Google reCAPTCHA平替：使用Cloudflare Turnstile保护您的WordPress网站

多年来，谷歌的 reCAPTCHA 一直是保护网站免受垃圾邮件和机器人攻击的首选解决方案。然而，由于谷歌最近决定开始对使用 reCAPTCHA 收费，许多网站所有者和开发人员都在寻找免费、隐私友好的替代方案。

幸运的是，我们有一个不错的选择： Cloudflare Turnstile 是一种免费且用户友好的验证码替代方案，可在不影响用户体验的情况下增强安全性。在本篇文章中，我们将探讨 Cloudflare Turnstile 是什么，为什么它是 reCAPTCHA 的最佳替代品，以及如何在 WordPress 网站上轻松实现它。

为什么要寻找Google reCAPTCHA平替？

虽然 Google reCAPTCHA 可以有效阻止自动垃圾邮件和滥用行为，但其新的定价模式却让许多小企业、博主和网站所有者望而却步。以下是替代方案的原因：

• 成本：谷歌对 reCAPTCHA 收费后，流量大的网站可能会面临意想不到的开支。
• 隐私问题：谷歌的 reCAPTCHA 会收集用户数据，并与谷歌的服务互动，这就会引发隐私问题。
• 用户体验：许多用户认为再验证码令人沮丧，尤其是在处理基于图像的挑战时。

什么是Cloudflare Turnstile？

Turnstile 是由 Cloudflare 于 2022 年发布了新的验证码替代工具。Turnstile 旨在解决传统验证码的已知问题，即糟糕的客户体验和隐私问题/与谷歌（主要验证码提供商）的利益冲突。

Turnstile 可根据客户行为和遥测数据，从一套浏览器挑战中进行选择，从而检查僵尸行为。它可以利用私人访问令牌（PAT），分析一些会话数据，运行一小套 JavaScript（JS）挑战来收集更多信号，并利用 JS 挑战的输出来改变挑战难度。

从本质上讲，它是一种独立的 “非验证码” 验证码，可在后台运行，就像 reCAPTCHA v3 一样。（不幸的是，仅仅依靠验证码挑战来确保安全性会带来一些新的挑战，因为机器人不断变得越来越复杂，足以轻松绕过基于行为的验证码工具）。

Cloudflare Turnstile 是一款免费且隐私友好的验证码替代工具，无需交互即可验证访客。与 reCAPTCHA 不同的是，Turnstile 不会在网络上跟踪用户，也不需要解决谜题。

Cloudflare Turnstile 的主要优势：

• 完全免费：无论网站流量大小，均不收取任何隐藏费用。
• 不依赖谷歌：独立于 Google 服务运行。
• 隐私友好： 不跟踪或收集不必要的用户数据。
• 无缝的用户体验： 自动检测机器人，不会让人类访问者感到沮丧。
• 易于集成： 可与 WordPress 表单、登录页面、WooCommerce 等配合使用。

以下是支持的表单列表：

WordPress：

• 登录表单
• 注册表单
• 密码重置表单
• 评论表单

WooCommerce：

• 结账
• 订单付款
• 登录表单
• 注册表单
• 密码重置表单

表单插件：

• WPForms
• Fluent Forms
• Contact Form 7
• Gravity Forms
• Formidable Forms
• Forminator Forms
• Jetpack Forms

其他集成：

• Elementor Pro 表单
• Easy Digital Downloads 表单
• Paid Memberships Pro 表单
• Mailchimp for WordPress 表单
• BuddyPress 注册表单
• bbPress Create Topic & Reply 表单
• MemberPress 表单
• Ultimate Member 表单
• WP-Members 表单
• WP User Frontend 表单
• wpDiscuz Comments 表单
• CheckoutWC & Flux Checkout

该插件还兼容 WordPress Multisite 和大多数双因素身份验证 (2FA) 插件。

Cloudflare Turnstile是如何工作的？

Turnstile 根据客户端行为和遥测数据，从一系列浏览器挑战中选择僵尸行为进行检查。首先，它会运行一系列小型非交互式 JavaScript 挑战，收集有关访问者/浏览器环境的更多信号。这些挑战包括工作量证明、空间证明、网络应用程序接口探测以及其他各种用于检测浏览器怪异性和人类行为的挑战。因此，我们可以根据具体请求微调挑战难度，避免向用户展示视觉谜题。

根据网站上旋转门的设置，我们主要有两种不同的行为：

• 如果第一次测试结果不一，Cloudflare 仍有疑问，建议安装基本上会显示一个要求用户点击的框。

• 还有一种完全非交互式的安装方式，在这种安装方式中，你只会得到一个显示测试结果的盒子。

• 最后但并非最不重要的是完全隐形安装，需要几秒钟才能完成所有测试，并最终将您锁定在网站之外。

在 Harrods.com 网站上可以找到一些旋转门的实际应用案例。使用搜刮器访问时，你会看到一个特定的页面（我想这就是所谓的等候室），直到转门完成对你的搜刮器的所有检查，并最终要求你的搜刮器点击方框以证明 “he’s human”。

通过所有检查后，您的搜刮器将被重定向到主页。相反，如果你以真实用户的身份浏览网站，应该不会看到这个页面：这个网站可能使用的是默认的旋转门配置。

如何在WordPress上设置Cloudflare Turnstile

使用 Simple Cloudflare Turnstile 插件将 Cloudflare Turnstile 添加到您的 WordPress 网站非常简单。请按照以下步骤开始操作：

1. 安装Simple Cloudflare Turnstile插件

登录 WordPress 控制面板，转到插件>安装新插件。

搜索 Simple Cloudflare Turnstile，单击立即安装。

安装完成后，单击启用继续。

2. 获取Cloudflare API密钥

访问 Cloudflare Turnstile 控制面板，如果您没有 Cloudflare 账户，需要创建一个免费账户。

在左侧导航中，单击 Turnstile。

然后点击 Add widget。

在 Widget name 框中输入您喜欢的标签来标识此小工具。这样您就可以设置您希望该旋转栅栏工作的具体方式。

然后在“Hostname Management”中单击 + Add Hostnames，分配一个或多个您希望使用此 widget 的域。确保添加的域名为“[DOMAIN].[TOP-LEVEL DOMAIN]”，开头不带“www”。

例如

• “domain.com”
• “mysite.me”
• “example.co”

然后，您可以从三种 Widget Modes 中进行选择。这将决定 Turnstile 的行为方式：

• Managed：CloudFlare 将决定访问者是否必须完成某种“挑战”才能清除验证码。
• Non-interactive：在扫描和授权用户时显示进度条。
• Invisible：将扫描并授权用户，但不显示进度条。

填写完选项后，单击 Create。

Cloudflare 将显示您的“Site Key”和“Secret Key”。

保持打开此选项卡。下一步，您将进入 WordPress 复制并粘贴这两个密钥。

3. 在WordPress中配置插件

在 WordPress 管理面板中进入设置 > Cloudflare Turnstile。

输入 Cloudflare 提供的“Site Key”和“Secret Key”。

粘贴密钥后，您会收到一条通知，要求您“test”设置。几秒钟后，系统会告诉你设置是否正确。

向下滚动并选择要启用 Turnstile 的表单（例如登录页面、评论、WooCommerce 结账）。

保存更改并在网站上测试验证码！

Cloudflare Turnstile替代方案

正如文章开头提到的，Turnstile 的出现是为了取代 Google Captchas，试图在僵尸检测行业抢占一些市场份额。

与 Turnstile 更为相似的谷歌解决方案是 reCAPTCHA v3，它在后台执行检查，无需与用户进行任何交互。

挑战会向网站所有者返回一个分数，网站所有者可以根据分数在网站上采取不同的行动，如显示不同的页面或禁用评论。

hCaptcha 是另一种著名的僵尸检测解决方案，它与前面提到的其他两种解决方案有所不同。

Turnstile 和 reCAPTCHA V3 都是通过后台挑战直接检测僵尸，不需要任何用户交互，而 hCaptcha 还集成了传统的用户工作证明。

直接检测和工作量证明这两种方法各有利弊。直接检测不会破坏网站的用户体验，而工作证明仍然是限制 DDOS 攻击的最可靠方法。

小结

随着 Google reCAPTCHA 转向付费模式，现在是转而使用 Cloudflare Turnstile 这样的免费隐私友好型替代品的最佳时机。

它易于设置，能改善用户体验，并有助于保证WordPress网站的安全，而且无需额外费用。

准备好了吗？下载简单的Cloudflare Turnstile插件，立即开始保护您的网站！