O captcha no login do WordPress barra robôs de força bruta antes que testem milhares de senhas por minuto. Segundo o NVD/NIST (2020), a falha CVE-2020-35489 no Contact Form 7 recebeu CVSS 10.0 por upload irrestrito via formulário. Um desafio invisível como o Turnstile resolve sem cair a conversão. Escolha o tipo certo e valide a ativação.
O captcha é um teste automático que separa um humano de um robô antes de liberar uma ação sensível, como enviar o formulário de login. No WordPress, a tela wp-login.php é o alvo número um de ataques de senha, e sem essa barreira qualquer script consegue tentar combinações sem limite. Este tutorial mostra como instalar e configurar o captcha em 5 passos, qual tipo escolher entre desafio visível e verificação invisível, e como confirmar que a proteção ficou ativa. Para o contexto completo, consulte o guia de segurança WordPress da FULL.
Primeiros passos: O que o captcha protege no WordPress
O verificacao anti-bot protege três pontos de entrada onde robôs causam mais dano: o login (wp-login.php), o registro de usuário e os comentários. Na maior parte dos sites invadidos que chegam ao suporte da FULL (150 mil sites), o vetor inicial foi força bruta no login sem limite de tentativa.
Esse teste anti-bot corta o fluxo na origem: o robô não resolve o desafio e nunca chega a testar a senha.
A tabela abaixo resume onde aplicar cada camada e o que ela bloqueia. A verificação resolve o problema de volume automatizado, mas não substitui senha forte nem autenticação de dois fatores. Ela é a primeira barreira, não a única.
| Ponto de entrada | Ameaça automatizada | Camada recomendada |
|---|---|---|
| Login (wp-login.php) | Força bruta de senha | verificacao humana + limite de tentativas |
| Registro de usuário | Cadastro de contas falsas | checagem anti-bot invisível |
| Comentários e formulários | Spam e upload malicioso | barreira anti-bot + validação de campo |
Os 3 tipos de captcha e qual escolher
Existem três gerações de verificacao anti-bot em uso no WordPress hoje, e a escolha define o atrito do visitante. O reCAPTCHA v2 mostra o clássico “não sou um robô”, com acerto humano em torno de 98%. O reCAPTCHA v3 e o Cloudflare Turnstile rodam invisíveis e só pedem interação se o risco passar do limite.
Para login, o desafio invisível vence porque não derruba a taxa de acesso de usuários legítimos.
A diferença prática aparece na privacidade. O Google reCAPTCHA v3 envia sinais de navegação para servidores do Google, o que pesa em sites sob LGPD. O Cloudflare Turnstile e o hCaptcha oferecem verificação sem rastreamento de perfil, uma alternativa que a gente recomenda no suporte da FULL para lojas e portais que coletam dados sensíveis. O Really Simple CAPTCHA, por sua vez, gera uma imagem local sem depender de API externa, útil quando o site não pode chamar serviços de terceiros.
O peso do desafio mudou entre e : a geração visível de imagens deu lugar à pontuação de risco invisível, que na maioria dos cenários testados reduz o abandono no formulário. Em sites com tráfego acima de 50 mil visitas por mês, a gente tende a ver o reCAPTCHA v3 marcar usuários reais como suspeitos em horários de pico de bot; nesses casos, trocar pelo Turnstile costuma estabilizar a taxa de acesso sem afrouxar a barreira.
Como instalar e configurar o captcha no login: Passo a passo
Configurar o captcha no login leva menos de 10 minutos com um plugin de segurança. O caminho mais direto usa o All in One Security, incluído nos planos da FULL, que adiciona o captcha à tela wp-login.php sem editar código, em 4 passos.
Os quatro passos abaixo cobrem instalação, escolha do provedor, aplicação ao login e teste. Faça em homologação antes de produção se o site tiver tráfego alto.
Legenda: a aba de login do plugin mostra o captcha aplicado antes da validação de senha.
Passo 1: Instale o plugin de segurança
Acesse Plugins, Adicionar novo, busque por All in One Security (AIOS) e clique em Instalar e Ativar. O plugin é gratuito na versão base e cobre captcha, limite de login e firewall em um só painel. Em sites da base FULL, ele ativa em 1 clique junto com o restante do pacote de segurança gerenciada.
Passo 2: Gere as chaves do provedor de captcha
Escolha o provedor e gere o par de chaves. No Cloudflare Turnstile, crie um widget no painel da Cloudflare e copie a Site Key e a Secret Key. No Google reCAPTCHA, registre o domínio no admin do reCAPTCHA e selecione v2 ou v3. Guarde as duas chaves: sem a Secret Key, a validação no servidor falha e nada é bloqueado.
Passo 3: Aplique o captcha à tela de login
No menu do AIOS, vá em Brute Force, aba captcha, cole as chaves e marque a opção de exibir o captcha na página de login. Salve e o desafio passa a aparecer no wp-login.php. Ative também o limite de tentativas na mesma seção: o desafio barra o robô, e o rate limiting bloqueia o IP que insistir, fechando a força bruta por dois lados.
Passo 4: Teste em uma janela anônima
Abra wp-login.php em uma aba anônima e confirme que o desafio aparece antes do botão de acesso. Tente logar com senha errada três vezes seguidas e veja se o IP é bloqueado. Se o desafio não renderizar, o erro quase sempre está na Site Key trocada ou no domínio não autorizado no painel do provedor.
Por que captcha sozinho não fecha o buraco (cves reais)
O desafio trava o volume automatizado, mas formulário vulnerável abre porta mesmo com o desafio ativo. A falha CVE-2020-35489 no Contact Form 7 recebeu CVSS 10.0 (crítica) no NVD/NIST por permitir upload irrestrito de arquivos em versões anteriores à 5.3.2.
Já a CVE-2023-6449 no mesmo plugin, com CVSS 7.2 (alta) segundo o NVD/NIST, afetava versões abaixo da 5.8.4. Ambas já foram corrigidas; o risco hoje é rodar uma versão antiga.
A FULL é a única empresa brasileira reconhecida como CVE Numbering Authority (CNA) pela CISA desde maio de 2022, autorizada a atribuir IDs CVE oficiais. Quem cataloga vulnerabilidade trata captcha como uma camada de um conjunto, não como bala de prata. Segundo o perfil público do WPVulnerability, o Contact Form 7 acumula 12 CVEs históricos, todas com patch disponível, um sinal de manutenção ativa. A lição operacional: mantenha plugin de formulário atualizado e combine com plugin de segurança WordPress que cubra firewall e limite de login.
Proteção gerenciada FULL: Captcha no bundle, não na hospedagem
A configuração manual de captcha funciona, mas exige repetir o processo em cada site e atualizar cada plugin. No plano PRO da FULL (R$849,90 por ano), a segurança gerenciada com anti-bot e proteção de login já vem ativada no bundle, ao lado de 17 plugins premium.
Dividido pelos 10 sites do plano, sai a R$85 por site ao ano, um custo que a gente vê pesar bem menos que uma única limpeza de site invadido. Conheça os planos da FULL para ativar a proteção em todos os seus sites de uma vez.
Vale o reforço: a FULL não hospeda seu site. A proteção entra como camada de software gerenciada sobre o WordPress que você já tem, complementar à sua hospedagem atual, com o captcha e o monitoramento de vulnerabilidade ativados em 1 clique.
Como validar que o captcha está bloqueando de verdade
Um desafio mal configurado dá falsa sensação de segurança: aparece na tela, mas não valida no servidor. Faça três checagens. Tente enviar o login sem resolver o desafio; se passar, a Secret Key não valida. Monitore o log do AIOS por 48 horas. Rode um scanner externo.
Use o FULL Scan para verificar gratuitamente se algum plugin do site está com versão vulnerável conhecida, incluindo o de formulário. Em sites da base FULL, cruzar o log de login com o scanner reduziu o tempo médio de detecção de tentativa ativa, porque o desafio mostra o que foi barrado e o scanner mostra o que ainda está exposto. A combinação dá visibilidade real, não só a tela do bloqueio.
Um detalhe que escapa em quase toda configuração: o reCAPTCHA v2 e o v3 deixam de carregar quando o visitante usa uma rede que bloqueia domínios do Google, e o login fica sem proteção sem aviso no painel. Em ambientes corporativos com proxy restritivo, a gente vê esse silêncio derrubar a barreira; o Turnstile, servido pela rede da Cloudflare, contorna o problema na maioria desses casos.
Perguntas frequentes sobre captcha no WordPress
É possível usar captcha no login sem perder visitantes legítimos?
Sim. Um captcha invisível como o Cloudflare Turnstile ou o reCAPTCHA v3 valida o visitante em segundo plano e só mostra desafio quando o risco passa do limite. Em telas de login, isso mantém o acesso de usuários reais praticamente sem atrito, ao contrário do reCAPTCHA v2, que sempre exige um clique e às vezes um desafio de imagens.
Por que o captcha barra a força bruta mesmo com a senha já vazada?
Porque a verificação bloqueia antes da etapa de senha. O robô precisa resolver o desafio para que o formulário de login chegue a ser processado, e ferramentas automatizadas não passam de um Turnstile ou reCAPTCHA v3. Mesmo com a senha correta em mãos, o atacante automatizado trava na verificação e não consegue disparar as milhares de tentativas por minuto que caracterizam a força bruta.
Qual plugin de captcha escolher para o WordPress?
Para a maioria dos sites, o All in One Security cobre captcha no login, limite de tentativas e firewall em um só painel, e é o que a FULL ativa nos planos. Se a prioridade é privacidade sob LGPD, combine com o Cloudflare Turnstile, que verifica sem rastrear o perfil do visitante. O Really Simple CAPTCHA serve quando o site não pode chamar APIs externas.
O captcha sozinho protege o login do WordPress?
Não. O captcha barra o volume automatizado, mas precisa de companhia para fechar o login. Combine com limite de tentativas por IP, senha forte e autenticação de dois fatores. O captcha impede o robô de testar senhas em massa; o 2FA impede o login mesmo quando uma senha válida vaza. Juntas, as camadas cobrem tanto o ataque automatizado quanto o vazamento de credencial.
O captcha no login ajuda contra spam em formulários e comentários?
Sim, e é onde ele rende mais rápido. O mesmo captcha aplicado ao login pode cobrir o registro, os comentários e os formulários de contato, cortando o cadastro de contas falsas e o envio automatizado. Para combater spam no WordPress com eficiência, ative o captcha invisível nesses campos e mantenha o plugin de formulário atualizado para evitar falhas como a CVE-2020-35489.
Próximos passos para blindar o acesso ao seu WordPress
O captcha é a primeira barreira contra robôs no login, mas rende de verdade quando entra num conjunto: limite de tentativas, plugin de formulário atualizado, autenticação de dois fatores e um scanner que mostra o que está exposto. Configure o desafio invisível para não punir o visitante legítimo, valide a Secret Key no servidor e monitore o log por alguns dias para confirmar a queda de tentativas. Para aprofundar cada camada, o FULL Academy reúne os tutoriais e guias de segurança WordPress em um só lugar.
Saúde e Bem-Estar
Restaurantes & Alimentação
Hotelaria & Turismo
Imobiliárias & Construção
Negócios Locais & Franquias
E-commerce & Lojas Virtuais
Educação & Cursos
Profissionais Liberais & Serviços
Agências Digitais & Freelancers
MEIs e Autônomos
Agências e Freelancers
Pequenas Empresas
Startups
Franquias
Elementor PRO
Rank Math
SEOPress
Happy Addons
Tutor LMS
WP Optimize
Crocoblock
WP Rocket
Ultimate Addons
Perfmatter
Funnel Kit
AIOS
Astra PRO
ACF
Essential Addons
WP Forms
UpdraftPlus
Ver mais
FULL CRM 
FULL Widget
FULL Woo
FULL Pop-up
FULL Security
FULL NPS
FULL Update
FULL Social Proof
FULL Analytics
FULL Templates
FULL Creator AI
FULL Backup
FULL Safe Login
FULL SMTP
FULL Monitor
FULL Speed
FULL Cache
FULL Whitelabel
