Для защиты от ботов и автоматических атак BotBlocker поддерживает интеграцию reCAPTCHA v2 как одного из дополнительных способов проверки пользователя на важных страницах. Это помогает остановить даже сложные скрипты и автоматизацию.
Когда BotBlocker фиксирует подозрительное поведение посетителя — например, слишком частые запросы, переходы по необычным маршрутам или отсутствие стандартных браузерных заголовков — он автоматически предлагает пройти проверку через виджет. Реальный человек нажимает галочку и продолжает работу с сайтом без каких-либо задержек. Скрипт или бот, как правило, не может взаимодействовать с виджетом так, как это делает живой пользователь, и получает отказ.
Важно понимать, что сам сервис Google анализирует поведение посетителя ещё до нажатия на галочку: движение мыши, время на странице, историю браузера. Именно поэтому большинство реальных пользователей проходят проверку мгновенно, а боты застревают на ней или вовсе не могут её пройти. Подробнее о том, как Google оценивает риски, можно прочитать в официальной документации reCAPTCHA.
reCAPTCHA v2 предлагает два варианта работы. Checkbox — классический режим, при котором пользователь видит виджет с галочкой «Я не робот». Он подходит для форм входа и регистрации, где небольшое взаимодействие с элементом не вызывает раздражения. Invisible — скрытый режим, при котором проверка запускается в фоне при нажатии на кнопку отправки формы. Виджет не отображается на странице, если Google не считает сессию подозрительной. Этот вариант меньше мешает пользователям, но подходит не для всех сайтов: некоторые браузерные расширения могут блокировать его работу.
Для большинства сайтов на WordPress в связке с BotBlocker оптимальным выбором остаётся режим Checkbox: он понятен пользователям, хорошо совместим со всеми браузерами и не вызывает проблем с настройкой. Invisible стоит рассматривать, если вы хотите максимально убрать лишние элементы с форм и готовы дополнительно протестировать поведение капчи на своём сайте.
Site Key — это публичный ключ, который встраивается прямо в код страницы. Он нужен для того, чтобы виджет загружался в браузере пользователя. Его видит любой, кто просматривает исходный код страницы, и это нормально: сам по себе он не даёт никакого доступа.
Secret Key — это закрытый ключ, который хранится только на сервере. После того как пользователь прошёл проверку, сервер отправляет этот ключ вместе с токеном от Google, чтобы подтвердить результат. Его нельзя публиковать и передавать третьим лицам. Если Secret Key стал известен посторонним — немедленно сгенерируйте новую пару ключей в консоли Google.
Если ваш сайт работает на нескольких поддоменах, добавьте каждый из них в список доменов при регистрации в консоли Google. Без этого виджет может не загружаться на части страниц, и пользователи просто не смогут пройти проверку. Также стоит периодически заходить в консоль reCAPTCHA и смотреть статистику: там отображается количество запросов, доля подозрительных сессий и другие данные, которые помогают понять, насколько активно ваш сайт атакуют боты.
Если вы замечаете, что реальные пользователи жалуются на трудности с прохождением проверки, проверьте настройки BotBlocker: возможно, порог срабатывания выставлен слишком низко и виджет показывается даже добросовестным посетителям. В таком случае скорректируйте чувствительность фильтров или ограничьте показ капчи только конкретными страницами.
Виджет корректно отображается на смартфонах и планшетах. Пользователю достаточно нажать на галочку пальцем. Если Google решит показать дополнительное задание с картинками, оно тоже адаптировано под небольшие экраны. Это важно, потому что значительная часть трафика сегодня приходит именно с мобильных устройств, и неудобная проверка может привести к потере реальных клиентов. По данным официального FAQ Google reCAPTCHA, сервис оптимизирован для работы во всех современных браузерах, включая мобильные.
Нужно ли платить за reCAPTCHA v2?
Нет, стандартный сервис бесплатен для большинства сайтов. Google предоставляет reCAPTCHA v2 без оплаты при стандартном объёме запросов. Платные планы существуют только для очень крупных проектов с огромным трафиком, для обычного сайта на WordPress они не нужны.
Может ли она блокировать реальных пользователей?
Редко. Капча максимально «дружелюбна», но желательно предусмотреть запасной вариант.
Могу ли я использовать reCAPTCHA v3?
BotBlocker поддерживает и v3 — выберите подходящую под ваш сценарий.
Что делать, если виджет не загружается?
Убедитесь, что домен сайта точно совпадает с тем, который вы указали при регистрации ключей. Также проверьте, не блокирует ли ваш сервер запросы к серверам Google. Если сайт работает через CDN или прокси, убедитесь, что запросы к www.google.com/recaptcha проходят без ограничений.
Можно ли использовать одни ключи для нескольких сайтов?
Нет. Ключи привязаны к конкретному домену. Для каждого сайта нужно регистрировать отдельную пару ключей в консоли Google. Использование чужих или универсальных ключей приведёт к ошибке при проверке.
