Captcha
หยุดบอท ปกป้องรายได้ ไม่ต้องตั้งค่าให้ยุ่งยาก
กำลังรันเครือข่าย Multisite ที่ใช้โดเมนแบบกำหนดเองอยู่ใช่ไหม? คุณคงรู้ถึงความปวดหัว: Google reCAPTCHA และ hCaptcha บังคับให้คุณต้องลงทะเบียน ทุกโดเมน ในคอนโซลผู้ดูแลระบบของพวกเขา แค่เพิ่มไซต์ลูกค้าใหม่? ก็ต้องอัปเดตการตั้งค่า Captcha แมปโดเมนแบบกำหนดเอง? ต้องอัปเดตอีกครั้ง มันไม่มีวันจบสิ้น
Ultimate Multisite: Captcha เปลี่ยนทุกอย่าง
Cap Captcha: การป้องกันแบบโฮสต์เองที่ใช้งานได้จริง
ผู้ให้บริการ Cap Captcha ตัวใหม่ของเราเป็นตัวเปลี่ยนเกมสำหรับเครือข่าย Multisite:
- ไม่ต้องตั้งค่าอะไรเลย — แค่เปิดใช้งาน Addon คุณก็ได้รับการป้องกันแล้ว ไม่ต้องใช้คีย์ API ไม่ต้องมีบัญชี Google ไม่ต้องมีแดชบอร์ด hCaptcha และไม่ต้องทำ Whitelisting โดเมน
- ใช้งานได้ทุกโดเมนโดยอัตโนมัติ — ไม่ว่าจะเป็น Subdomains, Mapped domains, หรือโดเมนของลูกค้า—ทั้งหมดได้รับการป้องกันทันที
- โฮสต์เองและเป็นส่วนตัว — ข้อมูลของคุณจะไม่หลุดออกจากเซิร์ฟเวอร์ของคุณเลย ปฏิบัติตาม GDPR อย่างสมบูรณ์โดยไม่มีการติดตามจากบุคคลที่สาม
- Proof-of-Work แบบมองไม่เห็น — ผู้ใช้จะแก้ปริศนาก��ารคำนวณในพื้นหลัง ไม่ต้องมาคลิกที่หัวดับเพลิง ไม่ต้องเจอภาพปริศนาที่น่าหงุดหงิด
- น้ำหนักเบา — แค่ 20KB ไม่ทำให้หน้า Checkout ของคุณช้าลง
การป้องกันการทดสอบบัตรด้วย WooCommerce
การโจมตีแบบทดสอบบัตรทำให้ร้านค้าสูญเสียเงินหลายพันล้านดอลลาร์ต่อปี แฮกเกอร์ใช้บอทเพื่อตรวจสอบบัตรเครดิตที่ถูกขโมยกับหน้า Checkout ของ WooCommerce ของคุณ—คุณต้องจ่ายค่าธรรมเนียมการประมวลผล แต่พวกเขาได้หมายเลขบัตรที่ใช้งานได้
เราปกป้องในจุดที่สำคัญที่สุด:
- Store API Protection — บล็อกการโจมตีของบอทที่
/wp-json/wc/store/v1/checkoutซึ่งสามารถหลบเลี่ยง Captcha แบบฟอร์มทั่วไปได�้ - รองรับ PayPal Payments — ทำงานร่วมกับ WooCommerce PayPal Payments ได้อย่างราบรื่น
- สถิติแบบเรียลไทม์ — ดูได้เลยว่าคุณกำลังบล็อกการโจมตีไปกี่ครั้ง
ยังต้องการ Google reCAPTCHA หรือ hCaptcha อยู่ไหม?
เรามีให้คุณแล้ว รองรับอย่างเต็มที่สำหรับ:
- Google reCAPTCHA v2 (Checkbox)
- Google reCAPTCHA v2 (Invisible)
- Google reCAPTCHA v3 (Score-based)
- hCaptcha (Standard)
- hCaptcha (Invisible)
สลับระหว่างผู้ให้บริการได้ทุกเมื่อจากหน้าการตั้งค่าเครือข่ายของคุณ
สร้างมาเพื่อรองรับการขยายตัว
- การตั้งค่าระดับเครือข่ายพร้อมการตั้งค่าเฉพาะไซต์
- แดชบอร์ดสถิติเพื่อตรวจสอบการป้องกัน
- ระดับความปลอดภัยที่ปรับได้ (เร็ว, ปานกลาง, สูงสุด)
- เป็นมิตรกับนักพัฒนาด้วยสถาปัตยกรรมผู้ให้บริการที่ขยายได้
การติดตั้ง
- อัปโหลด
ultimate-multisite-captchaไปยังไดเรกทอรี/wp-content/plugins/ของคุณ - เปิดใช้งานปลั๊กอินในระดับเครือข่าย
- แค่นี้ก็พอ คุณได้รับการป้องกันแล้ว
Cap Captcha จะเปิดใช้งานโดยอัตโนมัติ—ไม่ต้องตั้งค่าอะไร ไม่ต้องใส่คีย์ API ทุก Endpoint ที่รองรับทั่วทั้งเครือข่ายของคุณจะได้รับการป้องกันทันทีที่คุณเปิดใช้งาน
ทางเลือก: หากต้อ��งการใช้ Google reCAPTCHA หรือ hCaptcha แทน ให้ไปที่ Ultimate Multisite → Settings → Captcha และเลือกผู้ให้บริการที่คุณต้องการ
คำถามที่พบบ่อย
ฉันต้องตั้งค่าอะไรไหม?
ไม่! Cap Captcha จะเปิดใช้งานโดยอัตโนมัติเมื่อคุณเปิดใช้งาน Addon ของคุณ ทั้งเครือข่ายของคุณจะได้รับการป้องกันทันที—ไม่ต้องตั้งค่าอะไร ไม่ต้องใส่คีย์ API
ฉันต้องใช้คีย์ API สำหรับ Cap Captcha ไหม?
ไม่ Cap Captcha เป็นแบบโฮสต์เองทั้งหมด ไม่มีบัญชีภายนอก ไม่ต้องลงทะเบียนโดเมน ไม่ต้องปวดหัวกับการตั้งค่า
สิ่งนี้จะทำให้หน้า Checkout ของฉันช้าลงไหม?
Cap Captcha มีขนาดเพียง 20KB และทำงานแบบ Proof-of-Work ในพื้นหลัง ลูกค้าของคุณจะไม่รู้สึกถึงความล่าช้าใดๆ
สิ่งนี้ป้องกันการโจมตีแบบทดสอบบัตรได้ไหม?
ได้! ต่างจาก Captcha แบบดั้งเดิมที่ป้องกันแค่ฟอร์ม HTML เท่านั้น การผสานรวม WooCommerce ของเราจะเชื่อมต่อโดยตรงกับ Store API เพื่อบล็อกการโจมตีของบอทในระดับ API—ซึ่งเป็นจุดที่การโจมตีแบบทดสอบบัตรส่วนใหญ่เกิดขึ้น
ฉันสามารถใช้ผู้ให้บริการ Captcha ที่แตกต่างกันในไซต์ที่แตกต่างกันได้ไหม?
ผู้ให้บริการ Captcha จะถูกตั้งค่าในระดับเครือข่าย แต่คุณสามารถปรับระดับความยากตามความต้องการของคุณได้
สิ่งนี้ปฏิบัติตาม GDPR หรือไม่?
Cap Captcha โฮสต์เอง 100% โดยไม่มีการส่งข้อมูลไปยังบริการภายนอก สำหรับ Google reCAPTCHA และ hCaptcha โปรดตรวจสอบนโยบายความเป็นส่วนตัวของแต่ละบริการ
Rate Limiting
Ultimate Multisite: Captcha v1.5.0 ได้เพิ่ม Rate Limiter แบบหยุดทันที ซึ่งช่วยป้องกันเครือข่ายของคุณจากการโจมตีแบบ Brute-force และการทดสอบบัตร
วิธีการทำงาน
Rate Limiter จะนับทุกคำขอ GET และ POST บนพื้นที่ที่ได้รับการป้องกัน Captcha:
- Endpoint การเข้าสู่ระบบ WordPress — wp-login, register, lost-password, comments
- WooCommerce checkout — my-account, checkout, pay-for-order
- Ultimate Multisite — checkout, inline-login
เมื่อผู้เยี่ยมชมเกินขีดจำกัดอัตรา (rate limit) ปลั๊กอินจะตอบกลับด้วย:
- สถานะโค้ด HTTP 429 (Too Many Requests)
- Header Retry-After ที่ระบุเวลาที่ควรลองใหม่
- Randomised tarpit sleep (ค่าเริ่มต้น 1–5 วินาที จำกัดสูงสุดที่ 15 วินาที) เพื่อชะลอผู้โจมตี
การตั้งค่า
Tarpit Timing
ควบคุมความล่าช้าแบบสุ่มที่ใช้กับคำขอที่ถูกจำกัดอัตรา:
cap_rate_limit_tarpit_min— ระยะเวลาการนอนหลับขั้นต่ำเป็นวินาที (ค่าเริ่มต้น: 1)cap_rate_limit_tarpit_max— ระยะเวลาการนอนหลับสูงสุดเป็นวินาที (ค่าเริ่มต้น: 5, จำกัดสูงสุดที่ 15)
การตั้งค่าเหล่านี้สามารถหาได้ที่ Ultimate Multisite → Settings → Captcha
ความสามารถในการขยาย
IP Whitelist Filter
ยกเว้นช่วง IP ที่เชื่อถือได้จากการจำกัดอัตรา:
add_filter( 'wu_cap_rate_limit_whitelist_ip', function( $is_whitelisted, $ip ) {
// Whitelist your monitoring service
if ( $ip === '203.0.113.42' ) {
return true;
}
return $is_whitelisted;
}, 10, 2 );
Pre-Block Action
เรียกใช้ตรรกะที่กำหนดเองทันทีก่อนที่จะมีการบล็อกเนื่องจากจำกัดอัตรา:
add_action( 'wu_cap_rate_limit_will_block', function( $ip, $surface ) {
// Log the block, notify admins, or update custom metrics
error_log( "Rate limit triggered for $ip on $surface" );
}, 10, 2 );
การตรวจจับ IP ของไคลเอนต์และพร็อกซีที่เชื่อถือได้
Ultimate Multisite: Captcha v1.5.0 ได้เพิ่มการตรวจจับ client-IP ที่ต้านทานการปลอมแปลง (spoof-resistant) เมธอด Captcha_Core::get_client_ip() เป็นแหล่งข้อมูลความจริงเดียวสำหรับการระบุ IP ของผู้เยี่ยมชมทั่วทั้ง:
- คีย์ถังจำกัดอัตรา (Rate-limit bucket keys)
remoteipของผู้ให้บริการ Captcha (reCAPTCHA, hCaptchasiteverify)- แฮช IP สถิติ
โมเดลความเชื่อถือ (Trust Model)
ปลั๊กอินบังคับใช้ลำดับชั้นความเชื่อถือของ IP ที่เข้มงวด:
- REMOTE_ADDR — เชื่อถือได้เสมอ (IP ของเพื่อนที่อยู่ติดกัน)
- CF-Connecting-IP — เชื่อถือได้เฉพาะเมื่อ:
- เพื่อนที่อยู่ติดกันอยู่ในช่วง IP ของ Cloudflare ปัจจุบัน
cap_trust_cloudflare_headersถูกเปิดใช้งาน (ค่าเริ่มต้น: ปิด)
- X-Forwarded-For — เชื่อถือได้เฉพาะเมื่อ:
- เพื่อนที่อยู่ติดกันอยู่ในรายการ trusted-proxy ที่คุณตั้งค่าไว้ในแอดมิน
- Header ถูกแยกวิเคราะห์จากขวาไปซ้าย โดยข้าม hop ที่เชื่อถือได้/Cloudflare
การตั้งค่า
Cloudflare Header Trust
เปิดใช้งานความเชื่อถือของ header CF-Connecting-IP ของ Cloudflare:
cap_trust_cloudflare_headers— ตั้งค่าเป็น ON เพื่อเปิดใช้งานความเชื่อถือCF-Connecting-IP- ค่าเริ่มต้น: OFF (ปิด)
- ปลั๊กอินมาพร้อมกับภาพรวม Cloudflare CIDR ที่รวมไว้
- ช่วง CIDR จะถูกรีเฟรชทุกสัปดาห์ผ่าน wp-cron
- จะใช้ค่าสำรองที่รวมไว้หากการรีเฟรชล้มเหลว
Trusted Proxy Configuration
กำหนดพร็อกซีและโหลดบาลานเซอร์ส่วนหน้าของคุณ:
cap_trusted_proxies— ช่องข้อความสำหรับ CIDR หรือ IP ธรรมดา (บรรทัดละรายการ)- อนุญาตให้ใส่คอมเมนต์ได้ (บรรทัดที่ขึ้นต้นด้วย
#) - หากไม่มีการตั้งค่านี้
X-Forwarded-Forจะถูกเพิกเฉยแม้ว่า Rate Limiter จะเปิดใช้งานอยู่ก็ตาม - ตัวอย่าง:
# Our load balancer
192.0.2.0/24
# Backup proxy
198.51.100.50
- อนุญาตให้ใส่คอมเมนต์ได้ (บรรทัดที่ขึ้นต้นด้วย
การตรวจจับอัตโนมัติเมื่อเปิดใช้งานครั้งแรก
เมื่อคุณเปิดใช้งาน Rate Limiter ครั้งแรก ปลั๊กอินจะตรวจจับสถานะ Cloudflare และพร็อกซีของคุณที่น่าจะเป็นไปได้ และแสดงประกาศในแอดมินที่คลิกได้เพื่อ "Apply detected settings"
- ปลั๊กอิน จะไม่เขียนทับ ค่าที่คุณบันทึกไว้
- หากการรับส่งข้อมูลในภายหลังบ่งชี้ว่าการตั้งค่าของคุณไม่ตรงกับความเป็นจริงอีกต่อไป (เช่น Cloudflare เปลี่ยนช่วง CIDR) จะมีประกาศความไม่ตรงกันที่ไม่สามารถปิดได้เพื่อแนะนำการอัปเดต
ทำไมสิ่งนี้ถึงสำคัญ
โมเดลความเชื่อถือ IP ที่เข้มงวดจะปิดช่องโหว่การปลอมแปลงที่สำคัญ: คำขอจาก origin-server โดยตรงที่บรรจุ header CF-Connecting-IP ที่ถูกปลอมแปลงก่อนหน้านี้จะถูกจัดกลุ่มด้วย IP ที่ถูกปลอมแปลงแทนที่จะเป็นเพื่อนที่อยู่จริง ซึ่งสิ่งนี้สำคัญอย่างยิ่งสำหรับ:
- Rate limiting — ผู้โจมตีไม่สามารถข้ามขีดจำกัดได้ด้วยการปลอม IP
- Statistics — เมตริกการโจมตีของคุณสะท้อน IP ของผู้เยี่ยมชมจริง ไม่ใช่ IP ที่ถูกปลอมแปลง
- Captcha verification — ผู้ให้บริการจะได้รับ IP ของผู้เยี่ยมชมที่ถูกต้องสำหรับการประเมินความเสี่ยง