Captcha
Пастайце ботаў. Захавайце даход. Без канфігурацыйных цяжкасцей.
Вы ўжываеце сетку з многімі сайтамі (multisite) і карыстальніцкімі домейнамі? Вы ведаеце гэтую боль: Google reCAPTCHA і hCaptcha патрабуюць, каб вы зарэгістравалі кажны адзін домен у іх адмінскай кансолі. Дадалі новую спаслужыўвацькю аддзел? Абнавіць канфігурацыю captcha. Карыстальніцкі домен? Абнавіць зноў. Гэта ніколі не канчаецца.
Ultimate Multisite: Captcha ўсё змяняе.
Cap Captcha: Захаванне, хаставанне на ўласным серверы, што проста працуе
Наш новы провайдар Cap Captcha — гэта пераломны момант для сеткавых аддзелаў:
- Нуль канфігурацыі — Актывуйце аддон, і вы захавалены. Не патрэбны API ключы, не Google акаўнт, не hCaptcha дашборд, не белізванне доменаў.
- Працуе на кожным доменвым аддзеле аўтаматычна — Субдомены, мапіраваныя домены, карыстальніцкія домены — усё захавана адразу.
- Хаставанне на ўласным серверы і прыватнае — Вашыя дадзеныя ніколі не пакідаюць ваш сервер. Поўная адпаведнасць GDPR без тракінгу ад трэціх бакоў.
- Небасейны доказ працы — Карыстальнікі выконваюць вылічковы праблему ў фону. Нікага патрабаванага клікання ў пожарны кран, ні раздражняльных сітак малюнкаў.
- Легкага вагі — Тоншы за 20KB. Не спаволіць ваш карыстальніцкі аддзел.
Захаванне ад атакаў тэставання картак WooCommerce
Атакі тэставання картак коштуюць гандлявалякам мільярды кожны год. Машеннікі выкарыстоўваюць ботаў, каб праверыць скрадзеныя карты ў карыстальніцкім аддзеле WooCommerce — вы плаціце за комісія, а яны атрымліваюць правільныя номеры картак.
Мы захаваняем там, дзе гэта найбольш важна:
- Захаванне API аддзела — Блокуе атакі ботаў на
/wp-json/wc/store/v1/checkout, якія мінуюць традыцыйныя captcha ў фармах. - Сумяшчальнасць з PayPal Payments — Працуе беспазбедна з WooCommerce PayPal Payments.
- Статыстыка ў рэальным часе — Бачыце, колькі атак вы блокуеце.
Яшчэ патрэбны Google reCAPTCHA або hCaptcha?
Мы вас захавалі. Поўная падтрымка для:
- Google reCAPTCHA v2 (Checkbox)
- Google reCAPTCHA v2 (Invisible)
- Google reCAPTCHA v3 (Score-based)
- hCaptcha (Standard)
- hCaptcha (Invisible)
Паўная змена провайдэра ў любы час з настройкаў вашай сеткі.
Скатавана для маштаба
- Настройки для ўсяй сеткі з магчымасцю перавышэння на аддзел
- Дашборд статыстыкі для маніторынгу захавання
- Рэгуляваныя ўзроўні бяспекі (Быстрэдны, Сярэдні, Максімум)
- Падтрымка для праграмістаў з магчымасцю пашырнення провайдэра
Устаноўка
- Загрузіце
ultimate-multisite-captchaу каталог/wp-content/plugins/ - Актывуйце плъгін на сетцы
- Гоць. Вы захавалены.
Cap Captcha актывуецца аўтаматычна — не патрэбна канфігураваць налады, не патрэбны ўвод API ключаў. Кожны падтрымлівальны эндпанкт па ўсей вашай сетцы захававаны ў момант вашай актывацыі.
Па жаданні: Каб выкарыстоўваць Google reCAPTCHA або hCaptcha, перайдзіце ў Ultimate Multisite → Settings → Captcha і выберыце пераважны провайдэра.
Часта задаваныя пытанні
Ці патрэбна мне канфігураваць што-гась?
Нялішта! Cap Captcha актывуецца аўтаматычна, калі вы актывуеце аддон. Уся ваша сетка неадкладна захавана — не патрэбна канфігураваць налады, не патрэбны ўвод API ключаў.
Ці патрэбны мне API ключы для Cap Captcha?
Нялішта. Cap Captcha цалкам хаставаецца на ўласным серверы. Не патрабуе знешніх акаўнтаў, не патрабуе рэгістрацыі доменаў, не патрабуе канфігурацыйных галаўапмен.
Ці гэта спаволіць мой карыстальніцкі аддзел?
Cap Captcha складае толькі 20KB і праходзіць вылічковы выклікі ў фону. Вашыя кліенты не заўлячаць ніякія запыненні.
Ці гэта захавае ад атакаў тэставання картак?
Так! На адрозненне ад традыцыйных captcha, якія захаванне толькі HTML фармаў, наша інтэграцыя WooCommerce падключаецца непасрэдна да Store API, каб захаваць атакі ботаў на ўзроўні API — там, дзе адбываецца большасць атакаў тэставання картак.
Ці магу я выкарыстоўваць розныя провайдэры captcha на розных сайтах?
Провайдэра captcha ўсталёўваецца на ўсю сетку, але вы можаце рэгуляваць налады складанасці ў залежнасці ад сваіх патрабаванняў.
Ці гэта адпавядае GDPR?
Cap Captcha на 100% хаставаецца на ўласным серверы без адпраўлення дадзеных на знешнія сэрвісы. Для Google reCAPTCHA і hCaptcha, калі ласка, прагледзьце іх адпаведныя палітыкі прыватнасці.
Rate Limiting
Ultimate Multisite: Captcha v1.5.0 прадстаўляе жорсткі лімітар рэйту, які захаваўвае вашу сетку ад атакаў грубай силы і тэставання картак.
Як гэта працуе
Лімітар рэйту лічыць кожны GET і POST запыт на захаваных captcha аддзелах:
- Эндпаінты ўвайта на WordPress — wp-login, register, lost-password, comments
- Карыстальніцкі аддзел WooCommerce — my-account, checkout, pay-for-order
- Ultimate Multisite — checkout, inline-login
Калі наведвальнік перавышае ліміт рэйту, плъгін адказвае:
- HTTP 429 (Too Many Requests) статус-код
- Retry-After заголовок, які паказвае, калі прагнаць
- Выпадковае спитванне tarpit (па ўсталёжэнні 1–5 секунды, жорстка абмежавана да 15 секунд) для спавільнення атакавальнікаў
Канфігурацыя
Tarpit Timing
Кантролюйце выпадковае запазненне, якія ўжываюцца для лімітаваных рэйту запытаў:
cap_rate_limit_tarpit_min— Мінімум �запазненне ў секундах (па ўсталёжэнні: 1)cap_rate_limit_tarpit_max— Максімум запазненне ў секундах (па ўсталёжэнні: 5, жорстка абмежавана да 15)
Гэтыя налады даступныя ў Ultimate Multisite → Settings → Captcha.
Пашыральнасць
IP Белізванне (Whitelist)
Выключаеце дастаўленыя IP-дыпазыцыі з лімітавання рэйту:
add_filter( 'wu_cap_rate_limit_whitelist_ip', function( $is_whitelisted, $ip ) {
// Белізуйце ваш сэрвіс маніторынгу
if ( $ip === '203.0.113.42' ) {
return true;
}
return $is_whitelisted;
}, 10, 2 );
Дзеянне перад блокаваннем
Выконвайце карыстаніцкія лагіка непасрэдна перад адпраўленнем блокування ліміту рэйту:
add_action( 'wu_cap_rate_limit_will_block', function( $ip, $surface ) {
// Запіс ад блокування, паведамленне ад адміністратараў або абнаўленне карыстаніцкіх метрык
error_log( "Rate limit triggered for $ip on $surface" );
}, 10, 2 );
Вызначэнне IP кліента і дастаўленыя праксі
Ultimate Multisite: Captcha v1.5.0 прадстаўляе вызначэнне IP кліента, якое не падляжыць маніпуляцыі (spoof-resistant). Метад Captcha_Core::get_client_ip() цяпер з'яўляецца адзіным крынікам праўды для апісання IP наведвальніка па ўсей:
- Ключах бачка рэйту-ліміту
remoteipпровайдэра captcha (reCAPTCHA, hCaptchasiteverify)- Хэшавых значэннях IP статыстыкі
Модель даверу
Плъгін навяражае жорсткую іерархію даверу IP:
- REMOTE_ADDR — Заўсёды давернае (IP непасрэднага партнёра)
- CF-Connecting-IP — Паважаецца толькі калі:
- Непасрэдны партнёр знаходзіцца ў бягунцу IP Cloudflare
cap_trust_cloudflare_headersактывуецца (па ўсталёжэнні: OFF)
- X-Forwarded-For — Паважаецца толькі калі:
- Непасрэдны партнёр знаходзіцца ў спісе дастаўленых праксі, канфігураваных вамі
- Заголовок парсіраваецца з права налева, праскакаючы дастаўленыя/Cloudflare прываты.
Канфігурацыя
Давер Cloudflare Загаłówкам
Актывуйце давер да загаłówка CF-Connecting-IP ад Cloudflare:
cap_trust_cloudflare_headers— Уставіце на ON, каб падключыцца да даверуCF-Connecting-IP- Па ўсталёжэнні: OFF (выключана)
- Плъгін пастаўляецца з пастаўленым сніп-шотам Cloudflare CIDR
- CIDR дыпазыцыі абнаўляюцца кожны тыдзень праз wp-cron
- Выкарыстоўваецца пастаўлены адказ, калі абнаўленне не ўмагліцца
Канфігурацыя Дастаўленых Праксі
Вызначце свае фронтавыя праксі і балансатары нагрузкі:
cap_trusted_proxies— Тэкставая прастора для CIDR або голых IP (па адным на радку)- Дазваляюцца каментары (радкі, якія пачынаюцца з
#) - Без гэтага налады,
X-Forwarded-Forігнаруецца нават калі актыўваны лімітар рэйту - Прыклад:
# Наш балансатар нагрузкі
192.0.2.0/24
# Запасны праксі
198.51.100.50
- Дазваляюцца каментары (радкі, якія пачынаюцца з
Аўтматычнае выяўленне пры першай актывацыі
Калі вы першы раз актывуеце лімітар рэйту, плъгін выяўляе ваш верагодны стан Cloudflare і праксі і выказвае ў адмінскім паведамленні ў адзін клік "Задніць выяўленыя налады".
- Плъгін ніколі не перапісвае вашы захаваныя значэнні
- Калі наступны трафік паказвае, што ваша канфігурацыя больш не адпавядае рэальнасці (напрыклад, Cloudflare змяніў CIDR дыпазыцыі), з'яўляецца неадключаванае паведамленне непаўнаднасці, якое паказвае рэкамендаваны абнаўленне
Чаму гэта важна
Жорсткае мадэль даверу IP зачыняе крытычны веktor маніпуляцыі (spoofing): непасрэдныя запыты з крыніцы сэрвера, якія пераносяць фальшывы загалóўк CF-Connecting-IP, раней захаваліся бы па фальшывым IP, а не па рэальным партнёры. Гэта асабліва важна для:
- Лімітавання рэйту — Атакавальнікі не могуць мінуць ліміты, фальшывуючы IP.
- Статыстыкі — Вашыя метрыкі атак адлюстроўваюць рэальных наведвальнікаў, а не фальшывыя.
- Верафікацыі Captcha — Провайдэры атрымліваюць правільны IP наведвальніка для ацэнкі рызыкі.