BotBlocker поддерживает современную интеграцию с reCAPTCHA v3, позволяя защищать важные страницы от ботов и автоматизации полностью незаметно для реальных пользователей. Вот как это работает и как подключить защиту за пару минут.
Оценка риска — это число от 0.0 до 1.0, которое Google присваивает каждому посетителю. Чем ближе значение к 1.0, тем больше вероятность, что перед вами реальный человек. Чем ближе к 0.0 — тем выше подозрение на бота или автоматизированный скрипт. Именно это число BotBlocker использует для принятия решений.
Например, если посетитель зашёл на страницу напрямую, быстро заполнил форму без единого движения мышью и нажал отправить — оценка, скорее всего, будет низкой. Обычный пользователь ведёт себя иначе: он скроллит, перемещает курсор, делает паузы. Именно такие поведенческие признаки анализирует reCAPTCHA v3 в фоновом режиме.
Подробнее о том, как Google формирует эти оценки, можно прочитать в официальной документации reCAPTCHA v3.
reCAPTCHA v3 принципиально отличается от v2 тем, что не прерывает пользователя. В версии v2 посетитель должен был нажать на галочку или выбрать изображения с пешеходами и светофорами. Это создавало лишний барьер, особенно на мобильных устройствах. Версия v3 убирает этот шаг полностью. Проверка происходит в фоне, а сайт получает числовую оценку, по которой уже принимает решение самостоятельно.
Именно поэтому интеграция через BotBlocker особенно удобна: плагин берёт на себя логику принятия решений, и вам не нужно вручную писать код обработки ответа от Google. Подробно о различиях версий можно почитать в сравнительной документации Google.
Не каждая страница сайта нуждается в усиленной защите. Имеет смысл подключать проверку там, где злоумышленники чаще всего пытаются навредить: страница входа в личный кабинет, форма регистрации нового аккаунта, оформление заказа в интернет-магазине, форма обратной связи и форма подписки на рассылку.
На обычных информационных страницах — статьях, каталоге, главной — включать проверку необязательно. Это лишь добавит нагрузку без реальной пользы. BotBlocker позволяет гибко выбирать, какие именно URL или типы страниц будут защищены.
Порог — это минимальная оценка, при которой BotBlocker считает посетителя допустимым. Если оценка ниже порога, сессия блокируется или отправляется на дополнительную проверку.
Слишком низкий порог (например, 0.2) означает, что большинство ботов пройдут беспрепятственно. Слишком высокий (например, 0.9) может привести к ложным срабатываниям, когда реальные пользователи с нестандартным поведением получат отказ. Поэтому значение 0.5-0.7 считается рабочим стандартом для большинства сайтов.
Если вы видите в логах BotBlocker, что большое количество реальных пользователей получают низкие оценки — попробуйте снизить порог до 0.4 и понаблюдайте за результатом несколько дней. Настройка порога — это итерационный процесс, и BotBlocker даёт для этого все необходимые данные.
После того как вы сохранили ключи и выбрали порог, рекомендуется сразу проверить, что всё работает как надо. Зайдите на защищённую страницу в браузере в режиме инкогнито и заполните форму как обычный пользователь. Затем откройте раздел логов в BotBlocker и убедитесь, что запись о проверке появилась и оценка соответствует ожидаемому диапазону.
Если оценка не отображается — проверьте, правильно ли вставлен Secret Key. Именно он используется для серверной валидации ответа от Google. Ошибка в одном символе ключа приведёт к тому, что проверка будет завершаться неудачно без видимых ошибок на фронтенде.
Ключи reCAPTCHA привязываются к конкретному домену. Если вы перенесли сайт на новый адрес или сменили домен — старые ключи перестанут работать корректно. В таком случае нужно зайти в Google reCAPTCHA Admin Console, создать новый проект с актуальным доменом и заменить ключи в настройках BotBlocker. Это занимает несколько минут, зато защита продолжит работать без сбоев.
Также рекомендуется проверять актуальность ключей после крупных обновлений плагина или миграции базы данных WordPress. Некоторые операции могут сбросить настройки интеграции.
reCAPTCHA v3 бесплатна?
Да, Google предоставляет сервис бесплатно для большинства задач.
Будут ли пользователи видеть капчу?
Нет, v3 работает незаметно — никакой галочки и головоломок.
Как понять, что всё работает?
В логах BotBlocker отображаются оценки reCAPTCHA по каждому событию — вы увидите, кто и когда проходил проверку.
Можно ли использовать несколько доменов с одним набором ключей?
Нет. Каждый домен требует отдельной регистрации в консоли Google и своего набора ключей. Использование одного ключа для разных доменов приведёт к ошибкам проверки.
Влияет ли защита на скорость загрузки страниц?
Минимально. Скрипт reCAPTCHA загружается асинхронно и не блокирует отображение страницы. Для большинства сайтов разница в скорости незаметна. Подробнее о влиянии сторонних скриптов на производительность можно узнать на web.dev.
