Google reCAPTCHA平替：使用Cloudflare Turnstile保護您的WordPress網站

多年來，谷歌的 reCAPTCHA 一直是保護網站免受垃圾郵件和機器人攻擊的首選解決方案。然而，由於谷歌最近決定開始對使用 reCAPTCHA 收費，許多網站所有者和開發人員都在尋找免費、隱私友好的替代方案。

幸運的是，我們有一個不錯的選擇： Cloudflare Turnstile 是一種免費且使用者友好的驗證碼替代方案，可在不影響使用者體驗的情況下增強安全性。在本篇文章中，我們將探討 Cloudflare Turnstile 是什麼，為什麼它是 reCAPTCHA 的最佳替代品，以及如何在 WordPress 網站上輕鬆實現它。

為什麼要尋找Google reCAPTCHA平替？

雖然 Google reCAPTCHA 可以有效阻止自動垃圾郵件和濫用行為，但其新的定價模式卻讓許多小企業、博主和網站所有者望而卻步。以下是替代方案的原因：

• 成本：谷歌對 reCAPTCHA 收費後，流量大的網站可能會面臨意想不到的開支。
• 隱私問題：谷歌的 reCAPTCHA 會收集使用者資料，並與谷歌的服務互動，這就會引發隱私問題。
• 使用者體驗：許多使用者認為再驗證碼令人沮喪，尤其是在處理基於影象的挑戰時。

什麼是Cloudflare Turnstile？

Turnstile 是由 Cloudflare 於 2022 年釋出了新的驗證碼替代工具。Turnstile 旨在解決傳統驗證碼的已知問題，即糟糕的客戶體驗和隱私問題/與谷歌（主要驗證碼提供商）的利益衝突。

Turnstile 可根據客戶行為和遙測資料，從一套瀏覽器挑戰中進行選擇，從而檢查殭屍行為。它可以利用私人訪問令牌（PAT），分析一些會話資料，執行一小套 JavaScript（JS）挑戰來收集更多訊號，並利用 JS 挑戰的輸出來改變挑戰難度。

從本質上講，它是一種獨立的 “非驗證碼” 驗證碼，可在後臺執行，就像 reCAPTCHA v3 一樣。（不幸的是，僅僅依靠驗證碼挑戰來確保安全性會帶來一些新的挑戰，因為機器人不斷變得越來越複雜，足以輕鬆繞過基於行為的驗證碼工具）。

Cloudflare Turnstile 是一款免費且隱私友好的驗證碼替代工具，無需互動即可驗證訪客。與 reCAPTCHA 不同的是，Turnstile 不會在網路上跟蹤使用者，也不需要解決謎題。

Cloudflare Turnstile 的主要優勢：

• 完全免費：無論網站流量大小，均不收取任何隱藏費用。
• 不依賴谷歌：獨立於 Google 服務執行。
• 隱私友好： 不跟蹤或收集不必要的使用者資料。
• 無縫的使用者體驗： 自動檢測機器人，不會讓人類訪問者感到沮喪。
• 易於整合： 可與 WordPress 表單、登入頁面、WooCommerce 等配合使用。

以下是支援的表單列表：

WordPress：

• 登入表單
• 登錄檔單
• 密碼重置表單
• 評論表單

WooCommerce：

• 結賬
• 訂單付款
• 登入表單
• 登錄檔單
• 密碼重置表單

表單外掛：

• WPForms
• Fluent Forms
• Contact Form 7
• Gravity Forms
• Formidable Forms
• Forminator Forms
• Jetpack Forms

其他整合：

• Elementor Pro 表單
• Easy Digital Downloads 表單
• Paid Memberships Pro 表單
• Mailchimp for WordPress 表單
• BuddyPress 登錄檔單
• bbPress Create Topic & Reply 表單
• MemberPress 表單
• Ultimate Member 表單
• WP-Members 表單
• WP User Frontend 表單
• wpDiscuz Comments 表單
• CheckoutWC & Flux Checkout

該外掛還相容 WordPress Multisite 和大多數雙因素身份驗證 (2FA) 外掛。

Cloudflare Turnstile是如何工作的？

Turnstile 根據客戶端行為和遙測資料，從一系列瀏覽器挑戰中選擇殭屍行為進行檢查。首先，它會執行一系列小型非互動式 JavaScript 挑戰，收集有關訪問者/瀏覽器環境的更多訊號。這些挑戰包括工作量證明、空間證明、網路應用程式介面探測以及其他各種用於檢測瀏覽器怪異性和人類行為的挑戰。因此，我們可以根據具體請求微調挑戰難度，避免向使用者展示視覺謎題。

根據網站上旋轉門的設定，我們主要有兩種不同的行為：

• 如果第一次測試結果不一，Cloudflare 仍有疑問，建議安裝基本上會顯示一個要求使用者點選的框。

• 還有一種完全非互動式的安裝方式，在這種安裝方式中，你只會得到一個顯示測試結果的盒子。

• 最後但並非最不重要的是完全隱形安裝，需要幾秒鐘才能完成所有測試，並最終將您鎖定在網站之外。

在 Harrods.com 網站上可以找到一些旋轉門的實際應用案例。使用搜刮器訪問時，你會看到一個特定的頁面（我想這就是所謂的等候室），直到轉門完成對你的搜刮器的所有檢查，並最終要求你的搜刮器點選方框以證明 “he’s human”。

通過所有檢查後，您的搜刮器將被重定向到主頁。相反，如果你以真實使用者的身份瀏覽網站，應該不會看到這個頁面：這個網站可能使用的是預設的旋轉門配置。

如何在WordPress上設定Cloudflare Turnstile

使用 Simple Cloudflare Turnstile 外掛將 Cloudflare Turnstile 新增到您的 WordPress 網站非常簡單。請按照以下步驟開始操作：

1. 安裝Simple Cloudflare Turnstile外掛

登入 WordPress 控制面板，轉到外掛>安裝新外掛。

搜尋 Simple Cloudflare Turnstile，單擊立即安裝。

安裝完成後，單擊啟用繼續。

2. 獲取Cloudflare API金鑰

訪問 Cloudflare Turnstile 控制面板，如果您沒有 Cloudflare 賬戶，需要建立一個免費賬戶。

在左側導航中，單擊 Turnstile。

然後點選 Add widget。

在 Widget name 框中輸入您喜歡的標籤來標識此小工具。這樣您就可以設定您希望該旋轉柵欄工作的具體方式。

然後在“Hostname Management”中單擊 + Add Hostnames，分配一個或多個您希望使用此 widget 的域。確保新增的域名為“[DOMAIN].[TOP-LEVEL DOMAIN]”，開頭不帶“www”。

例如

• “domain.com”
• “mysite.me”
• “example.co”

然後，您可以從三種 Widget Modes 中進行選擇。這將決定 Turnstile 的行為方式：

• Managed：CloudFlare 將決定訪問者是否必須完成某種“挑戰”才能清除驗證碼。
• Non-interactive：在掃描和授權使用者時顯示進度條。
• Invisible：將掃描並授權使用者，但不顯示進度條。

填寫完選項後，單擊 Create。

Cloudflare 將顯示您的“Site Key”和“Secret Key”。

保持開啟此選項卡。下一步，您將進入 WordPress 複製並貼上這兩個金鑰。

3. 在WordPress中配置外掛

在 WordPress 管理面板中進入設定 > Cloudflare Turnstile。

輸入 Cloudflare 提供的“Site Key”和“Secret Key”。

貼上金鑰後，您會收到一條通知，要求您“test”設定。幾秒鐘後，系統會告訴你設定是否正確。

向下滾動並選擇要啟用 Turnstile 的表單（例如登入頁面、評論、WooCommerce 結賬）。

儲存更改並在網站上測試驗證碼！

Cloudflare Turnstile替代方案

正如文章開頭提到的，Turnstile 的出現是為了取代 Google Captchas，試圖在殭屍檢測行業搶佔一些市場份額。

與 Turnstile 更為相似的谷歌解決方案是 reCAPTCHA v3，它在後臺執行檢查，無需與使用者進行任何互動。

挑戰會向網站所有者返回一個分數，網站所有者可以根據分數在網站上採取不同的行動，如顯示不同的頁面或禁用評論。

hCaptcha 是另一種著名的殭屍檢測解決方案，它與前面提到的其他兩種解決方案有所不同。

Turnstile 和 reCAPTCHA V3 都是通過後臺挑戰直接檢測殭屍，不需要任何使用者互動，而 hCaptcha 還整合了傳統的使用者工作證明。

直接檢測和工作量證明這兩種方法各有利弊。直接檢測不會破壞網站的使用者體驗，而工作證明仍然是限制 DDOS 攻擊的最可靠方法。

小結

隨著 Google reCAPTCHA 轉向付費模式，現在是轉而使用 Cloudflare Turnstile 這樣的免費隱私友好型替代品的最佳時機。

它易於設定，能改善使用者體驗，並有助於保證WordPress網站的安全，而且無需額外費用。

準備好了嗎？下載簡單的Cloudflare Turnstile外掛，立即開始保護您的網站！