder rensas upp av en schemalagd uppgift (simpay_cleanup_email_verification_codes). De ogiltigförklaras automatiskt och kan inte återanvändas.

Kan jag undanta specifika formulär från Anti-Spam?

Ja — se inställningarna på fliken Allmänt per formulär. Du kan åsidosätta det globala beteendet per formulär vid behov.

Vad händer härnäst?

Har du fortfarande frågor? Vi finns här för att hjälpa till!

Senast ändrad:

Börja ta emot betalningar idag

Börja ta emot engångs- och återkommande betalningar eller donationer på din WordPress-webbplats.