如何在 WordPress 网站中添加 CAPTCHA 以防止机器人攻击？

许多黑客依赖自动化工具攻击网站。好消息是，有一种方法可以防止这些机器人侵害：CAPTCHA。

在 WordPress 网站上使用 CAPTCHA 是一种非常有效且低成本的方式，可以阻止机器人，同时能让真实用户访问。

在本篇文章中，会了解 CAPTCHA 的类型以及如何将其添加到网站中。还会有一些推荐的 CAPTCHA 插件，以及如何通过 CAPTCHA 来实现全站安全保护。

概述

CAPTCHA 是 “Completely Automated Public Turing Test to Tell Computers and Humans Apart” 的缩写，意为“全自动区分计算机和人类的图灵测试”。它是一种安全措施，能够阻止机器人和垃圾信息发送者访问网站。

CAPTCHA 要求用户完成一些对人类来说很简单但对机器人很难的操作，例如：读取扭曲的文本、选择包含特定对象的图片或点击复选框。

通过在 WordPress 网站上安装 CAPTCHA，可以确保只有真实用户才能在容易受到垃圾信息和恶意机器人攻击的区域（如登录页面、评论表单和注册表单）发布内容。

CAPTCHA 的类型

CAPTCHA 有多种类型，每种类型在安全性和用户体验方面提供了不同的水平。下面是最常见的几种：

1. 基于文本的 CAPTCHA

基于文本的 CAPTCHA 是最传统的一种，你们可能已经见过很多次了。它要求用户输入图片中显示的扭曲字符。

基于图片的 CAPTCHA

基于图片的 CAPTCHA 会显示一组图片，要求用户选择符合特定条件的图片，例如“选出所有包含红绿灯的图片”。

Google 的 reCAPTCHA 是基于图片的 CAPTCHA 中最常见的一个例子。

隐形 CAPTCHA

隐形 CAPTCHA 在后台运行，只有在怀疑用户有某种非法活动时才会进行测试。它几乎不需要用户的操作或完全无需用户输入。

数学 CAPTCHA

数学 CAPTCHA 要求用户回答一个简单的数学问题，例如“3 + 7 等于多少？”。

社交媒体 CAPTCHA

顾名思义，社交媒体 CAPTCHA 通过用户的社交媒体账户验证其为真人，而非机器人。

Google reCAPTCHA

虽然 CAPTCHA 很安全，但它有时候也会给用户带来不便，例如降低访问速度，或者对阅读障碍者等无法轻松在线浏览的用户造成延迟。

2014 年，Google 推出了 No CAPTCHA reCAPTCHA，用户只需勾选一个复选框即可证明自己不是机器人。这一版本更快速、更简单、更用户友好。

随后在 2018 年，Google 进一步改进，推出了 隐形 CAPTCHA，能够在用户没有任何操作的情况下轻松检测到机器人。

如果有打算在 WordPress 网站上设置 CAPTCHA，最推荐的选择是 Google reCAPTCHA v2 或 v3。

如何在你的 WordPress 网站上设置 CAPTCHA？

通过下面几个简单步骤，将 CAPTCHA 集成到网站中，免受机器人和垃圾信息的困扰。

第一步：在 WordPress 网站上安装 CAPTCHA 插件

要用 CAPTCHA，首先需要安装一个 WordPress CAPTCHA 插件。

市面上有许多插件。在文章的后续部分，我们会根据功能和评分推荐一些最佳的 WordPress CAPTCHA 插件。可以从中选择，也可以选择类似的其他插件。

在本教程中，我们用的是 Advanced Google reCAPTCHA。

安装 WordPress CAPTCHA 插件的步骤：

1. 打开网站 WordPress 仪表盘。

2. 在左侧菜单中，导航到 插件 > 安装插件。

3. 在搜索栏中输入你想要的插件名称。

4. 点击 立即安装。

5. 然后点击 启用。

完成后，就成功安装并激活了 CAPTCHA 插件。

第二步：为你的网站生成 Google reCAPTCHA 密钥

要在网站上集成 Google reCAPTCHA，首先需要获取 Google 的 API 密钥。这些密钥用于验证网站的真实性，并确保 CAPTCHA 正常运行。

下面是获取密钥的步骤：

1. 访问 Google reCAPTCHA 网站

• 打开 Google reCAPTCHA 网站。
• 点击 Admin Console（需要用 Google 帐户登录）。

2. 注册新网站

• 在 reCAPTCHA 管理页面中，点击“域名”下的 +（加号），注册新网站。
• 选择想要使用的 reCAPTCHA 版本：
  • reCAPTCHA v2：经典的“我不是机器人”复选框。
  • reCAPTCHA v3：隐形 CAPTCHA，在后台运行，无需用户交互。
• 在“域名”字段中输入网站的域名，并选择适当的 CAPTCHA 版本。

3. 添加标签（可选）

• 如果管理着多个网站，可以添加一个简短的标签（不超过 50 个字符），方便快速识别。

4. 同意服务条款并提交

• 勾选同意服务条款，然后点击 提交。

5. 获取密钥

• 提交后，Google 会提供两组密钥：
  • 站点密钥（Site Key）：公钥，用于前端验证。
  • 密钥（Secret Key）：私钥，用于后端验证。

注意：一定要复制这两组密钥，因为在下一步中需要用到它们。

第三步：将 Google reCAPTCHA 密钥输入插件

获取了 API 密钥后，就可以将它们与你之前选择的 CAPTCHA 插件进行连接。

以下是具体操作步骤：

1. 进入插件设置

• 登录到网站 WordPress 仪表盘。
• 找到你安装的 CAPTCHA 插件的设置页面。

2. 输入密钥

• 在插件设置中，粘贴从 Google 获取的 站点密钥（Site Key） 和 密钥（Secret Key）。
• 别忘了选择适当的 CAPTCHA 版本（如 v2 或 v3）。
• 在本文中选择的是 v3，这是隐形 CAPTCHA，用户不会看到复选框。

3. 验证密钥

• 点击 验证 CAPTCHA（Verify Captcha） 按钮，然后点击 提交 CAPTCHA（Submit Captcha） 完成验证。

4. 保存设置

• 点击 保存更改（Save Changes） 按钮。

完成以上步骤后，插件将与 Google reCAPTCHA 集成，网站就可以免受机器人攻击。

第四步：选择需要使用 CAPTCHA 保护的区域

现在可以进行个性化设置了。

最后一步是确定在哪些网站区域启用 CAPTCHA。可以选择保护以下容易受到机器人攻击的区域：

• 登录页面
• 评论表单
• 联系表单

对于每个区域，只需在插件设置中开启相应的保护选项即可。这样就可以有效防止机器人对这些区域的攻击。

测试网站上的 WordPress CAPTCHA

设置完成后，需要测试 CAPTCHA 系统以确保一切正常工作。

测试的目的是确认 CAPTCHA 检查是否正确应用在所选的区域（如登录页面或评论区）。

测试步骤：

1. 访问启用 CAPTCHA 的页面

• 转到启用了 CAPTCHA 的页面进行测试。

2. 如果选择了 reCAPTCHA v2

• 检查页面上是否出现 “我不是机器人” 的复选框，并尝试勾选。

3. 如果选择了 reCAPTCHA v3

• 由于 v3 是隐形 CAPTCHA，没有复选框，但可以通过浏览网站，观察隐形 CAPTCHA 的行为来测试。

通过测试，可以确保 CAPTCHA 已正确保护网站并正常运行。

WordPress CAPTCHA 插件推荐

优秀的 WordPress CAPTCHA 插件可以轻松集成，并提供多种支持选项（如图片/音频验证、v2 和 v3）。选择插件时，还需确保其能够准确检测机器人，同时不会拖慢网站速度。

1. Advanced Google reCAPTCHA

来源：WordPress.org

Advanced Google reCAPTCHA 是一个灵活性强且自定义选项丰富的插件，适合希望轻松添加 Google reCAPTCHA 或其他 CAPTCHA 测试到 WordPress 网站的用户。

主要功能：

• 支持 reCAPTCHA v2（复选框）和 v3（隐形验证）。
• 可选择在多个区域启用 reCAPTCHA（如登录页面、评论表单等）。
• 提供高级自定义选项，控制 reCAPTCHA 出现的位置。
• 能够对已登录用户隐藏 reCAPTCHA。

评分：
在 WordPress.org 上，Advanced Google reCAPTCHA 有 414 条评论，评分为 4.9。

价格：
这是一个免费+高级（Freemium）插件。高级版本的起价为 49 美元/年。

2. reCaptcha by BestWebSoft

来源：WordPress.org

reCaptcha by BestWebSoft 是另一个易于使用的插件，可让你将 Google reCAPTCHA 添加到网站的多个区域。即使对技术不熟悉，也可以轻松安装和使用该插件，立即开始保护你的网站。

主要功能：

• 可选择为特定表单启用或禁用 reCAPTCHA。
• 能对已登录用户隐藏 reCAPTCHA，以提高访问流畅性。
• 支持通过插件设置页面添加自定义代码。
• 多语言支持，并兼容 RTL（从右到左的语言）。

评分：
在 WordPress.org 上，reCaptcha by BestWebSoft 有 388 条评论，评分为 4.0。

价格：
起价为 24 美元/年/域名。

3. Login No CAPTCHA reCAPTCHA

来源：WordPress.org

Login No CAPTCHA reCAPTCHA 是一个简单易用的插件，使用 Google reCAPTCHA 来保护你的登录页面免受暴力攻击。它的一个优点是不会拖慢你的网站速度。

主要功能：

• 为登录页面提供 reCAPTCHA 保护。
• 快速设置，配置要求极低。
• 兼容 reCAPTCHA v2（复选框验证）。
• 轻量化设计，不影响网站性能。

评分：
在 WordPress.org 上，Login No CAPTCHA reCAPTCHA 基于 61 条评论，评分为 4.5。

价格：
完全是免费的。

常见问题解答

问：如何在 WordPress 登录页面禁用 CAPTCHA？

答：要禁用 CAPTCHA，可以进入 WordPress 仪表板，打开 CAPTCHA 插件设置，并关闭登录保护功能。或者，可以停用或删除插件以完全移除 CAPTCHA。

问：Clean CAPTCHA 插件会与登录功能冲突吗？

答：通常情况下，Clean CAPTCHA 与登录表单是兼容的，但某些主题或插件可能会导致冲突。安装后进行测试可以帮助发现问题。

问：在网站添加 CAPTCHA 会影响用户体验吗？

答：是的，CAPTCHA 可能会对用户造成轻微的不便，尤其是在较难解决的情况下。使用如 Google reCAPTCHA 这样简单且用户友好的选项可以最大限度地减少这种影响。

问：CAPTCHA 是否会被绕过？

答：虽然 CAPTCHA 能有效阻止大多数机器人，但高级机器人或基于人工的攻击可能偶尔绕过验证。定期更新 CAPTCHA 插件并结合其他安全工具使用，可以加强保护效果。