Spam, boty i ataki brute force to realia, z którymi mierzą się właściciele praktycznie każdej strony internetowej. Niezależnie od tego, czy prowadzisz blog, sklep WooCommerce, czy witrynę firmową – bez odpowiednich zabezpieczeń Twoje formularze mogą być zalewane tysiącami fałszywych zgłoszeń. Rozwiązaniem, które skutecznie eliminuje ten problem, jest Google reCAPTCHA.
W tym artykule wyjaśniamy, czym dokładnie jest reCAPTCHA, jakie ma wersje i – co najważniejsze – jak krok po kroku wdrożyć ją na stronie zbudowanej w WordPressie.
Czym jest Google reCAPTCHA?
reCAPTCHA to darmowe narzędzie stworzone przez Google, które służy do odróżniania prawdziwych użytkowników od automatycznych botów. Działa jako swego rodzaju „test człowieczeństwa” – zanim formularz zostanie wysłany, system analizuje zachowanie osoby odwiedzającej stronę i decyduje, czy ma do czynienia z człowiekiem, czy robotem.
Skrót CAPTCHA pochodzi od angielskiego Completely Automated Public Turing test to tell Computers and Humans Apart. Google przejął projekt reCAPTCHA w 2009 roku i od tamtej pory stale go rozwija, czyniąc z niego jeden z najszerzej stosowanych systemów anty-spamowych na świecie.
Wersje reCAPTCHA – którą wybrać?
Google oferuje aktualnie trzy wersje reCAPTCHA. Różnią się poziomem ingerencji w doświadczenie użytkownika oraz sposobem działania.
reCAPTCHA v2 – „Nie jestem robotem”
Klasyczne rozwiązanie, które większość internautów doskonale zna. Użytkownik klika w kwadrat z napisem „Nie jestem robotem” – jeśli system uzna kliknięcie za podejrzane, wyświetla dodatkowe zadanie wizualne (np. zaznaczenie zdjęć z sygnalizacją świetlną).
Zalety: prosta implementacja, dobrze znana użytkownikom, skuteczna. Wady: wymaga działania od użytkownika, może być źródłem frustracji przy słabym połączeniu.
reCAPTCHA v2 – Invisible (niewidoczna)
Wariant v2, który działa w tle. Użytkownik w ogóle nie musi klikać – reCAPTCHA analizuje jego zachowanie na stronie (ruchy myszką, czas spędzony na stronie) i tylko w razie wątpliwości wyświetla dodatkowe wyzwanie.
Zalety: minimalna ingerencja w UX. Wady: wymaga oddzielnego zestawu kluczy API niż standardowe v2.
reCAPTCHA v3 – ocena punktowa
Najbardziej zaawansowana wersja. Zamiast blokować użytkownika, przypisuje każdej sesji wynik w skali 0–1 (gdzie 1 = z pewnością człowiek, 0 = z pewnością bot). To właściciel strony decyduje, jaki próg zaakceptować.
Zalety: całkowicie niewidoczna dla użytkownika, idealna dla sklepów i rozbudowanych serwisów. Wady: wymaga ustawienia progów i monitorowania wyników; klucze v3 są niezgodne z kluczami v2.
💡 Rada Media Click: Dla większości stron w Polsce polecamy reCAPTCHA v2 jako najprostsze i niezawodne rozwiązanie. Sklepy WooCommerce lub portale z dużym ruchem warto chronić wersją v3.
Gdzie stosować reCAPTCHA na WordPressie?
reCAPTCHA nie musi ograniczać się do jednego formularza. Oto miejsca, w których jej wdrożenie ma największy sens:
| Miejsce | Priorytet | Zagrożenie |
|---|---|---|
| Formularz logowania | Krytyczny | Ataki brute force na konto admina |
| Formularz kontaktowy | Wysoki | Spam i fikcyjne zapytania |
| Rejestracja użytkowników | Wysoki | Masowe tworzenie fałszywych kont |
| Komentarze pod artykułami | Wysoki | Spam SEO, linki do podejrzanych stron |
| Strona kasy WooCommerce | Wysoki | Testowanie skradzionych kart (carding) |
| Reset hasła | Średni | Nękanie użytkowników mailami |
| Wyszukiwarka wewnętrzna | Niski | Search spam w indeksie Google |
Jak skonfigurować Google reCAPTCHA na WordPressie – krok po kroku
Krok 1: Rejestracja i wygenerowanie kluczy API
Zanim przejdziesz do WordPressa, musisz zarejestrować swoją domenę w Google.
- Wejdź na stronę google.com/recaptcha i zaloguj się na konto Google.
- Kliknij ikonę plusa (Create), aby dodać nową stronę.
- W polu Label wpisz nazwę swojej witryny (tylko do Twojego wglądu).
- Wybierz typ reCAPTCHA (v2 lub v3 – patrz sekcja wyżej).
- W polu Domains wpisz adres swojej domeny bez „https://” (np. mediaclick.pl).
- Zaakceptuj regulamin i kliknij Submit.
- Zapisz wyświetlone klucze: Site Key (klucz witryny) oraz Secret Key (tajny klucz). Będą potrzebne w kolejnym kroku.
⚠️ Ważne: Klucze v2 i v3 to oddzielne zestawy. Nie mieszaj ich – klucz z v2 nie zadziała w konfiguracji v3 i odwrotnie.
Krok 2: Instalacja wtyczki w WordPressie
Sam WordPress nie obsługuje reCAPTCHA natywnie – potrzebujesz odpowiedniej wtyczki. Wybór zależy od tego, co chcesz zabezpieczyć.
Opcja A: Kompleksowa ochrona – reCaptcha by BestWebSoft
To najwygodniejsze rozwiązanie, jeśli chcesz jednym narzędziem zabezpieczyć logowanie, rejestrację, komentarze i WooCommerce.
- W panelu WordPress przejdź do Wtyczki → Dodaj nową.
- Wyszukaj reCaptcha by BestWebSoft, zainstaluj i aktywuj.
- W menu bocznym wejdź w reCaptcha → Settings.
- Wklej Site Key i Secret Key wygenerowane w Kroku 1.
- W sekcji Enable reCaptcha for zaznacz wszystkie miejsca, które chcesz chronić (logowanie, rejestracja, komentarze, WooCommerce Checkout).
- Kliknij Save Changes.
Opcja B: Formularz kontaktowy – Contact Form 7
Jeśli używasz CF7, reCAPTCHA konfigurujesz bezpośrednio w jej ustawieniach:
- Przejdź do Kontakt → Integracje.
- Znajdź sekcję reCAPTCHA i kliknij Skonfiguruj integrację.
- Wklej Site Key i Secret Key, zapisz zmiany.
- Edytuj formularz i w odpowiednim miejscu dodaj tag:
[recaptcha].
Opcja C: Wtyczki do bezpieczeństwa – Wordfence
Jeśli korzystasz już z Wordfence Security, nie musisz instalować osobnej wtyczki. W zakładce Login Security znajdziesz wbudowaną obsługę reCAPTCHA v3 dla strony logowania.
reCAPTCHA w WooCommerce – dlaczego to szczególnie ważne?
W sklepach WooCommerce boty atakują nie tylko formularze kontaktowe, ale przede wszystkim stronę kasy (checkout). Metoda ta – znana jako carding – polega na masowym testowaniu skradzionych kart płatniczych na słabo zabezpieczonych sklepach.
Setki odrzuconych transakcji w krótkim czasie mogą skutkować blokadą konta u operatora płatności (Stripe, PayU, Przelewy24), karami finansowymi ze strony organizacji płatniczych oraz utratą zaufania klientów.
Dlatego przy konfiguracji wtyczki reCaptcha by BestWebSoft koniecznie zaznacz opcję WooCommerce Checkout form – nawet jeśli zabezpieczysz tylko jedno miejsce w sklepie, niech będzie to właśnie kasa.
Praktyczne wskazówki po wdrożeniu
Przetestuj formularz – po konfiguracji zawsze wypełnij formularz samodzielnie i sprawdź, czy reCAPTCHA pojawia się poprawnie.
Monitoruj konsolę Google – panel reCAPTCHA w serwisie Google pozwala śledzić statystyki: ilu botów zostało zablokowanych i jaki procent ruchu jest podejrzany.
v3 wymaga progów – jeśli wdrożyłeś v3, regularnie sprawdzaj średnie wyniki i dostosuj próg akceptacji (zalecane: 0,5).
Wpływ na wydajność – każdy zewnętrzny skrypt nieznacznie spowalnia ładowanie strony. Stosuj reCAPTCHA tam, gdzie faktycznie masz problem ze spamem – nie musisz jej włączać wszędzie naraz.
Plakietka v3 – Google wymaga wyświetlania informacji o reCAPTCHA v3 w widocznym miejscu (zwykle pojawia się automatycznie jako pływający widget w rogu ekranu).
Na koniec…
Google reCAPTCHA to jedno z najprostszych i najskuteczniejszych narzędzi ochrony strony przed botami. Wdrożenie na WordPressie zajmuje zaledwie kilkanaście minut, a efekty odczujesz niemal natychmiast – mniej spamu w skrzynce, czystsze bazy danych i spokojniejsza obsługa sklepu.
Jeśli nie masz pewności, której wersji użyć lub które formularze wymagają ochrony w pierwszej kolejności – skontaktuj się z nami. Jako agencja SEO i Google Ads z wieloletnim doświadczeniem, regularnie pomagamy klientom zadbać nie tylko o widoczność w Google, ale też o techniczne podstawy bezpiecznej strony.
