Anti-Spam Referens
I det här dokumentet
- 1 Översikt
- 2 Förutsättningar
- 3 CAPTCHA
- 4 E-postverifiering
- 5 Hur CAPTCHA och e-postverifiering interagerar
- 6 Anti-Spam i formulärbyggaren
- 7 Vanliga frågor
- 7.1 Kommer kunderna att se CAPTCHA på varje formulär?
- 7.2 Varför ser jag "🛡️ Anti-Spam" istället för "reCAPTCHA"?
- 7.3 Respekteras CAPTCHA-inställningarna på Stripe Checkout (off-site) formulär?
- 7.4 Behöver jag en CAPTCHA om jag har e-postverifiering?
- 7.5 Vad händer med verifieringskoder efter att tidsramen har löpt ut?
- 7.6 Kan jag undanta specifika formulär från Anti-Spam?
- 8 Vad händer härnäst?
Lästid: 7 minuter | Svårighetsgrad: Nybörjare

Översikt
Korttestning är den vanligaste formen av automatiserad missbruk mot WordPress betalningsformulär — bottar skickar tusentals stulna kortnummer per timme för att hitta vilka som fortfarande fungerar. WP Simple Pays Anti-Spam-inställningar ger dig två kompletterande skydd:
- CAPTCHA — Stoppar automatiserade inlämningar innan de ens når Stripe. Välj mellan Google reCAPTCHA v3, hCaptcha eller Cloudflare Turnstile.
- E-postverifiering — Ett reaktivt lager som kräver att kunder bekräftar sin e-postadress efter ett konfigurerbart antal bedrägeriförsök inom en konfigurerbar tidsram.
Båda lagren konfigureras under WP Simple Pay > Inställningar > Allmänt > 🛡️ Anti-Spam.
Förutsättningar
- WP Simple Pay (CAPTCHA finns i gratisversionen)
- WP Simple Pay Pro för e-postverifiering
CAPTCHA
CAPTCHA-inställningen högst upp i Anti-Spam-fliken låter dig välja en leverantör — Ingen, Google reCAPTCHA v3, hCaptcha eller Cloudflare Turnstile. Efter att ha valt en leverantör visas motsvarande fält för autentiseringsuppgifter nedan.
Google reCAPTCHA v3
Poängbaserad, osynlig CAPTCHA från Google. Ingen kundinteraktion krävs — Google poängsätter varje begäran från 0,0 (troligen bot) till 1,0 (troligen människa) och WP Simple Pay blockerar inlämningar under tröskelvärdet.
- Webbplatsnyckel — Offentlig autentiseringsuppgift från din reCAPTCHA-administratörskonsol.
- Hemlig nyckel — Privat autentiseringsuppgift från din reCAPTCHA-administratörskonsol.
Inställningar: Registrera dig på google.com/recaptcha/admin, välj reCAPTCHA v3 (inte v2), lägg till din domän och klistra in de resulterande nycklarna.
hCaptcha
Sekretessvänligt Google reCAPTCHA-alternativ. Synlig utmaningswidget som kunder löser en gång. Samma dataformat som reCAPTCHA — webbplatsnyckel + hemlig nyckel.
- Webbplatsnyckel — Från din hCaptcha-instrumentpanel.
- Hemlig nyckel — Från din hCaptcha-instrumentpanel.
Inställningar: Registrera dig på hcaptcha.com, hämta dina uppgifter och klistra in dem.
Cloudflare Turnstile
Cloudflares kostnadsfria, sekretessvänliga CAPTCHA. Ofta osynlig, ibland interaktiv. Samma konfigurationsformat — webbplatsnyckel + hemlig nyckel.
- Webbplatsnyckel — Från din Cloudflare Turnstile-instrumentpanel.
- Hemlig nyckel — Från din Cloudflare Turnstile-instrumentpanel.
Inställningar: Registrera dig på cloudflare.com/products/turnstile, skapa en Turnstile-widget och klistra in nycklarna.
Välja en leverantör
| Leverantör | Kostnad | Kundfriktion | Sekretess | Anteckningar |
|---|---|---|---|---|
| reCAPTCHA v3 | Gratis | Ingen (osynlig) | Skickar data till Google | Bästa standardvalet om du redan använder Googles tjänster |
| hCaptcha | Gratis / Betalda nivåer | Låg (enstaka klick) | Sekretessvänlig | Bra GDPR-alternativ till reCAPTCHA |
| Cloudflare Turnstile | Gratis | Mestadels ingen | Sekretessvänlig | Bästa valet om du redan använder Cloudflare |
Du kan bara aktivera en leverantör åt gången. För att byta leverantör, ändra CAPTCHA-valet högst upp i fliken — de tidigare uppgifterna sparas men är inaktiva tills du byter tillbaka.
E-postverifiering
E-postverifiering är ett reaktivt skydd som aktiveras endast efter att WP Simple Pay upptäcker ett mönster av bedrägliga betalningsförsök. Det är utformat för att vara osynligt för legitima kunder vid normal trafik och endast aktiveras under en attack.
Hur det fungerar
- WP Simple Pay lyssnar efter
charge.failedwebhooks från Stripe med ettfraudulentutfall. - När antalet bedrägliga avvisningar överskrider din konfigurerade tröskel inom den konfigurerade tidsramen, kräver varje efterföljande betalningsformulär på webbplatsen e-postverifiering före inlämning.
- Kunder får en verifieringskod till den e-postadress de angav. De måste ange koden för att slutföra betalningen.
- När tidsramen löper ut utan ytterligare bedrägerihändelser inaktiveras verifieringen automatiskt.
Inställningar
- E-postverifiering (aktivera/inaktivera) — Huvudväxling. Rekommenderas starkt att lämna på.
- Tröskelvärde — Antal bedrägeriavslag som krävs innan verifiering aktiveras. Standard: 3.
- Tidsram — Fönster (i timmar) under vilket tröskelvärdet mäts. Standard: 6 timmar.
Justering av tröskelvärde och tidsram
Standardinställningarna (3 avslag på 6 timmar) är medvetet konservativa – de fångar upp uppenbar korttestning utan att besvära kunder under normala trafiktoppar.
- Sänk tröskelvärdet om du har utsatts för attacker tidigare och vill ha en snabbare reaktion (t.ex.
2avslag). - Sänk tidsramen om din webbplats har hög transaktionsvolym och 6 timmars historik skulle dölja en ny attack.
- Höj tröskelvärdet om du har mycket hög trafik och standardinställningen utlöses vid normalt brus.
Hur CAPTCHA och e-postverifiering interagerar
De två lagren är komplementära, inte redundanta:
- CAPTCHA körs på varje inskick och blockerar bottar innan de når Stripe.
- E-postverifiering körs i efterhand, endast när CAPTCHA har kringgåtts (t.ex. av en mänskligt driven attack) och bedrägeriavslag redan har ackumulerats.
För bästa resultat, aktivera båda. CAPTCHA hanterar 99 % av automatiserat missbruk billigt; e-postverifiering fångar upp den 1 % som slinker igenom.
Antispam i formulärbyggaren
Utöver de globala inställningarna kan enskilda formulär välja att använda e-postverifiering under formulärredigerarens flik Allmänt. Detta är användbart när du har ett högriskformulär (t.ex. ett formulär för små donationer) som du alltid vill verifiera, oavsett om det globala tröskelvärdet har uppnåtts.
Vanliga frågor
Kommer kunder att se CAPTCHA på varje formulär?
reCAPTCHA v3 och Cloudflare Turnstile är vanligtvis osynliga – de flesta kunder ser aldrig en utmaning. hCaptcha visar en liten widget som kräver ett klick. Ingen av dem blockerar legitima kunder under normala förhållanden.
Varför ser jag "🛡️ Antispam" istället för "reCAPTCHA"?
Fliken döptes om från reCAPTCHA till Antispam när stöd för hCaptcha och Cloudflare Turnstile lades till. Namnet reCAPTCHA finns kvar i en del äldre dokumentation; de underliggande inställningarna är desamma.
Respekteras CAPTCHA-inställningar på Stripe Checkout (utanför webbplatsen) formulär?
CAPTCHA verkställs på WordPress-sidan innan omdirigering till Stripe Checkout. Stripes värdsida har också sina egna skydd mot bottar. För formulär på webbplatsen (inbäddade/överlägg) validerar CAPTCHA varje inskick innan betalningen skapas.
Behöver jag en CAPTCHA om jag har e-postverifiering?
Båda tjänar olika syften. CAPTCHA blockerar bottar. E-postverifiering blockerar mänskligt driven korttestning där angriparen kan lösa CAPTCHA men inte har tillgång till många riktiga e-postinkorgar. Använd båda om din webbplats hanterar en meningsfull betalningsvolym.
Vad händer med verifieringskoder efter att tidsramen har löpt ut?
Utgångna koder rensas upp av en schemalagd uppgift (simpay_cleanup_email_verification_codes). De ogiltigförklaras automatiskt och kan inte återanvändas.
Kan jag undanta specifika formulär från Anti-Spam?
Ja — se inställningarna på fliken Allmänt per formulär. Du kan åsidosätta det globala beteendet per formulär vid behov.
Vad händer härnäst?
- Konfigurera allmänna inställningar för ett betalningsformulär – Åsidosättningar av anti-spam per formulär
- Aktivera e-postverifiering innan betalningar behandlas – Genomgång med skärmdumpar
Har du fortfarande frågor? Vi finns här för att hjälpa till!
Senast ändrad: