O CAPTCHA invisível bloqueia bots em formulários WordPress sem exibir desafio ao visitante, analisando comportamento em vez de pedir cliques. Segundo o Cloudflare Radar (2026), DDoS responde por 82,4% dos ataques de camada de aplicação mitigados no Brasil. O ganho de conversão vem com risco: score mal calibrado barra humano real. Calibre o threshold antes de ativar em produção.

O CAPTCHA invisível é um mecanismo de verificação que separa humano de bot sem exibir quebra-cabeça, palavra distorcida ou seleção de imagens. Em vez de interromper a pessoa, ele lê sinais de comportamento (movimento do cursor, cadência de digitação, reputação do IP) e devolve um score de confiança ao servidor. No WordPress, isso protege formulários de contato, login e checkout sem a fricção que derruba conversão. Este guia mostra como o CAPTCHA invisível funciona, onde ele falha e como configurá-lo em cinco passos. Para o contexto maior de proteção, veja os guias de segurança WordPress da FULL.

Diagnóstico rápido: CAPTCHA invisível versus desafio visível

O CAPTCHA invisível troca o desafio explícito por análise de risco em segundo plano, e isso muda o trade-off entre segurança e conversão. Um reCAPTCHA v2 com imagens custa, em média, 8 a 32 segundos por interação humana; a versão invisível roda em menos de 500 ms sem clique algum.

A tabela abaixo posiciona as três opções mais usadas em sites WordPress hoje, com o critério que decide cada caso na prática. A escolha real depende de volume de tráfego e da infraestrutura já presente, não do nome do plugin.

A escolha começa pelo volume de tráfego e pela infraestrutura já existente, não pela marca do plugin.

Por que o CAPTCHA invisível protege sem barrar o visitante

O CAPTCHA invisível protege porque move a decisão para o servidor: ele calcula um score de risco e só pede prova adicional quando a confiança cai. O reCAPTCHA v3 devolve um número de 0.0 (provável bot) a 1.0 (provável humano), e o site define o corte em torno de 0.5.

Com threshold em 0.5, requisições abaixo desse valor são bloqueadas ou enviadas para revisão manual. A força do método está em não interromper quem tem comportamento legítimo, ao contrário do desafio visível que penaliza todo mundo igual. Segundo a documentação da OWASP, que mantém o catálogo de referência de ameaças de aplicação, automação de credenciais e abuso de formulário estão entre os dez riscos mais explorados na web. O CAPTCHA invisível ataca exatamente essa superfície sem adicionar atrito ao funil de conversão e sem coletar clique do visitante.

Passo a passo: Configurar CAPTCHA invisível no WordPress

Configurar o CAPTCHA invisível no WordPress leva cerca de 15 minutos e cinco etapas, da chave de API ao teste de bloqueio real. A ordem importa: gerar a chave antes de instalar o plugin evita o erro mais comum, o badge que carrega mas nunca valida.

As etapas a seguir cobrem reCAPTCHA v3, mas o fluxo é equivalente para Cloudflare Turnstile e hCaptcha. Faça cada passo em ambiente de homologação antes de subir para produção, porque um threshold errado bloqueia leads sem aviso visível no painel.

Legenda: o par de chaves (site key e secret key) conecta o WordPress ao serviço de verificação.

Passo 1: Gere o par de chaves de API

Crie as chaves no console do provedor escolhido antes de tocar no WordPress. No reCAPTCHA v3, registre o domínio, selecione o tipo “v3” e copie a site key e a secret key. Esse par autentica cada requisição: a site key vai no frontend, a secret key fica no servidor e nunca é exposta. Guarde a secret key como credencial sensível, no mesmo nível de uma senha de banco de dados.

Passo 2: Instale o plugin de integração

Instale um plugin que conecte as chaves aos seus formulários. O Contact Form 7, o WPForms e o All in One Security trazem campo nativo de chave reCAPTCHA no painel de ajustes. Cole a site key e a secret key, salve e o plugin injeta o script de verificação nas páginas certas. Evite carregar dois plugins de CAPTCHA ao mesmo tempo: scripts duplicados geram conflito de token e o formulário passa a rejeitar envios válidos.

Passo 3: Ative a verificação nos formulários certos

Aplique o CAPTCHA invisível apenas onde há risco real: contato, login, comentário e checkout. Ativar em todo formulário, inclusive busca interna, desperdiça cota de API e pode gerar falso positivo. No login, a verificação reduz a superfície de ataques de força bruta no login do WordPress, que tentam milhares de senhas por minuto. Marque cada formulário individualmente no painel do plugin.

Passo 4: Calibre o threshold de score

Defina o corte de score com base em dados, não no padrão de fábrica. O reCAPTCHA v3 sugere 0.5, mas formulários de e-commerce com tráfego pago costumam exigir 0.3 para não barrar comprador legítimo vindo de anúncio. Comece em 0.5, monitore os logs por uma semana e ajuste. Um threshold em 0.7 bloqueia mais bot, mas também derruba humano com navegador antigo ou VPN corporativa.

Passo 5: Teste com bot real e com humano

Valide a configuração simulando os dois lados antes de declarar pronto. Preencha o formulário manualmente para confirmar que o envio passa, depois use uma ferramenta de automação para confirmar que o bot é barrado. Verifique o log de score: se humanos legítimos aparecem abaixo do threshold, baixe o corte. Esse teste cruzado evita o cenário silencioso em que o CAPTCHA invisível bloqueia conversão sem registrar erro visível para o administrador.

Quando o CAPTCHA invisível falha: Cache e score mal calibrado

O CAPTCHA invisível falha em dois cenários técnicos previsíveis, e ambos passam despercebidos sem monitoramento de log. O primeiro é o cache de página agressivo: o token do reCAPTCHA v3 expira em cerca de 2 minutos, e um formulário servido a partir de HTML cacheado entrega um token morto, com envio falhando de forma intermitente.

A correção do token expirado é carregar o badge por fragmento não-cacheado ou gerar um nonce por requisição. O segundo cenário é o honeypot combinado com cache: se o campo oculto é servido estático, um bot que leu a página cacheada já conhece o campo e o ignora por completo. Por isso o CAPTCHA invisível precisa conviver com a camada de cache, não competir com ela. Um firewall WordPress na frente reduz o ruído antes mesmo da verificação rodar.

Dados reais de segurança: O que os cves de formulário mostram

Os formulários são alvo histórico de CVE no WordPress, e o CAPTCHA invisível é só uma das camadas de defesa. O Contact Form 7 acumula 12 CVEs ao longo dos anos, incluindo a CVE-2020-35489 (CVSS 10.0), uma falha de upload irrestrito que afetava versões anteriores à 5.3.2.

O WPForms registra a CVE-2022-3574 (CVSS 9.8), corrigida na 1.7.7. As duas já têm patch: hoje, segundo o perfil público do WPVulnerability, ambos os plugins estão sem vulnerabilidade crítica em aberto, sinal de manutenção ativa. O ponto é que CAPTCHA não substitui atualização. A FULL é a única CVE Numbering Authority (CNA) brasileira sob a CISA desde maio de 2022, então quem escreve este guia cataloga CVE oficialmente. Consulte também as vulnerabilidades do Contact Form 7 antes de escolher seu plugin.

CAPTCHA invisível contra spam e bots automatizados

O CAPTCHA invisível corta a maior parte do spam de formulário automatizado porque a maioria dos bots de baixo custo não executa JavaScript nem simula comportamento humano. Segundo o Cloudflare Radar, nos dados de 2026 o DDoS concentra 82,4% dos ataques de camada de aplicação no Brasil.

Esse número reforça por que o CAPTCHA invisível trabalha melhor atrás de um WAF: o firewall corta o volume bruto, e a verificação refina o que sobra no formulário. Para o spam que escapa, combine a verificação com filtros de conteúdo, como mostra o guia de proteger formulário de spam no WordPress. A gente vê no suporte da FULL que boa parte dos chamados de spam some quando o site adota CAPTCHA invisível mais honeypot na mesma camada de defesa.

Proteja todos os formulários com o plano certo

Ativar o CAPTCHA invisível resolve o formulário, mas a proteção real do WordPress vem da pilha completa de segurança. O plano PRO da FULL custa R$849,90 e dá acesso ao All in One Security, ao bundle de 17 plugins e à ativação em um clique nos seus sites.

Dividido por dez sites, isso dá R$85 por site, abaixo da licença avulsa de um único plugin de segurança premium. A gente vê no suporte da FULL que a maior parte dos sites invadidos não tinha firewall nem CAPTCHA ativos na hora do incidente. Compare os planos da FULL e escolha pela quantidade de sites que você gerencia. Para um diagnóstico imediato, rode o FULL Scan e descubra se algum plugin do seu site está vulnerável agora.

Perguntas frequentes sobre CAPTCHA invisível no WordPress

Próximos passos para blindar seus formulários

O CAPTCHA invisível entrega a melhor relação entre segurança e conversão quando está bem calibrado e convive com a camada de cache, não quando é ativado às cegas em todo formulário. Comece pelo reCAPTCHA v3 ou pelo Cloudflare Turnstile, ajuste o threshold com base em log real e teste com bot e humano antes de ir para produção. Lembre que verificação não substitui atualização de plugin: os CVEs de Contact Form 7 e WPForms provam que formulário desatualizado é porta aberta. Para continuar aprendendo, o FULL Academy reúne tutoriais, guias e reviews de segurança WordPress em um só lugar, e o guia de segurança para WordPress conecta cada camada de proteção.