
- Що таке CAPTCHA та для чого вона потрібна
- Які існують види капчі: від тексту до поведінкового аналізу
- Де обов’язково використовувати капчу
- Як самостійно встановити CAPTCHA на сайт
У 2018 році британський банк HSBC зазнав бот-атаки з метою викрадення паролів клієнтів, у 2023 році на Reddit з'явилося повідомлення від адміністратора ticket-сайту про 82 000 фейкових реєстрацій за добу, а у лютому того ж року компанія Ticketmaster зіткнулася з масовою бот-активністю, що призвело до значних збоїв у роботі веб-ресурсу. І це лише частина випадків, коли класична система аутентифікації могла б запобігти шкідливому програмному забезпеченню, відповідно захистити конфіденційну інформацію компанії та зберегти її репутацію.
Ви можете подумати: «Це ж інтернет-проекти великих компаній. Я тільки орендував дешевий хостинг та зареєстрував вільний домен, опублікував перші статті, тож мені шкідливі боти не загрожують». Насправді подібне програмне забезпечення загрожує всім: від спамних коментарів на інформаційних сайтах до фейкових реєстрацій в інтернет-магазинах. І тут на допомогу приходить капча — простий та водночас ефективний захист від спам-ботів. Саме тому пропонуємо розглянути, що таке CAPTCHA та як її використовувати, незалежно від типу та розміру веб-ресурсу.
Що таке CAPTCHA та для чого вона потрібна
CAPTCHA — це автоматизований загальнодоступний тест для відвідувачів інтернет-проектів, який допомагає розрізняти реальних користувачів від шкідливого програмного забезпечення. Головна ідея капчі — існують прості для людини, але складні та дорогі завдання для комп'ютера. Наприклад, вибрати картинки з велосипедом: реальний користувач відразу побачить потрібні об'єкти, а боту доведеться робити складну комп'ютерну обробку зображень.
Так, на перший погляд, проста технологія, насправді CAPTCHA виконує ряд корисних задач:
- запобігає спаму у формах зворотного зв’язку — нема потреби постійно чистити пошту від сотень сміттєвих листів;
- зупиняє спамні коментарі під статтями — зберігає репутацію, мінімізує ризик зниження позицій у пошуковій видачі (в коментарях можуть бути зовнішні посилання на підозрілі сайти);
- забезпечує додатковий захист від атак на логін-форми — капча не дає ботам зламати акаунти та вкрасти дані користувачів;
- зупиняє фейкові реєстрації — вдається зберегти базу користувачів «чистою», плюс не доведеться витрачати кошти на зайві розсилки;
- підтримує стабільність сайту — шкідливе ПЗ може використовуватися для сканування веб-ресурсу та надсилання безліч запитів за хвилину, а капча цьому запобігає, відповідно, дозволяє зберегти високу швидкість завантаження сторінок та кількість ресурсів в межах вашого тарифного плану;
- запобігає фейковим замовленням — капча не пропускає ботів, завдяки чому вам не доведеться витрачати час на пошуки справжніх замовлень серед сотень «порожніх», зіштовхуватися зі збоями на складі та спотвореною аналітикою.
CAPTCHA — це перевірений роками спосіб захисту сайтів від спаму, масових реєстрацій фейкових акаунтів, підбору паролів, накручування показників. Його дійсно можна назвати досить надійним: завдання генерується динамічно, відповідь перевіряється на сервері, а не на клієнтській стороні, а кожен запит є унікальним, тобто містить хеші або токени, які не можна передбачити.
Однак технологія не є чимось незвичайним, тобто її теж можна обійти, але боротися з таким методом захисту для ботів невигідно. Наприклад, розпізнавання картинок потребує використання нейронних мереж, що є досить затратним, відповідно, зловмисникам немає сенсу вкладати гроші для обходу CAPTCHA на дрібних сайтах.
Тобто головна задача — підвищити вартість злому для ботів, зупинити масові автоматизовані атаки та спам. Саме тому капча часто є основним захисним механізмом на невеликих веб-ресурсах і частиною системи безпеки на великих інтернет-проектах.
Читайте також: Як захистити сайт на WordPress і не стати жертвою вразливостей відкритого коду
Які існують види капчі: від тексту до поведінкового аналізу
Технологія постійно еволюціонувала у відповідь на розвиток ботів та автоматизованих атак. Перші концепції з'явилися у 1997-2000 роках, коли дослідники шукали спосіб відрізнити людину від програми. Перша CAPTCHA була дуже простою: зображення з викривленим текстом або цифрами, яке користувач мав ввести у форму. Згодом почали з'являтися інші версії з удосконаленими методами аутентифікації, такими як розпізнавання зображень, поведінковий аналіз та приховані сценарії.
Загалом існують наступні види CAPTCHA:
- Classic (текстова) — букви та цифри у різноманітних розташуваннях (класичні, нахилені, перевернуті) на кольоровому тлі. Таке складне завдання для ботів легко може виконати людина, завдяки чому вдається провести надійну перевірку без погіршення поведінкових факторів на сайті.
- Math (математична) — виконання простої арифметичної дії, наприклад, «2+3».
- Image (графічна) — вибір зображень з велосипедами, світлофорами, котиками тощо. Її часто використовує Гугл, адже має величезну базу матеріалів Google Street View. Однак вона неймовірно дратує користувачів, адже на місці обраної картинки часто з'являється інша, через що доводиться знову проходити тест.
- Slider (слайдер) — треба перетягнути шматочок картинки, щоб зібрати її до купи. Такий собі пазл для нудьгуючих користувачів.
- Audio (звукова) — треба прослухати запис та ввести цифри або слова. Часто використовується як альтернатива іншим видам для людей з порушеннями зору.
- reCAPTCHA v2 — необхідно поставити галочку в чекбоксі «Я не робот». Інколи до неї додається графічна капча — потрібно ще й вибрати вказані зображення.
- reCAPTCHA v3 (невидима) — не треба виконувати ніяких завдань. Система проаналізує поведінку користувача та сама вирішить: це шкідливе програмне забезпечення чи реальна людина, яка просто хоче залишити коментар.
Вищевказані види капчі ви могли неодноразово зустрічати, однак існують приховані методи перевірки користувача. До них відноситься Honeypot CAPTCHA — невидиме для людини поле в формі, тобто якщо хтось його заповнює — це 100% бот, бо реальний користувач навіть не знав, що взагалі була якась перевірка. Є ще Time-based CAPTCHA — аналіз швидкості заповнення форми: якщо дані вказані надто швидко, система видає підозру на шкідливе ПО.
Варто зазначити, що боти постійно розвиваються, тому з'являються новини на кшталт «Штучний інтелект зміг вирішити reCAPTCHA v2 з неймовірною ефективністю». Але капча теж не стоїть на місці. Одним з найновіших способів перевірки є біометрична капча, яка використовує розпізнавання обличчя, голосу або відбитка пальця, щоб підтвердити, що користувач — людина. Також намагаються покращити принцип роботи за допомогою нейронних мереж: Adaptive AI CAPTCHA створює унікальні завдання в режимі реального часу, які адаптуються під користувача.
В лютому 2025 року навіть була представлена новаторська система IllusionCAPTCHA. В її основі лежить використання візуальних ілюзій для створення завдань, які інтуїтивно будуть зрозумілі людині, але неймовірно складними для шкідливого ПЗ. Наприклад, зображення лісу може приховувати певний об'єкт або текст: реальний користувач зможе вирішити завдання, хоча воно й складніше стандартних видів капчі, але прихований зміст залишиться невидимим для штучного інтелекту. Плюс система пропонує ботам підказки, які мають привести їх до передбачуваних помилок.
Читайте також: Тріумф та загрози штучного інтелекту — як нейромережі впливають на наше життя і як вони законодавчо регулюються
Де обов’язково використовувати капчу
Шкідливе програмне забезпечення може принести чимало проблем, на вирішення яких знадобиться багато грошей та часу, тому логічно було б поставити захист відразу при переході на сайт. Однак ставити CAPTCHA на весь інтернет-проект одразу — крайній захід, який потрібен лише у випадках активних атак автоматизованими сканерами, парсерами, DDoS-ботами. Але такий захист дратує користувачів, знижує конверсії, шкодить репутації.
Ми рекомендуємо ставити CAPTCHA для наступних форм на сайті:
- зворотного зв’язку — ніякого масового спаму, автоматичних розсилок та фейкових запитів, відповідно, можливість уникнути бот-заявок, не втратити реальні звернення та зберегти репутацію;
- реєстрації — захист від фейкових акаунтів, які можуть розсилати спам, проводити маніпуляції з рейтингами та відгуками;
- авторизації — захисний механізм від масового підбирання паролів, відповідно, злому акаунтів, витоку даних, фінансових та репутаційних збитків;
- коментарів або відгуків — ніяких рекламних повідомлень та шкідливих посилань, які загрожують не лише псуванням репутації, але й негативним впливом на пошукову оптимізацію;
- кошик в інтернет-магазині — запобігання автоматизованим фейковим замовленням, що допомагає уникнути спотворення аналітики, зайвих витрат на обробку та проблем з логістикою;
- внутрішні системи — додатковий рівень безпеки від нелегального доступу до панелі керування сайтом або даними.
CAPTCHA — це необхідний захист для будь-якої форми, яка може бути корисна ворожому програмному забезпеченню. Саме тому варто детально вивчити власний інтернет-проект та встановити капчу в потенційно вразливих місцях.
Читайте також: Як захистити свій акаунт в Cityhost в часи інформаційної нестабільності
Як самостійно встановити CAPTCHA на сайт
Найпростіший спосіб захистити панель адміністратора — скористатися можливостями Cityhost. Реєструючи хостинг або домен, купуючи VPS сервер або орендуючи виділений сервер в нашій компанії, ви отримуєте можливість поставити reCAPTCHA v2 («Я не робот») на адмінку веб-ресурсу прямо з панелі користувача. Для цього перейдіть в «Хостинг 2.0» → «Сайти» → «Безпека» та активуйте «ЗАХИЩЕНІ СТОРІНКИ (CAPTCHA)».
Захистити інші форми на сайті за допомогою капчі допомагають наступні плагіни, залежно від вашої системи керування контентом:
- WordPress. Популярним варіантом є reCAPTCHA by BestWebSoft — легко підключити Google reCAPTCHA до форм входу, коментарів, реєстрації. Плюс вбудована підтримка капчі є у таких популярних плагінах для форм як WPForms та Contact Form 7.
- OpenCart. Більшість шаблонів має вбудовану підтримку даної технології. Ще є безліч модулів, враховуючи офіційне рішення Google reCAPTCHA.
- Joomla. Пропонує вбудований плагін reCAPTCHA для захисту всіх типів форм.
- Drupal. Теж має модуль CAPTCHA з інтуїтивно зрозумілими налаштуваннями.
Як додати капчу на WordPress сайт з плагіном Contact Form 7
Для прикладу розглянемо, як додати капчу на WordPress з плагіном Contact Form 7:
- Переходимо в адміністративну панель Google reCAPTCHA, проходимо авторизацію за допомогою акаунта Гугл та заповнюємо форму для реєстрації свого сайту. Ми спочатку вибрали версію 3 — це важливий момент, який ми детальніше розглянемо після інструкції.
- Збережіть Site Key (ключ сайту) та Secret Key (секретний ключ). Саме вони допоможуть з'єднати Google reCAPTCHA з вашим WordPress сайтом.
- Тепер встановіть капчу за допомогою одного з вказаних вище плагінів. Ми будемо використовувати Contact Form 7. Просто переходимо в адмінпанель → Contact → Integration.
- Натискаємо Setup Integration, вказуємо Site Key та Secret Key.
Якщо на сайті з’явилася іконка «Protected by reCAPTCHA» — інтеграція відбулася. Але тут є один важливий момент: Google reCAPTCHA v3 працює невидимо, тобто автоматично оцінює поведінку користувача та присвоює оцінку. Якщо користувач здається підозрілим, форма не відправиться або видасть помилку.
Як додати капчу на WordPress сайт з плагіном WPForms
Ви також можете використати Google reCAPTCHA v2, тоді у формах буде з'являтися чекбокс «Я не робот». Спочатку в адміністративній панелі Google reCAPTCHA реєструємо новий проект (можна той самий сайт), тільки тепер вибираємо тип капчі «Виклик (версія 2)».
Для кращого розуміння простоти інтеграції з різноманітними плагінами, тепер проведемо тестування на WPForms. Переходимо в розділ WPForms → Settings → CAPTCHA, вибираємо нашу версію з відображенням чекбоксу, вказуємо ключі та зберігаємо налаштування.
Тепер треба додати reCAPTCHA до форми. Перейдіть в розділ All Forms та натисніть на потрібну форму, після чого виберіть reCAPTCHA (капча додасться автоматично) та натисніть Save.
Тепер в потрібній формі є капча, яка захистить вас від спаму, фейкових реєстрацій та замовлень, різноманітних бот-атак.
І, як ви могли помітити, додавання CAPTCHA на сайт триває лічені хвилини та не потребує платних версій CMS плагінів. Натомість ви отримуєте перевірену роками технологію безпеки, яка буде економити ваш час та ресурси, зберігати гарну репутацію в очах цільової аудиторії та пошукових роботів, відповідно, допомагати веб-ресурсу зростати та приносити вам гроші!