CAPTCHA plugini za WordPress: Advanced Google reCAPTCHA i hCAPTCHA

CAPTCHA (Completely Automated PublicTuring test to tell Computers and Humans Apart) test je poslednjih godina postao veoma rasprostranjen na Internetu. 

Iako se pokazao kao dobra zaštita od neželjenih spam poruka, pokazalo se da CAPTCHA test ipak ima i neke negativne strane. U ovom tekstu ćemo objasniti kada je CAPTCHA dobro rešenje, kao i u kojim situacijama možda nećete želeti da koristite CAPTCHA test na svom web sajtu.

Takođe, predstavićemo vam i dva popularna plugina za aktivaciju CAPTCHA zaštite na vašem sajtu: Google Advanced CAPTCHA plugin i hCAPTCHA plugin.

Šta je CAPTCHA?

CAPTCHA je automatizovani test koji korisnik na nekom sajtu rešava da bi dokazao da je čovek. Obično se takav test postavlja kao zaštita od automatizovanih bot napada i spam komentara, koji su u velikoj meri zastupljeni na Internetu.

Ovaj test može biti u različitom obliku, ali je najčešći onaj u kojem se od vas traži da rešite jednostavnu matematičku operaciju, poput sabiranja dva broja. Napredniji CAPTCHA test može zahtevati da korisnik rešava i neke složenije zadatke.

Tako reCAPTCHA test ,koji je razvio Google, koristi različite metode provere, od kojih su najpoznatiji jednostavni zadaci poput označavanja kvadratića sa natpisom „I’m not a robot”. 

reCAPTCHA test često prati i dodatna provera koja se zahteva od korisnika – najčešće da označi slike koje sadrže određene objekte, npr. semafore, automobile, pešačke prelaze i sl. 

Kada je CAPTCHA dobro rešenje?

CAPTCHA je dobro rešenje ukoliko vam je cilj zaštita sajta od spam komentara, ili zaštita od automatizovanih botova za popunjavanje formulara. U oba navedena slučaja CAPTCHA je dobro rešenje.

Kada CAPTCHA nije dobro rešenje?

CAPTCHA ponekada i nije najbolje rešenje, a evo i nekih od njenih mana.

CAPTCHA može da odbije vaše posetioce sa sajta

Neka istraživanja pokazuju da 30% korisnika odlučuje da napusti websajt koji od njih traži da reše CAPTCHA test. Ovo može biti problem za sajtove koji se oslanjaju na interakciju sa posetiocima, kao što su oni sa sekcijama za ostavljanje komentara korisnika.

CAPTCHA može da dovede do slabije konverzije

Ako vaš sajt zavisi od korisnika koji izvršavaju neku radnju, kao što su prijava na newsletter, registracija ili kupovina, CAPTCHA može negativno da utiče na stopu konverzije. Istraživanja pokazuju da sajtovi sa CAPTCHA testovima imaju prosečno 3,2% nižu stopu konverzije, što može znatno da utiče na prihode vašeg sajta.

CAPTCHA može da bude loša za posetioce sa oštećenim vidom ili sluhom

CAPTCHA često predstavlja prepreku za posetioce sa oštećenim vidom ili sluhom. Na primer, osobe koje koriste čitače ekrana nailaze na poteškoće sa audio CAPTCHA zadacima koji se postavljaju pred njih.

Osim toga, CAPTCHA nije uvek pouzdana jer postoje botovi koji uspešno zaobilaze čak i naprednije verzije poput reCAPTCHA v3, što znači da CAPTCHA možda neće u potpunosti zaštititi sajt od spama.

Koja je alternativa za CAPTCHA?

U slučaju da CAPTCHA nije najbolje rešenje za vaš WordPress web sajt, ne brinite. Postoje i alternativna rešenja za zaštitu od spama. 

Preporučujemo da u tekstu na našem blogu pročitate koja su to Anti spam i security rešenja za WordPress i pronađete ono koje najviše odgovara vašim potrebama.

Želite da koristite CAPTCHA na vašem web sajtu? 

Ukoliko želite da koristite CAPTCHA na svom WordPress web sajtu, preporučujemo da prethodno pročitate Kako aktivirati Google reCAPTCHA servis na sajtu.

U ovom tekstu smo za vas testirali dva popularna plugina za podešavanje CAPTCHA funkcionalnosti na WordPress web sajtu. Ovde vam ih detaljno predstavljamo sa svim njihovim funkcionalnostima, podešavanjima i našim utiscima o njima nakon što smo ih testirali.

Advanced Google reCAPTCHA

Advanced Google reCAPTCHA je WordPress plugin namenjen zaštiti sajtova od spam poruka i brute-force napada. Ovaj plugin omogućava lako dodavanje reCAPTCHA zaštite na ključne forme na sajtu, kao što su forme za prijavu, registraciju, resetovanje lozinke, komentari, kao i specifične forme za WooCommerce, BuddyPress i Easy Digital Downloads.

Instalacija Advanced Google reCAPTCHA

Plugin možete da preuzmete iz WordPress repozitorijuma ili iz WordPress dashboard-a, odlaskom na opciju Plugins → Add New Plugin. 

Nakon što instalirate plugin, potrebno je da ga aktivirate klikom na dugme Activate. Odmah po aktivaciji u admin dashboard-u ćete pod Settings videti opciju pod nazivom Advanced Google reCAPTCHA.

Klikom na ovu opciju otvoriće vam se prozor kao na slici ispod.

Advanced Google reCAPTCHA plugin je besplatan ukoliko želite da koristite neke osnovne funkcionalnosti. Ukoliko želite da koristite neke naprednije funkcionalnosti moraćete da odaberete neku neku od PRO licenci, koje vidite na slici iznad.

Napomena: Da biste aktivirali Advanced Google reCAPTCHA plugin, potrebno je da prethodno na Google reCAPTCHA platformi registrujete svoj sajt i dobijete ključeve koje ćete koristiti za aktivaciju.

Za početak je dovoljno da testirate sam plugin i proverite da li odgovara vašim potrebama.

Zatvorite ovaj prozor i otvoriće vam se dashboard za podešavanje plugina.

Advanced Google reCAPTCHA dashboard nudi veliki broj opcija za podešavanje, podeljenih po tabovima. Prvi tab je Captcha i u njemu možete aktivirati neku od sledećih CAPTCHA opcija:

Captcha Disabled – služi da isključite već uključenu CAPTCHA-u. Kada je CAPTCHA opcija isključena, nema CAPTCHA zaštite na vašem sajtu. 

Built-in Math Captcha – koristi jednostavan matematički zadatak za proveru korisnika, što znači da pruža srednji nivo sigurnosti. Ne zahteva API ključeve ni spoljnu uslugu i u potpunosti je GDPR kompatibilna.

Built-in Icon Captcha (dostupno u PRO verziji)  – koristi ikonice, gde korisnici moraju da izaberu odgovarajuću sliku. Pruža srednji nivo zaštite, ne zahteva API ključeve, i takođe je GDPR kompatibilna.

Google reCAPTCHA v2 – pruža visok nivo sigurnosti, ali zahteva API ključeve i koristi Google-ove servere za proveru korisnika. Važno je napomenuti da ova verzija nije kompatibilna sa GDPR-om.

Google reCAPTCHA v3 – pruža naprednu zaštitu jer analizira ponašanje korisnika, tako da od korisnika najčešće ne zahteva da prolaze kroz vizuelne testove. Iako pruža visok nivo sigurnosti, zahteva API ključeve i nije GDPR kompatibilna.

hCaptcha (dostupno u PRO verziji)  – ova opcija predstavlja dobru alternativu ukoliko ne želite da koristite Google-ovu reCAPTCHA-u, ali želite pouzdanu zaštitu. Takođe zahteva API ključeve. Kompatibilna je sa GDPR-om.

Cloudflare Turnstile (dostupno u PRO verziji) – koristi Cloudflare-ovu tehnologiju za verifikaciju korisnika i pruža visok nivo sigurnosti. Zahteva API ključeve i nije u potpunosti GDPR kompatibilna.

Opcije za koje je označeno da su dostupne u PRO verziji, vam neće biti dostupne u besplatnoj verziji.

Bilo koju od navedenih opcija možete izabrati iz padajućeg menija pored opcije Captcha u gornjem delu dashboard-a.

Sve opcije označene crnim su dostupne i u besplatnoj verziji ovog plugin-a, dok su one označene crvenim dostupne samo u PRO verziji.

Kada ste odabrali željenu opciju, kliknite na dugme Save Changes da biste je sačuvali.

Sledeći tab je Where To Show, gde možete podesiti gde će se CAPTCHA koju ste upravo odabrali pojaviti na vašem sajtu. 

Na raspolaganju vam je nekoliko opcija, od formulara za logovanje, preko woocommerce forme za registraciju, pa do BuddyPress forme za registraciju korisnika.

Aktiviranje ili deaktiviranje radite klikom na klizač pored željene opcije.

Sledeći tab je Activity, gde možete videti statistiku vezanu za rad CAPTCHA opcije koju ste podesili na vašem sajtu. 

U okviru ovog taba, možete pratiti sledeće aktivnosti i statistike:

Access Locks – prikazuje pokušaje pristupa koji su blokirani ili zaključani zbog sumnjivih aktivnosti. To vam može pomoći da identifikujete potencijalno zlonamerne pokušaje prijave na sajt.

Failed Logins – omogućava da pratite neuspešne pokušaje prijave, što je korisno za prepoznavanje obrazaca u pokušajima hakerskih napada i drugih potencijalno sumnjivih aktivnosti.

Grafikon aktivnosti – prikazuje podatke o aktivnostima korisnika, uključujući vreme i učestalost pokušaja prijave. Kada počnete da koristite plugin, videćete samo obaveštenje da će podaci biti dostupni kada se prikupi dovoljno informacija, što znači da je potrebno vreme da statistika počne da se prikazuje.

Top Countries – možete videti zemlje iz kojih dolazi najviše aktivnosti ili pokušaja prijave. Ovaj podatak može pomoći u identifikaciji geografskih izvora sumnjivih aktivnosti.

Traffic Types – Prikazuje različite tipove saobraćaja (npr. direktni saobraćaj, pretraga preko Google-a, botovi itd.), što vam može pomoći da bolje razumete izvore saobraćaja na vašem sajtu.

Advanced Stats (dostupna u PRO verziji) – Napredne statistike su dostupne samo u PRO verziji, što uključuje dodatne detalje o saobraćaju i aktivnostima.

Sledeći tab je Login protection, gde kako i pretpostvaljate možete podesiti sve opcije vezano za zaštitu prilikom logovanja. Ovaj tab ima tri pod-taba: Basic, Advanced i Tools.

U okviru Basic taba možete podesiti sledeće opcije:

Login Protection – omogućava zaštitu prilikom prijave. Kada je aktivirana, štiti vašu login stranicu od previše neuspešnih pokušaja prijave.

Max Login Retries – određuje maksimalan broj neuspešnih pokušaja prijave unutar definisanog vremenskog perioda (period podešen u nastavku) nakon kojeg će IP adresa biti blokirana. Na primer, ako je podešeno na 3, posle tri neuspešna pokušaja prijave, određeni IP će biti privremeno blokiran.

Access Lock Length – vremenski period u minutima tokom kojeg će određeni IP biti blokiran kada se dostigne maksimalan broj neuspešnih pokušaja prijave. Na primer, ako je postavljeno na 60 minuta, IP će biti blokiran sat vremena.

Log Failed Attempts With Non-existent Usernames (dostupna u PRO verziji) – beleži neuspešne pokušaje prijave s nepostojećim korisničkim imenima, kao što se beleže pokušaji sa lošim lozinkama. Ovo može biti korisno za identifikaciju potencijalno zlonamernih aktivnosti.

Mask Login Errors (dostupna u PRO verziji) – sakriva detalje o greškama prilikom prijave (kao što su neispravno korisničko ime, lozinka ili CAPTCHA vrednost) kako bi se smanjila količina podataka dostupnih potencijalnim napadačima.

Block Type (PRO opcija) – omogućava vam da izaberete način blokiranja:

   – Completely block website access – potpuno blokira pristup sajtu sa IP adresa koje su označene kao sumnjive.

   – Only block access to the login page – blokira pristup samo stranici za prijavu, dok je ostatak sajta dostupan.

Block Message (dostupna u PRO verziji) – prikazuje prilagođenu poruku posetiocima čije su IP adrese blokirane zbog previše neuspešnih pokušaja prijave. Podrazumevana poruka je: “We’re sorry, but your IP has been blocked due to too many recent failed login attempts.” Ovu poruku po potrebi možete izmeniti.

Whitelisted IPs (dostupna u PRO verziji) – omogućava vam da dodate listu IP adresa koje nikada neće biti blokirane, bez obzira na broj neuspešnih pokušaja prijave. Ovo je korisno za administratore ili one korisnike koji pristupaju sajtu sa poznatih IP adresa.

Show Credit Link – Kada je aktivna, prikazuje mali link ispod forme za prijavu koji obaveštava korisnike da je sajt zaštićen putem ovog plugin-a.

Ukoliko menjate bilo koju od ovih podrazumevanih vrednosti, ne zaboravite da na kraju kliknete na dugme Save Changes, kako biste sačuvali izmene.

Sledeći pod-tab u okviru taba Login protection je tab Advanced.

Ovde su vam dostupne neke napredne opcije za podešavanje sigurnosti:

Login URL (dostupna u PRO verziji) – omogućava vam da promenite URL za pristup login stranici, čime se sprečava pristup podrazumevanim stranicama za prijavu (wp-login.php i wp-admin), koje su često mete napada. Ako ostavite ovo polje prazno, koristiće se podrazumevani URL za prijavu.

Redirect URL (dostupna u PRO verziji) – URL na koji će biti preusmereni svi pokušaji pristupa podrazumevanim login URL-ovima (wp-login.php ili wp-admin). Ovo može biti prilagođena stranica za grešku (npr. 404 stranica), koja dodatno odvraća napadače.

Password Check (dostupna u PRO verziji) – proverava da li bilo koji korisnik ima slabu lozinku koja je podložna uobičajenim brute-force napadima. Ovo može pomoći u jačanju sigurnosti korisničkih naloga.

Anonymous Activity Logging (dostupna u PRO verziji) – omogućava anonimno beleženje aktivnosti, pri čemu se IP adrese posetilaca beleže kao hešovane vrednosti. Beleže se država i korisnički agent posetioca, ali bez IP adrese, što je u skladu sa GDPR-om.

Log Passwords (dostupna u PRO verziji) – beleži lozinke korišćene u neuspešnim pokušajima prijave. Ova opcija se ne preporučuje na sajtovima sa više korisnika jer se lozinke beleže u običnom tekstu, što može biti bezbednosni rizik za sve korisnike koji imaju pristup logovima.

Block Bots (dostupna u PRO verziji) – blokira botove da pristupaju login stranici i pokušavaju prijavu. Ovo je korisno za smanjenje broja automatizovanih napada.

Block Login Attempts With Non-existing Usernames (dostupna u PRO verziji) – automatski blokira IP adresu kada se zabeleži neuspešan pokušaj prijave sa nepostojećim korisničkim imenom. Ovo pomaže u prepoznavanju i blokiranju napada u kojima se koriste nasumična korisnička imena.

Add Honeypot for Bots (dostupna u PRO verziji) – dodaje skriveno honeypot polje na login formu koje nije vidljivo ljudima, ali sprečava botove u pokušaju prijave. Ova metoda ne utiče na stvarne korisnike jer ne dodaje nikakav korak za prijavu.

Cookie Lifetime (dostupna u PRO verziji) – postavlja vreme trajanja kolačića kada je opcija Remember Me označena prilikom prijave. Podrazumevana vrednost je 14 dana, ali je možete prilagoditi prema potrebama sajta.

Pod opcijom Login protection se nalazi još jedan tab pod nazivom Tools. Ovde ćete pronaći neke veoma korisne alate, koji su nažalost dostupni samo u PRO verziji plugina. 

Email Test – omogućava vam da pošaljete testne email-ove kako biste proverili da li vaš sajt može da šalje emailove. 

Recovery URL – prikazuje URL za oporavak (Recovery URL) koji možete koristiti u slučaju da se zaključate sa sajta i morate da dodate svoju IP adresu na belu listu. 

Napomena: Ovaj URL treba da sačuvate na sigurnom mestu i nemojte ga deliti sa drugima, jer omogućava direktan pristup recovery opciji.

Import Settings – omogućava vam da uvezete prethodno sačuvane postavke plugina. Ovo je korisno ako želite da prenesete konfiguraciju sa jednog sajta na drugi ili da vratite prethodne postavke.

Export Settings – omogućava vam da preuzmete datoteku sa trenutnim postavkama plugina, kako biste ih sačuvali i kasnije koristili za uvoz (backup) ili preneli na neki drugi sajt.

Sledeći tab je Firewall, koji pod sobom ima tri pod-taba: General, 2FA i Cloud Protection. Pod ovom opcijom imate na raspolaganju veliki broj opcija za blokiranje i filtriranje mrežnog saobraćaja. Najveći broj tih opcija je dostupan samo u PRO verziji plugina, ali su i besplatne opcije sasvim dovoljne za većinu korisnika.

Block bad bots – blokira zlonamerne botove koji pokušavaju da pristupe, skeniraju ili komuniciraju sa sajtom. Ovi botovi se često koriste za scraping sadržaja, spam, DDoS napade, skeniranje na ranjivosti i druge maliciozne aktivnosti.

Directory Traversal – štiti vaš sajt od napada poznatog kao Directory Traversal ili File Path Traversal, gde napadači pokušavaju da pristupe fajlovima van dozvoljenih direktorijuma koristeći manipulaciju putanjama. 

HTTP Response Splitting (dostupna u PRO verziji) – sprečava napade gde napadač može manipulisati HTTP odgovorima, što može rezultirati preusmeravanjem korisnika ili krađom njihovih podataka.

(XSS) Cross-Site Scripting (dostupna u PRO verziji) – štiti od Cross-Site Scripting (XSS) napada, gde napadači ubacuju zlonamerni JavaScript kod u sajt. 

Cache Poisoning (dostupna u PRO verziji) – sprečava trovanje cache-a, napad gde napadač menja cache podatke da bi prikazao zlonameran sadržaj korisnicima. 

Dual-Header Exploits (dostupna u PRO verziji) – sprečava napade na HTTP header-a gde napadač može ubaciti zlonamerne vrednosti kao što su preusmeravanje korisnika ili cross-site scripting. 

SQL/PHP/Code Injection (dostupna u PRO verziji) – blokira napade ubrizgavanja koda, gde napadači mogu ubaciti SQL ili PHP kod kako bi pristupili poverljivim podacima ili izvršavali neovlašćene akcije. Ova zaštita je važna za zaštitu baza podataka i aplikacija od neovlašćenih akcija.

File Injection/Inclusion (dostupna u PRO verziji) – sprečava ubrizgavanje fajlova i njihovo uključivanje, gde napadači pokušavaju da ubace ili pristupe fajlovima na serveru kako bi preuzeli kontrolu ili dobili pristup osetljivim podacima.

Null Byte Injection (dostupna u PRO verziji) – štiti od napada ubrizgavanja null karaktera, koji mogu da utiču na obradu putanja i dovode do neovlašćenog pristupa fajlovima i podacima. 

PHP information leakage (dostupna u PRO verziji) – sprečava curenje PHP informacija, kao što su verzije PHP-a, konfiguracije i detalji o serveru. 

Pod-tab 2FA je namenjen podešavanju dvofaktorske autentifikacije, što svakako preporučujemo da uradite ukoliko želite da povećate sigurnost na svom sajtu. 

U slučaju da aktivirate ovu opciju, nakon uspešnog logovanja, korisnik će dobiti email sa jednokratnim linkom za potvrdu prijave. U slučaju da je neko u međuvremenu ukrao njegovo korisničko ime i lozinku, taj i dalje neće moći da se prijavi bez pristupa emailu koji je povezan sa nalogom.

Sledeći pod-tab je Cloud Protection, a opcije unutar njega su dostupne samo ukoliko koristite PRO verziju. Ove opcije služe za zaštitu vašeg sajta od sumnjivih ili zlonamernih IP adresa putem liste dozvoljenih (whitelist) i blokiranih (blacklist) IP adresa.

Use Account Whitelist & Blacklist – omogućava dodavanje specifičnih IP adresa na listu dozvoljenih (whitelist) ili blokiranih (blacklist). Ove liste su privatne i dostupne samo vašem sajtu. 

Use Global Cloud Blacklist – koristi globalnu crnu listu IP adresa, koju svakodnevno ažurira kompanija WebFactory (vlasnik plugina) na osnovu aktivnosti sa hiljada sajtova. IP adrese na ovoj listi prepoznate su kao potencijalno zlonamerne, pa se korisnici sa ovih IP adresa blokiraju od pristupa sajtu. 

Cloud Block Type – omogućava izbor između dve vrste blokiranja za IP adrese sa crne liste:

   – Completely block website access – potpuno blokira pristup sajtu za sumnjive IP adrese.

   – Only block access to the login page – blokira pristup samo stranici za prijavu, dok ostatak sajta ostaje dostupan.

Block Message – prikazuje prilagođenu poruku korisnicima koji su blokirani na osnovu crne liste IP adresa. Podrazumevana poruka je: We’re sorry, but access from your IP is not allowed.

Cloud Whitelist – omogućava dodavanje IP adresa na cloud listu dozvoljenih (whitelist), koje neće biti blokirane čak i ako se nalaze na globalnoj crnoj listi..

Cloud Blacklist – omogućava ručno dodavanje IP adresa na cloud crnu listu, kako bi se blokirale čak i ako nisu na globalnoj crnoj listi.

Sledeći tab je Country Blocking. Kao što verovatno i pretpostavljate, ovde možete podesiti blokiranje pristupa u zavisnosti od toga sa koje geografske lokacije korisnik pokušava da se uloguje.

Ova opcija vam omogućava da blokirate korisnike iz određenih zemalja da pristupe vašem sajtu ili samo stranici za prijavu. Alternativno, možete omogućiti pristup samo određenim zemljama, čime efektivno blokirate sve ostale.

Na mapi su prikazane zemlje iz kojih dolaze posetioci, sa procentualnim udelima. Ovaj prikaz može pomoći u donošenju odluke koje zemlje treba blokirati. Na mapi su jasno označene zemlje sa najvećim brojem poseta, što je prikazano crvenim krugovima različitih veličina.

Blocking Mode (dostupna u PRO verziji) – omogućava podešavanje režima blokiranja:

   – Disable country based blocking – isključuje blokiranje na osnovu zemlje, omogućavajući pristup svim korisnicima bez obzira na njihovu lokaciju.

   – Whitelist mode – omogućava pristup sajtu samo korisnicima iz zemalja na listi dozvoljenih (whitelist). Ovo je korisno ako želite da vaš sajt bude dostupan samo korisnicima iz određenih zemalja.

Blacklist mode – blokira pristup samo korisnicima iz specifičnih zemalja koje dodate na listu blokiranih (blacklist). Korisno je kada želite da sprečite pristup samo iz nekoliko specifičnih zemalja, dok je sajt dostupan svima ostalima.

U okviru taba Design možete prilagoditi izgled vaše CAPTCHA forme u skladu sa vašom knjigom standarda, odnosno brendingom vašeg sajta. Sve opcije u veoma intuitivne pa ih nećemo posebno objašnjavati. 

Važno je samo da napomenemo da se opcija podešavanja aktivira putem klizača Enable Customizer, koji vam onda omogućava da prilagodite, boje, fontove, dugmad, pozadinu, pa čak i da napišete sopstveni CSS kod za prilagođavanje forme.

Nakon ovoga na raspolaganju imate još samo tab pod nazivom Temp Access u okviru kojeg možete podesiti privremeni pristup vašem sajtu, bez deljenja korisničkih podataka.

Možete podesiti kojem korisnku dodeljujete privremeni pristup i na koji vremenski period. Klikom na dugme Create Temporary Link kreiraćete privremeni link za pristup, koji nakon toga možete poslati tom korisniku za pristup.

Naši utisci nakon testiranja Advanced Google reCAPTCHA

Nakon što smo obavili nekoliko testova sa Advanced Google reCAPTCHA pluginom, naš utisak je da je u pitanju veoma dobar CAPTCHA plugin. Nudi različite verzije CAPTCHA, od onih jednostavnijih, do naprednih Google reCAPTCHA verzija.

Plugin se generalno pokazao se kao jednostavan za instalaciju i veoma efikasan u blokiranju botova i spam-a. 

Činjenica je da većina naprednih opcija nije dostupna u besplatnoj verziji, ali je i besplatna verzija sasvim korektna i dovoljna za većinu korisnika

Kada je u pitanju PRO verzija, posebno su nam se dopale opcije blokiranja posetilaca iz određenih zemalja, firewall zaštite, kao i opcija kreiranja privremenih linkova za pristup.

Firewall opcije zahtevaju više tehničkog znanja i poznavanje filtiriranja mrežnog saobraćaja, ali to je svakako neophodno ukoliko želite da iskoristite pun potencijal ove funkcionalnosti.

Plugin je za vreme našeg testa radio glatko bez usporavanja sajta. Neki korisnici prijavljuju problem sa neznatnim usporavanjem učitavanja stranica na sajtu, što mi nismo primetili tokom našeg testa.

Napominjemo da smo ga mi testirali na najnovijoj verziji WordPress-a koja je dostupna u ovom trenutku (WordPress 6.6.2), pa imajte u vidu da kod starijih verzija WordPress-a (posebno ispod verzije 5.0) mogu da se jave određena kašnjenja.

Što se tiče opcija koje su usklađene sa GDPR-om, Iako za većinu domaćih korisnika one neće imati neki značaj, ipak je dobro da postoje, jer određenim kompanijama će svakako biti neophodne.

Iako je većina opcija dostupnih u besplatnoj ili PRO verziji vrlo intuitivna za podešavanje, neka napredna podešavanja mogu biti malo zahtevnija za korisnike sa manje tehničkog znanja. 

To ne mora samo po sebi da predstavlja manu, jer je svaka opcija dovoljno dobro objašnjena, pa će se i manje napredni korisnici lako snaći.

Mane koje možemo pripisati Advanced Google reCAPTCHA pluginu su pre svega to što za najnaprednije verzije CAPTCHA-e morate imati PRO verziju. Takođe, u verzijama CAPTCHA-e koje su dostupne u besplatnoj verziji, nema verzija koje su usklađene sa GDPR-om. Kako smo već rekli, usklađenost sa GDPR-om nije bitna za većinu domaćih kompanija, ali postoje i one kojima je ova usklađenost neophophodna.

Sve u svemu, ovaj plugin se pokazao kao dobar izbor za sve koji žele napredne CAPTCHA funkcionalnosti na svom web sajtu. 

Ukoliko su vam potrebne i neke naprednije postavke i opcije, onda svakako preporučujemo da izaberete neku od PRO verzija, koje vam nude sve što vam može biti potrebno za naprednu CAPTCHA zaštitu.

hCAPTCHA

Kao i Advanced Google CAPTCHA, tako je i hCAPTCHA plugin namenjen zaštiti WordPress web sajta od botova i automatizovanih napada. U svojoj osnovnoj verziji plugin je besplatan, dok ćete za naprednije opcije morati da kupite premium licencu.

Instalacija hCAPTCHA plugina

Instalaciju možete uraditi direktno iz WordPress admin dashboard-a, onako kako to inače radite za bilo koji drugi plugin.

Nakon instalacije i aktivacije plugina, u opcijama unutar admin dashboard-a pojaviće se nova opcija pod nazivom hCAPTCHA.

Kliknite na ovu opciju da biste otvorili podešavanja plugina.

Prvo će vam se otvoriti prozor kao na slici ispod.

Imate izbor između nekoliko tabova, od kojih u nekim radite podešavanje, dok su drugi samo analitički presek rada vašeg plugina, sa svim dostupnim statistikama i metrikama.

U okviru taba General dostupne su vam sledeće sekcije i opcije unutar njih:

Notifications (Obaveštenja)

• Prikazuje status postavki hCaptcha. U ovom slučaju, obaveštava da je potrebno da registrujete sajt i dobijete Site Key i Secret Key putem hCaptcha sajta. Klikom na Get site keys bićete usmereni na hCaptcha portal gde možete registrovati sajt i dobiti potrebne ključeve.

Keys (Ključevi)

• Site Key: javni ključ koji se koristi za integraciju hCaptcha sa vašim sajtom. Omogućava prikazivanje CAPTCHA zadataka korisnicima.
• Secret Key: tajni ključ koji je potreban za komunikaciju između vašeg sajta i hCaptcha servera i koristi se za verifikaciju rešenja CAPTCHA zadataka.
• Active hCaptcha to Check Site Config: kada je omogućena, ova opcija aktivira hCaptcha na sajtu kako bi proverila postavke i obezbedila da sve funkcioniše ispravno.
• Check Site Config: dugme koje omogućava proveru konfiguracije i ispravnosti postavki.
• Reset Notifications: koristi se za resetovanje obaveštenja, kako bi se uklonili eventualni prethodni problemi ili upozorenja.

Appearance (Izgled)

• Theme: birate temu hCaptcha interfejsa (npr. svetla ili tamna).
• Size: postavka za veličinu CAPTCHA okvira (Normal ili Compact).
• Language: omogućava biranje jezika hCaptcha izazova. Ako ostavite na Auto-Detect, jezik će se automatski prilagoditi na osnovu jezika korisnika (podešavanja unutar operativnog sistema korisnika).
• Mode: podesite hCaptcha u režim rada. Live je za stvarnu upotrebu, dok Test omogućava testiranje bez stvarne verifikacije korisnika.
• Force hCaptcha: kada je ova opcija uključena, hCaptcha će se forsirati na svim stranicama i u svim slučajevima gde je predviđeno da se pojavi.
• Tabs Menu Under Settings: omogućava prikazivanje tabova u podešavanjima.

General (Opšta podešavanja)

• Turn Off When Logged In: kada je ova opcija uključena, hCaptcha će biti isključena za ulogovane korisnike, što može biti korisno za olakšavanje pristupa administratorima.
• Disable reCAPTCHA Compatibility: kada je uključena, ova opcija onemogućava kompatibilnost sa reCAPTCHA za sajtove koji koriste samo hCaptcha.
• Login Attempts Before hCaptcha: postavlja broj pokušaja prijavljivanja pre nego što se prikaže hCaptcha.
• Failed login attempts interval, min: vremenski interval u minutima između neuspešnih pokušaja prijavljivanja pre prikazivanja hCaptcha.
• Delay showing hCaptcha, ms: odlaganje prikaza hCaptcha u milisekundama. Aktivacija ove opcije može da poboljša korisničko iskustvo posetilaca vašeg sajta, pogotovo u slučaju kada se stranica sporije učitava.

Statistics (Statistika)

• Enable Statistics: kada je ova opcija omogućena, hCaptcha će prikupljati statističke podatke o interakcijama sa CAPTCHA zadacima.
• Collect IP: omogućava prikupljanje IP adresa korisnika.
• Collect User Agent: omogućava prikupljanje podataka o browseru korisnika (User Agent).

Kao i kod većine drugih plugina, neke napredne opcije su dostupne samo u nekoj od premium verzija plugina. 

Pod tabom General to su dve opcije koje neće biti potrebne većini standardnih korisnika, ali mogu biti veoma korisne ukoliko želite da iz hCAPTCH-a izvučete maksimum zaštite za svoj web sajt, pogotovo ukoliko će hCAPTCHA raditi na nekom korporativnom sajtu.

Custom (dostupno u PRO verziji)

• Enable Custom Themes: omogućava prilagođavanje teme hCaptcha za izgled koji se uklapa sa dizajnom vašeg sajta. 
• Config Params (Parametri konfiguracije): polje u koje možete uneti dodatne parametre za prilagođavanje funkcionalnosti hCaptcha. Na primer, ovde možete postaviti specifične vrednosti za različite aspekte prikaza i ponašanja CAPTCHA.
• Property i Value: omogućava postavljanje specifičnih svojstava i vrednosti za prilagođene teme hCaptcha, kao što su veličina, boje ili drugi vizuelni elementi.

2. Enterprise (dostupno u Enterprise verziji)

• API Host: URL adresa API servera za hCaptcha. U ovom slučaju je postavljena na js.hcaptcha.com, što je podrazumevani API host za hCaptcha.
• Asset Host: polje za unos hosta za statičke resurse (kao što su slike i JavaScript fajlovi). Ovo se obično koristi za postizanje boljih performansi.
• Endpoint: polje za unos specifične API tačke (endpoint-a) za Enterprise korisnike kojima je potrebna veća fleksibilnost i kontrola nad hCaptcha funkcijama.
• Host: host servera na kojem se nalaze CAPTCHA resursi za Enterprise korisnike. Ova opcija omogućava specifičnije konfiguracije za velike sajtove.

Ne zaboravite da nakon podešavanja kliknete na dugme Save Changes kako biste sačuvali sve podešene promene.

Sledeći tab je Integrations. Ovde možete hCAPTCHA-u jednim klikom integrisati sa zaista velikim brojem third-party aplikacija (temama i pluginima) i aktivirati je na određenim formama i stranicama unutar tih aplikacija.

Aktivni Plugini i Teme

• Pod ovom sekcijom prikazane su forme koje su trenutno aktivirane za hCaptcha na sajtu:
  • Comment Form – aktivna na formama za komentare.
  • Login Form – aktivna na formi za prijavljivanje korisnika.
  • Lost Password Form – aktivna na formi za resetovanje lozinke.
  • Post/Page Password Form – aktivna na formama za unos lozinke zaštićenih postova/stranica.
  • Register Form – aktivna na formi za registraciju korisnika.

Klikom na svaku od ovih opcija, možete uključiti ili isključiti hCaptcha zaštitu za svaku pojedinačnu formu.

Neaktivni Plugini i Teme

• Pod ovom sekcijom prikazani su svi podržani plugini i teme sa opcijama za integraciju hCaptcha, ali nisu trenutno aktivirani. Među njima su popularni pluginovi kao što su:
  • Contact Form 7, Elementor, bbPress, WooCommerce, Gravity Forms, Ninja Forms, Jetpack, LearnDash, Memberpress, WPForms, i mnogi drugi.
• Svaki od ovih plugina ili tema ima opcije za određene tipove formi (npr. Login Form, Register Form, Checkout Form kod WooCommerce-a).
• Klikom na klizače pored svake forme možete uključiti ili isključiti hCaptcha zaštitu za tu specifičnu formu.

Sledeći tab je Forms. Kao i sličan prikaz kod Advanced Google reCAPTCHA plugina, tako i hCAPTCHA plugin ima statistiku i metrike koje prikazuju efikasnos blokiranja. Ovde nemamo šta posebno da napomenemo, osim toga da je uvid u statistiku moguć samo u nekoj od premium verzija plugina.

Slično je i kod taba Events, koji prikazuje sve događaje na vašem sajtu vezano za hCAPTCHA i to u formi grafičkog prikaza. I ova statistika je dostupna samo u nekoj od premium verzija plugina.

Na kraju, dobro je da pomenemo i tab Info, koji može da bude koristan kod reševanja nekih problema sa plugin-om i može da pomogne tehničkoj podršci da imaju brz uvid u vaša podešavanja plugina.

To bi ukratko bilo sve od podešavanja koja možete da uradite u hCAPTCHA pluginu.

Naši utisci nakon testiranja hCaptcha plugina

Nakon malo igranja i testiranja naš zaključak je da je hCaptcha nešto jednostavnije, ali ništa manje napredno rešenje u odnosu na Advanced Google reCAPTCHA plugin.

Kako je to očekivano, u besplatnoj verziji nudi samo neke osnovne funkcionalnosti, dok u Pro i Enterprise verzijama ima napredne opcije koje su namenjene pretežno korporativnim korisnicima..

Omogućava različite opcije prilagođavanja, uključujući izbor između svetlog i tamnog režima, promenu veličine CAPTCHA okvira i automatsko prilagođavanje jezika prema posetiocu sajta. 

Tokom testiranja nismo primetili bilo kakvo usporavanje niti kašnjenje učitavanja stranica.

Iako većina naprednih opcija nije dostupna u besplatnoj verziji, ona ipak pruža dovoljno funkcionalnosti za prosečnog korisnika. Pro verzija omogućava prilagođavanje teme, kao i dodatne sigurnosne opcije, dok Enterprise verzija donosi napredne postavke kao što su prilagođeni API hostovi. Ova opcija omogućava veću fleksibilnost i bolje performanse, naročito za velike kompanijske sajtove.

Takođe, Pro i enterprise verzije donose i opciju blokiranja korisnika iz određenih zemalja, s tim da je za to podešavanje potrebno da napravite nalog na hCAPTCHA portalu i pod opcijom Security ili Advanced Settings pronađete opciju za blokiranje saobraćaja. 

Jedna od zanimljivih karakteristika hCaptcha je i mogućnost monetizacije – vlasnici sajtova mogu ostvariti simboličan prihod svaki put kada posetioci reše CAPTCHA zadatke. Iako ovaj model nije dovoljno profitabilan da bude glavni izvor prihoda, može biti zanimljiv dodatak za sajtove sa velikim brojem poseta.

Ova opcija nije dostupna za podešavanje unutar plugina, već je možete podesiti samo na hCAPTCHA portalu.

Da biste je aktivirali potrebno je da se prethodno registrujete na portalu i aktivirate svoj Publisher nalog.

Što se tiče prilagođavanja regulativama poput GDPR-a, hCaptcha nudi opcije koje omogućavaju bolje upravljanje privatnošću korisnika, kao što je isključivanje prikupljanja IP adresa i podataka o korisničkom uređaju. Ove opcije mogu biti korisne za kompanije koje imaju specifične zahteve u pogledu privatnosti i usklađenosti sa zakonom.

Tokom testa nismo naišli na neke ozbiljnije zamerke, osim što se može činiti da su hCaptcha zadaci malo zahtevniji u poređenju sa jednostavnijim CAPTCHA opcijama. To može biti problem za korisnike sa slabijim ili oštećenim vidom, ali sa druge strane pruža dodatni nivo bezbednosti za vaš sajt.

Sve u svemu, hCaptcha se pokazala kao dobro rešenje za sve koji traže CAPTCHA zaštitu sa naglaskom na privatnost i mogućnost prilagođavanja. 

Ukoliko su vam potrebne dodatne funkcionalnosti ili želite maksimalnu kontrolu nad CAPTCHA opcijama, preporučujemo da razmotrite Pro ili Enterprise verziju, koje pružaju sve što je potrebno za naprednu zaštitu i dodatnu prilagodljivost.

Zaključak

Kao što ste videli, CAPTCHA je popularan i efikasan način u borbi protiv spama, ali ona može imati i negativne strane, naročito kada je u pitanju korisničko iskustvo. Niko ne želi da na sajtu dodatno rešava zadatke kako bi mogao da pristupi nekoj funkcionalnosti. 

Za sajtove koji se oslanjaju na visok nivo interakcije, CAPTCHA ponekad može negativno uticati na konverziju.

Pored toga, CAPTCHA nije uvek potpuno pouzdana. Napredniji botovi mogu zaobići neke verzije, što znači da ova tehnologija nije apsolutna zaštita. Ipak, kada je pravilno implementirana, CAPTCHA omogućava visok stepen zaštite od automatizovanih napada putem botova.

Alternativno, možete razmotriti i druga anti-spam rešenja za WordPress, koja mogu bolje odgovarati specifičnim potrebama vašeg sajta. 

Ukoliko vam je potrebno da koristite CAPTCHA na svom WordPress sajtu, u ovom tekstu smo vam predstavili dva popularna CAPTCHA plugina: Google Advanced CAPTCHA i hCAPTCHA.

Oba plugina pružaju solidan novo zaštite čak i o osnovnim verzijama, dok u premium verzijama nude sve napredne funkcionalnosti za zaštitu od automatizovanih bot napada.

Preporučujemo da testirate oba ova rešenja na svom sajtu i proverite koje od njih najviše odgovara vašim potrebama.

Nenad Mihajlović