如何使用CAPTCHA验证码将机器人和垃圾邮件发送者拒之门外

毫无疑问，WordPress的安全性很重要。毕竟，违规行为可能会对您的网站造成严重损害。但是，随着黑客使用机器人快速有效地攻击网站，您可能会觉得胜算很大。

幸运的是，您可以使用一个非常简单的工具来阻止机器人和垃圾邮件发送者进入您的WordPress网站。结合全自动图灵测试来区分计算机和人类 (CAPTCHA) 是一种提高网站安全性的简单、省力的方法。

本指南将向您介绍验证码以及它们如何在保护您的网站免受黑客和垃圾邮件侵害方面发挥作用。然后我们将引导您完成如何将它们添加到您的网站并介绍一些最好的WordPress CAPTCHA插件。

了解CAPTCHA验证码
什么是谷歌验证码？
如何将验证码添加到您的WordPress网站

了解CAPTCHA验证码

您可能已经在网上多次看到CAPTCHA。它们可以采用多种形式，其中最常见的一种是您必须破译的扭曲文本。其他要求您从一组低分辨率照片中选择符合特定规格的图像：

图像验证码示例

在所有情况下，所提出的挑战是大多数人应该能够轻松完成的挑战。然而，即使是今天的先进机器人也无法理解被扭曲的文字或图像碎片。当他们无法完成测试时，他们将被您的网站（或任何其他CAPTCHA保护的）阻止。

这很重要，因为机器人用于多种可能危及您网站的安全性和可信度的情况。蛮力攻击是最常见的黑客策略之一，它使用机器人在您的登录表单中反复输入凭据，直到他们获得对您网站的访问权限。

跨站点脚本 (XSS) 是另一种类型的网络攻击，其中黑客通过表单将恶意代码注入您的站点，例如您的登录页面或评论部分。这可能会导致恶意软件存储在您的网站上、信息被盗以及其他负面结果。

机器人还可以使用低质量链接向您的评论部分发送垃圾邮件，这些链接会损害您的搜索引擎优化 (SEO)并阻止合法用户。垃圾邮件很烦人，但更重要的是，它使您的网站看起来保护不足且监控不力。

您网站上用户可以输入信息的任何地方——换句话说，任何形式——都容易受到机器人的攻击。在提交表单之前要求验证码可防止非人类成功访问您的网站或将恶意代码注入其中。

什么是谷歌验证码？

虽然CAPTCHA清楚地为您的网站提供了各种好处和保护，但它们确实有一些缺点。例如，它们往往会对用户体验 (UX) 产生负面影响。通过减慢用户的速度，这些简单的测试会阻碍访问者顺利快速地在您的网站上实现他们的目标。

此外，有视力障碍或阅读障碍等其他挑战的用户可能会发现完成您的验证码很困难。无意中将人类用户排除在您的网站之外对您或他们都没有好处，即使它会在此过程中转移机器人。

2014年，谷歌发布了它的No CAPTCHA reCAPTCHA，这是它自2007年以来一直使用的扭曲文字和图像测试的继承者。新系统只需要用户选择“我不是机器人”旁边的复选框来确认他们的合法性：

WordPress登录页面上的Google reCAPTCHA复选框

这比更传统的CAPTCHA更容易和更快，并且可供更广泛的用户使用。更重要的是，谷歌一直在不断改进这项技术。2018年，它还发布了所谓的“隐形验证码”，无需用户进行任何故意操作即可检测机器人。

向您的WordPress网站添加验证码时，您将有机会选择要使用的测试类型。但是，请记住，实施Google reCAPTCHA v2或v3应该有助于使您的网站对用户来说更有趣和更容易访问。

如何将验证码添加到您的WordPress网站

当谈到WordPress安全性时，添加验证码是让机器人更难渗透到您的网站的最简单方法之一。幸运的是，合并一个也很容易。您只需三个简单的步骤即可进行设置。

第 1 步：安装和激活WordPress CAPTCHA插件

将验证码添加到WordPress网站的最简单方法是使用插件。WordPress插件目录中有许多高质量的选项，因此您不必为了提高网站的安全性而倾家荡产。

但是，在选择插件之前，需要考虑几个关键功能。

首先，您要考虑插件提供的CAPTCHA类型。正如我们上面所讨论的，谷歌reCAPTCHA比要求访问者点击图像或解码扭曲的文本更加用户友好。

此外，您需要确保您的插件可以将验证码添加到您网站的多个区域，而不仅仅是您的登录页面。我们将在第 3 步中更详细地探讨这个想法。现在，请记住，在您的网站上有表单的任何地方，您都可能希望使用CAPTCHA来阻止机器人。

让我们看一下满足上述条件的三个插件。BestWebSoft的Google Captcha (reCAPTCHA) 是最受欢迎的选项，有超过200,000次活动安装：

谷歌验证码插件

顾名思义，这个插件在您的登录和注册页面、密码重置和联系表格，甚至在您网站的评论和推荐提交中都包含 v2 或 v3 Google reCAPTCHA。除了提高安全性外，这还有助于防止垃圾邮件。

Advanced noCaptcha & Invisible Captcha也获得了很高的评价，并包括许多相同的功能：

高级noCaptcha插件

该插件还提供多站点兼容性，并与流行的会员工具（如bbPress 和BuddyPress ）集成。此外，如果需要，您可以将多个验证码添加到单个页面。

最后，您可能还需要考虑Login No CAPTCHA reCAPTCHA：

该插件包括简单的Google reCAPTCHA，可用于登录、注册和忘记密码表单。但是，它没有与您的评论部分或联系表格集成，这使得它比我们看过的其他两个插件更受限制。

第 2 步：创建您的Google reCAPTCHA并将其添加到您的网站

一旦您安装并激活了您的插件，您需要创建您的Google reCAPTCHA（假设您选择了一个使用它的插件）。前往Google reCAPTCHA管理控制台，并填写注册表：

reCAPTCHA注册页面

请注意，您可以在v2或v3 reCAPTCHA之间进行选择，并且可以使用复选框或不可见的测试。后者将提供最好的用户体验，因为它不需要用户采取任何行动。但是，v2复选框往往更可靠。

填写完所有字段后，单击Submit按钮。在下一个屏幕上，您将获得一个Site Key和一个Secret Key：

为新的Google reCAPTCHA获取站点和密钥

您需要在WordPress网站上将两者都输入到您的CAPTCHA插件设置中。此过程可能会略有不同，具体取决于您选择的插件。但是，您应该能够轻松地在仪表盘侧边栏中找到设置，并将您的密钥粘贴到相关字段中：

将Google reCAPTCHA密钥添加到Google Captcha插件设置

不要忘记保存您的更改。您可能还想为您的Google reCAPTCHA管理控制台页面添加书签并定期检查。在有足够数量的实时流量访问您的网站后，您将能够查看与表单提交请求相关的有价值的分析。

第 3 步：配置您的设置以保护关键区域

正如我们之前提到的，有几个区域非常适合整合您的验证码，以便为您的网站提供最大程度的保护。安装您选择的插件后，您可以配置设置以确保包含所有重要页面。

Google CAPTCHA和Advanced No Captcha都在其常规设置中包含一个复选框列表。在那里，您可以选择要使用reCAPTCHA的位置：

选择显示Google reCAPTCHA的位置

理想情况下，这将包括您网站上的任何表格，包括易受攻击的区域，例如：

WordPress管理员登录页面
WooCommerce登录页面
用户注册登记表
密码恢复表格
联系表

您的网站可能包含其他独特的形式，例如用户生成的内容提交、调查或电子邮件注册。在这种情况下，您可能需要使用Advanced noCaptcha和Invisible Captcha，因为该插件提供了用于以任何形式合并Google reCAPTCHA的操作钩子。

或者，您可以改为投资Google Captcha (reCAPTCHA) Pro 。它提供了与流行插件的额外集成，例如Jetpack、MailChimp for WordPress和几个表单构建器。

将验证码添加到您的登录页面

您的登录页面是暴力破解和跨站点脚本 (XSS) 攻击的主要目标。

要使用Google Captcha插件向其添加CAPTCHA，请导航至Google Captcha > Settings > General > Enable reCAPTCHA for inside WordPress，然后在WordPress Default下选择Login Form：

登录表单选项Google Captcha插件

您的登录页面现在应该受到保护。

在您的密码重置页面上加入验证码

当他们尝试登录您的站点失败时，黑客可能会被引导到用户可以重置其密码的页面。要添加验证码以保护此页面，请导航至Google Captcha > Settings > General > Enable reCAPTCHA for：

Google Captcha插件中的Rest密码表单选项

然后，从Reset password form中选择WordPress Default。

使用验证码保护您的WooCommerce登录页面

您的WooCommerce登录页面与您的核心WordPress页面一样容易受到恶意攻击。要使用Google Captcha保护它，您需要插件的premium version（下方黄色部分）。准备好后，在您的WordPress仪表盘前往Google Captcha > Settings > General > Enable reCAPTCHA for中：