| Solução | Como decide humano x bot | Custo / limite | Melhor cenário |
|---|---|---|---|
| reCAPTCHA v3 (Google) | Score de 0.0 a 1.0 por requisição | Gratuito até 1 milhão de chamadas/mês | Formulários de alto volume |
| Cloudflare Turnstile | Desafio não-interativo + sinais de rede | Gratuito, sem cota dura | Sites já atrás da Cloudflare |
| Honeypot | Campo oculto que só bot preenche | Gratuito, zero dependência externa | Spam de baixa sofisticação |
Legenda: o par de chaves (site key e secret key) conecta o WordPress ao serviço de verificação.
### Passo 1: Gere o par de chaves de API Crie as chaves no console do provedor escolhido antes de tocar no WordPress. No reCAPTCHA v3, registre o domínio, selecione o tipo "v3" e copie a site key e a secret key. Esse par autentica cada requisição: a site key vai no frontend, a secret key fica no servidor e nunca é exposta. Guarde a secret key como credencial sensível, no mesmo nível de uma senha de banco de dados. ### Passo 2: Instale o plugin de integração Instale um plugin que conecte as chaves aos seus formulários. O Contact Form 7, o WPForms e o All in One Security trazem campo nativo de chave reCAPTCHA no painel de ajustes. Cole a site key e a secret key, salve e o plugin injeta o script de verificação nas páginas certas. Evite carregar dois plugins de CAPTCHA ao mesmo tempo: scripts duplicados geram conflito de token e o formulário passa a rejeitar envios válidos. ### Passo 3: Ative a verificação nos formulários certos Aplique o CAPTCHA invisível apenas onde há risco real: contato, login, comentário e checkout. Ativar em todo formulário, inclusive busca interna, desperdiça cota de API e pode gerar falso positivo. No login, a verificação reduz a superfície de ataques de força bruta no login do WordPress, que tentam milhares de senhas por minuto. Marque cada formulário individualmente no painel do plugin. ### Passo 4: Calibre o threshold de score Defina o corte de score com base em dados, não no padrão de fábrica. O reCAPTCHA v3 sugere 0.5, mas formulários de e-commerce com tráfego pago costumam exigir 0.3 para não barrar comprador legítimo vindo de anúncio. Comece em 0.5, monitore os logs por uma semana e ajuste. Um threshold em 0.7 bloqueia mais bot, mas também derruba humano com navegador antigo ou VPN corporativa. ### Passo 5: Teste com bot real e com humano Valide a configuração simulando os dois lados antes de declarar pronto. Preencha o formulário manualmente para confirmar que o envio passa, depois use uma ferramenta de automação para confirmar que o bot é barrado. Verifique o log de score: se humanos legítimos aparecem abaixo do threshold, baixe o corte. Esse teste cruzado evita o cenário silencioso em que o CAPTCHA invisível bloqueia conversão sem registrar erro visível para o administrador. --- ## Quando o CAPTCHA invisível falha: Cache e score mal calibrado O CAPTCHA invisível falha em dois cenários técnicos previsíveis, e ambos passam despercebidos sem monitoramento de log. O primeiro é o cache de página agressivo: o token do reCAPTCHA v3 expira em cerca de 2 minutos, e um formulário servido a partir de HTML cacheado entrega um token morto, com envio falhando de forma intermitente. A correção do token expirado é carregar o badge por fragmento não-cacheado ou gerar um nonce por requisição. O segundo cenário é o honeypot combinado com cache: se o campo oculto é servido estático, um bot que leu a página cacheada já conhece o campo e o ignora por completo. Por isso o CAPTCHA invisível precisa conviver com a camada de cache, não competir com ela. Um firewall WordPress na frente reduz o ruído antes mesmo da verificação rodar. --- ## Dados reais de segurança: O que os cves de formulário mostram Os formulários são alvo histórico de CVE no WordPress, e o CAPTCHA invisível é só uma das camadas de defesa. O Contact Form 7 acumula 12 CVEs ao longo dos anos, incluindo a CVE-2020-35489 (CVSS 10.0), uma falha de upload irrestrito que afetava versões anteriores à 5.3.2. O WPForms registra a CVE-2022-3574 (CVSS 9.8), corrigida na 1.7.7. As duas já têm patch: hoje, segundo o perfil público do WPVulnerability, ambos os plugins estão sem vulnerabilidade crítica em aberto, sinal de manutenção ativa. O ponto é que CAPTCHA não substitui atualização. A FULL é a única CVE Numbering Authority (CNA) brasileira sob a CISA desde maio de 2022, então quem escreve este guia cataloga CVE oficialmente. Consulte também as vulnerabilidades do Contact Form 7 antes de escolher seu plugin. --- ## CAPTCHA invisível contra spam e bots automatizados O CAPTCHA invisível corta a maior parte do spam de formulário automatizado porque a maioria dos bots de baixo custo não executa JavaScript nem simula comportamento humano. Segundo o Cloudflare Radar, nos dados de 2026 o DDoS concentra 82,4% dos ataques de camada de aplicação no Brasil. Esse número reforça por que o CAPTCHA invisível trabalha melhor atrás de um WAF: o firewall corta o volume bruto, e a verificação refina o que sobra no formulário. Para o spam que escapa, combine a verificação com filtros de conteúdo, como mostra o guia de proteger formulário de spam no WordPress. A gente vê no suporte da FULL que boa parte dos chamados de spam some quando o site adota CAPTCHA invisível mais honeypot na mesma camada de defesa. --- ## Proteja todos os formulários com o plano certo Ativar o CAPTCHA invisível resolve o formulário, mas a proteção real do WordPress vem da pilha completa de segurança. O plano PRO da FULL custa R$849,90 e dá acesso ao All in One Security, ao bundle de 17 plugins e à ativação em um clique nos seus sites. Dividido por dez sites, isso dá R$85 por site, abaixo da licença avulsa de um único plugin de segurança premium. A gente vê no suporte da FULL que a maior parte dos sites invadidos não tinha firewall nem CAPTCHA ativos na hora do incidente. Compare os planos da FULL e escolha pela quantidade de sites que você gerencia. Para um diagnóstico imediato, rode o FULL Scan e descubra se algum plugin do seu site está vulnerável agora. ---Sim. O CAPTCHA invisível roda em menos de 500 ms sem pedir clique, então não adiciona fricção ao preenchimento. A chave é calibrar o threshold de score: comece em 0.5 no reCAPTCHA v3 e baixe para 0.3 em formulários com tráfego pago. Monitore o log por uma semana para confirmar que nenhum humano legítimo está sendo barrado abaixo do corte.
Porque o score do reCAPTCHA v3 cai com VPN corporativa, navegador desatualizado ou IP com má reputação compartilhada. Com threshold em 0.7, esses casos legítimos ficam abaixo do corte e o envio falha sem mensagem visível. A correção é reduzir o threshold para 0.5 ou 0.3 e revisar os logs de score semanalmente para identificar falsos positivos.
O reCAPTCHA v3 devolve um score de 0.0 a 1.0 e exige que você defina o corte; é gratuito até 1 milhão de chamadas por mês. O Cloudflare Turnstile usa um desafio não-interativo somado a sinais de rede e não tem cota dura, sendo a escolha natural para sites que já passam pela Cloudflare. Turnstile também não envia dados ao Google, vantagem para conformidade com a LGPD.
O script de verificação adiciona entre 100 e 300 ms ao carregamento, contra os 8 a 32 segundos que um reCAPTCHA v2 com imagens custa em interação humana. Para não impactar o LCP, carregue o badge de forma assíncrona e só nas páginas com formulário. Em sites com cache, sirva o token por fragmento não-cacheado para evitar token expirado.
O CAPTCHA invisível adiciona uma camada de verificação que barra a automação de credenciais antes da senha ser testada, cortando milhares de tentativas por minuto. Ele não substitui o limite de tentativas de login nem o firewall, mas reduz a carga de requisições maliciosas. Combine-o com limitação de tentativas e um CAPTCHA no login do WordPress para defesa em profundidade.