Captcha
Спрете ботовете. Защитете приходите. Без настройка на главоболието.
Изпълнявате мултисайт мрежа с персонализирани домейни? Знаете болката: Google reCAPTCHA и hCaptcha изискват да регистрирате всеки един домен в техния административен контрол. Добавяте нов клиентски сайт? Актуализирате конфигурацията на captcha. Мапирате персонализиран домен? Актуализирате отново. Това никога не свършва.
Ultimate Multisite: Captcha променя всичко.
Cap Captcha: Самохоствана защита, която просто работи
Новият ни доставчик Cap Captcha е промяна за мултисайт мрежи:
- Нулева конфигурация — Активирате адъна и сте защитени. Няма API ключове, няма Google акаунт, няма hCaptcha dashboard, няма изброяване на домейни.
- Работи автоматично на всеки домен — Поддомейни, мапирани домейни, клиентски домейни — всички те са незабавно защитени.
- Самохостван и частен — Вашите данни никога не напускат сървъра ви. Напълно съответстващ на GDPR, без проследяване от трети страни.
- Невидимо доказателство за работа (Proof-of-Work) — Потребителите решават изчислителна загадка във фонов режим. Няма натискане на пожароустоители, няма фрустриращи мрежи от изображения.
- Лека тежест — Само 20KB. Няма да забави процеса на плащане.
Защита срещу тестване на карти (Card Testing) в WooCommerce
Атаките с тестване на карти струват милиарди на търговците годишно. Измамниците използват ботове, за да валидират откраднати кредитни карти срещу процеса на плащане в WooCommerce — вие плащате таксите за обработка, а те получават валидни номера на карти.
Ние защитаваме там, където е най-важно:
- Защита на API на магазина — Блокира бот атаки върху
/wp-json/wc/store/v1/checkout, които заобикалят традиционните формулни captcha. - Съвместим с PayPal Payments — Работи безпроблемно с WooCommerce PayPal Payments.
- Статистика в реално време — Виждате точно колко атаки блокирате.
Все още ли ви трябва Google reCAPTCHA или hCaptcha?
Имаме р�ешение. Пълна поддръжка за:
- Google reCAPTCHA v2 (Checkbox)
- Google reCAPTCHA v2 (Invisible)
- Google reCAPTCHA v3 (Score-based)
- hCaptcha (Standard)
- hCaptcha (Invisible)
Превключвайте между доставчици по всяко време от настройките на мрежата си.
Изграден за мащаб
- Настройки за цялата мрежа с възможност за презаписване на ниво сайт
- Dashboard за статистика, за да следите защитата
- На可стройеми нива на сигурност (Бързо, Средно, Максимално)
- Приятелски за разработчиците с разширима архитектури на доставчици
Инсталация
- Качете
ultimate-multisite-captchaв директорията/wp-content/plugins/ - Активирайте плагина на ниво мрежа
- Това е всичко. Вие сте защитени.
Cap Captcha се активира автоматично — няма настройки, които да конфигурирате, няма API ключове, които да въведете. Всеки поддържан endpoint в цялата ви мрежа е защитен в момента на активиране.
По избор: За да използвате Google reCAPTCHA или hCaptcha вместо това, отидете в Ultimate Multisite → Settings → Captcha и изберете предпочитания доставчик.
Често задавани въпроси
Трябва ли да конфигурирам нещо?
Не! Cap Captcha се активира автоматично, когато активирате адъна. Цялата ви мрежа е незабавно защитена — няма настройки, които да конфигурирате, няма API ключове, които да въведете.
Трябва ли API ключове за Cap Captcha?
Не. Cap Captcha е напълно самохостван. Няма външни акаунти, няма регистрация на домейни, няма главоболие от конфигурация.
Ще забави ли това процеса на плащане?
Cap Captcha е само 20KB и работи с изчислителни предизвикателства във фонов режим. Вашите клиенти няма да забележат никаква забавяне.
Защитава ли това срещу атаки с тестване на карти?
Да! За разлика от традиционните captcha, които защитават само HTML форми, нашата интеграция с WooCommerce се свързва директно с Store API, за да блокира бот атаки на ниво API — където се случват повечето атаки с тестване на карти.
Мога ли да използвам различни доставчици captcha на различни сайтове?
Доставчикът на captcha се задава на ниво мрежа, но можете да коригирате настройките за трудност според нуждите си.
Съответства ли това на GDPR?
Cap Captcha е 100% самохостван, без изпращане на данни към външни услуги. За Google reCAPTCHA и hCaptcha, моля, прегледайте съответните им политики за поверителност.
Rate Limiting
Ultimate Multisite: Captcha v1.5.0 въвежда твърд rate limiter, който защитава мрежата ви от атаки с брутфорс и тестване на карти.
Как работи
Rate limiter брои всеки GET и POST заявка върху защитени от captcha повърхности:
- Endpoints за вход в WordPress — wp-login, register, lost-password, comments
- Процес на плащане в WooCommerce — my-account, checkout, pay-for-order
- Ultimate Multisite — checkout, inline-login
Когато посетителят надхвърли rate лимита, плагинът отговаря с:
- HTTP 429 (Too Many Requests) статус код
- Retry-After header, който показва кога да се опита отново
- Случаен tarpit sleep (по подразбиране 1–5 секунди, с твърд лимит от 15 секунди), за да забави атакуващите
Конфигурация
Tarpit Timing
Контролирайте случайната забавяне, прилагано към заявките, ограничени от rate лимита:
cap_rate_limit_tarpit_min— Минимална продължителност на съня в секунди (по подразбиране: 1)cap_rate_limit_tarpit_max— Максимална продължителност на съня в секунди (по подразбиране: 5, с твърд лимит от 15)
Тези настройки са налични в Ultimate Multisite → Settings → Captcha.
Разширимост
IP Whitelist Filter
Изключвайте доверените IP диапазони от rate лимитиране:
add_filter( 'wu_cap_rate_limit_whitelist_ip', function( $is_whitelisted, $ip ) {
// Whitelist your monitoring service
if ( $ip === '203.0.113.42' ) {
return true;
}
return $is_whitelisted;
}, 10, 2 );
Pre-Block Action
Изпълнете персонализирана логика непосредствено преди изпращане на блок поради rate лимит:
add_action( 'wu_cap_rate_limit_will_block', function( $ip, $surface ) {
// Log the block, notify admins, or update custom metrics
error_log( "Rate limit triggered for $ip on $surface" );
}, 10, 2 );
Обнаружение на IP на клиента и довере�ни прокси
Ultimate Multisite: Captcha v1.5.0 въвежда откриване на client-IP, устойчиво на подмаскиране (spoof-resistant). Методът Captcha_Core::get_client_ip() вече е единственият източник на истина за атрибуцията на IP на посетителя в следните области:
- Ключове на куфа за rate лимитиране
Captcha_Core::remoteipна доставчика на captcha (reCAPTCHA, hCaptchasiteverify)- Хешове на IP за статистика
Модел на доверие
Плагинът прилага стриктна йерархия на доверие на IP:
- REMOTE_ADDR — Винаги доверен (IP на непосредствения съсед)
- CF-Connecting-IP — Уважаван само когато:
- Непосредственият съсед е вътре в текущ Cloudflare IP диапазон
cap_trust_cloudflare_headersе активиран (по подразбиране: OFF)
- X-Forwarded-For — Уважаван само когато:
- Непосредственият съсед е в списъка с доверени прокси, зададен от администратора
- Header-ът се парсира отдясно наляво, пропускайки доверени/Cloudflare хопове
Конфигурация
Доверие на Cloudflare Headers
Активирайте доверието към header-а CF-Connecting-IP на Cloudflare:
cap_trust_cloudflare_headers— Задайте на ON, за да използвате доверието къмCF-Connecting-IP- По подразбиране: OFF (изключено)
- Плагинът идва с пакетиран Cloudflare CIDR snapshot
- CIDR диапазоните се обновяват седмично чрез wp-cron
- При неуспешно обновяване се използва пакетиран fallback
Конфигурация на доверени п�рокси
Дефинирайте вашите фронт-линий прокси и балансьори на натоварване:
cap_trusted_proxies— Текстова област с CIDR или чисти IP адреси (по един на ред)- Разрешава се добавянето на коментари (редове, започващи с
#) - Без тази настройка,
X-Forwarded-Forсе игнорира, дори когато rate лимитерът е активиран - Пример:
# Наш балансьор на натоварване
192.0.2.0/24
# Резервен прокси
198.51.100.50
- Разрешава се добавянето на коментари (редове, започващи с
Автоматично откриване при първо активиране
Когато за първи път активирате rate лимитера, плагинът открива вероятната ви конфигурация на Cloudflare и прокси и показва известие с едно кликване "Apply detected settings" в админ панела.
- Плагинът никога не презаписва запазените ви стойности
- Ако по-късното трафик покаже, че вашата конфигурация вече не съответства на реалността (напр. Cloudflare е променил CIDR диапазоните), се появява известие за несъответствие, което препоръчва актуализация
Защо това е важно
Стриктният модел на доверие на IP затваря критичен вектор за подмаскиране: заявките директно от източника, които носят фалшифициран header CF-Connecting-IP, преди това биха били групирани с подмаскирания IP, вместо с реалния съсед. Това е особено важно за:
- Rate limiting — Атакуващите не могат да заобиколят лимитите, подмаскирайки IP адреси
- Статистика — Вашите метрики за атаки отразяват реални IP адреси на посетителите, а не фалшифицирани
- Проверка на captcha — Доставчиците получават правилния IP на посетителя за оценка на риска