Tips en tutorials

reCAPTCHA sleutels aanmaken voor WordPress

Heb je last van spam- berichten en/of inschrijvingen op je website? Wees gerust – je bent niet de enige. Vandaag de dag is het voor iedere website noodzakelijk om spam maatregelen te nemen. Een populaire oplossing hiervoor is: reCAPTCHA. Deze online dienst van Google zorgt ervoor dat zogeheten spambots het moeilijk krijgen bij het invullen van formulieren op je website.

In dit artikel gaan we het hebben over de verschillende vormen (versies) van reCAPTCHA en laten we zien hoe je reCAPTCHA sleutels aanvraagt. Gebruik je een WordPress plugin met reCAPTCHA ondersteuning? Dan kun je deze sleutels daar gebruiken om spam tegen te gaan.

Inhoudsopgave

Wat is reCAPTCHA?

reCAPTCHA is een dienst waarmee websites onderscheid kunnen maken tussen menselijke interactie en dat van een (spam)bot. Dit doet het door je een willekeurige opgave te laten voltooien zoals het ontcijferen van tekst en het matchen van plaatjes. In de nieuwste versie van deze dienst (v3) gebeurt dit op de achtergrond waardoor bezoekers de aanwezigheid van reCAPTCHA eigenlijk niet merken.

Heeft je website last van spam zoals ongewenste- formulier inzendingen, reacties of nep gebruikers dan zou reCAPTCHA zeker een oplossing kunnen zijn. Veel populaire WordPress plugins bieden standaard een integratie met reCAPTCHA waaronder: Contact Form 7, Gravity Forms en WP Forms.

De verschillende tussen v2, v3 en Enterprise

reCAPTCHA v2 is sinds 2014 beschikbaar en vraagt de bezoeker aan te tonen dat hij/zij een mens is door een korte opdracht uit te voeren. Dit kan een selectievakje zijn met de tekst “Ik ben geen robot” maar ook een afbeelding of audio herkenningstest, bijvoorbeeld “Selecteer alle afbeeldingen met een zebrapad”. Welke browser de bezoeker gebruikt en welke privacy instellingen/extensies gebruikt worden zijn medebepalend voor welke test er getoond wordt, want hier geldt: hoe ingewikkelder het is voor Google om een inschatting te maken, hoe uitgebreider de test zal zijn. Overigens heeft v2 ook de optie “onzichtbaar” – vanzelfsprekend zie je hier geen selectievakje maar kun je zelf de actie bepalen waarop de test start, bijvoorbeeld bij het klikken op de “verzenden” knop van je formulier, Google zal het verzoek verifiëren en alleen bij twijfel een herkenningstest laten zien.

reCAPTCHA v3 is sinds 2018 op de markt en geeft een betere gebruikerservaring doordat er geen test of puzzel opgelost hoeft te worden, de controle vindt namelijk plaats op de achtergrond waardoor de bezoeker er nagenoeg niks van merkt. Daarnaast moet reCAPTCHA v3 er ook voor zorgen dat geavanceerdere bots worden tegengehouden, dit doet het door de interactie van de gebruiker op de website te beoordelen en vervolgens een score van 0.0 tot 1.0 te geven. Een score van 0 betekent dat het waarschijnlijk is dat het om een bot gaat en een score van 1 om een mens. Website en plugin bouwers kunnen hiermee zelf bepalen vanaf welke score ze bepaalde acties toestaan. Hier kleeft overigens ook meteen een nadeel aan; alleen hoge scores toestaan betekent dat je misschien een aantal echte gebruikers (per ongeluk) uitsluit, een te lage score betekent dat er misschien toch spam doorheen komt.

Enterprise editie bestaat sinds 2020 en maakt gebruik van ARA (Advanced Risk Analysis) deze vorm van reCAPTCHA kan naast het tegenhouden van spam ook frauduleuze activiteiten herkennen zoals het automatisch aanmaken van accounts en het doen van inlogpogingen. Daarnaast geeft de Enterprise versie meer informatie waarom een bepaalde actie werd afgekeurd en heeft het ook extra functionaliteiten zoals 2FA (tweefactorauthenticatie), mobile app SDKs waardoor het door mobiele apps gebruikt kan worden, gelekte wachtwoorden detectie en meer mogelijkheden om instellingen te verfijnen.

reCAPTCHA is meestal gratis te gebruiken

Alle hierboven genoemde reCAPTCHA varianten zijn gratis te gebruiken tot 1 miljoen beoordelingen (assessments) en uit mijn ervaringen zijn de drie varianten allemaal in staat het meer en deel van de spam te blokkeren.

reCAPTCHA sleutels aanmaken

Ga naar de website van reCAPTCHA en klik bovenaan het scherm op de link “v3 Admin Console” en log vervolgens in met je Google account.

Tip: werk je voor een organisatie? Gebruik dan het Google account van de organisatie. Zo je ben je verzekerd dat je collega’s er in de toekomst ook nog bij kunnen.

Screenshot van de reCAPTCHA nieuwe site registreren pagina

Vervolgens kom je op een “Nieuwe site registreren” pagina, vul hier de gegevens van de website in.

  • Label – dient als kenmerk binnen de reCAPTCHA website zodat je weet over welke site het gaat
  • reCAPTCHA-type – de versie die je wilt gebruiken, wij kiezen in dit artikel voor reCAPTCHA v3 maar mocht je privacy bezwaren hebben bij het idee dat Google een score bijhoud dan kun je ook voor de v2 gaan. Wees je ervan bewust dat de versie die je hier kiest ook ondersteunt moet worden door de WordPress plugin die je gebruikt dus controleer dit of vraag het na bij de website beheerder
  • Domeinen – vul hier de domeinnamen in waarop je reCAPTCHA wilt gaan gebruiken bijvoorbeeld “wpvandaag.nl” subdomeinen tellen bij het hoofddomein en hoef je niet apart in te voeren
  • Eigenaren – voer hier eventuele e-mailadressen van andere eigenaren in die bij de reCAPTCHA instellingen moeten kunnen

Lees en ga daarna akkoord met de reCAPTCHA-servicevoorwaarden en bepaal of je meldingen wilt ontvangen bij onjuiste configuratie (wat ik je wel zou adviseren).

Screenshot van de reCAPTCHA sleutels aangemaakt pagina

Je komt nu op een pagina uit waar staat dat de website geregistreerd is. Je ziet hier ook je site sleutels. De eerste sleutel (sitesleutel) mag publiekelijk zichtbaar zijn, de tweede (geheime sleutel) houd je het best geheim. Gebruik deze sleutels in je WordPress plugin(s) of lever ze aan bij de website beheerder. Je kunt deze sleutels overigens altijd vanuit de reCAPTCHA website instellingen opzoeken dus je hoeft ze niet op te slaan.

Optioneel: mocht je reCAPTCHA afzonderlijk van een plugin willen gebruiken dan heeft Google hier documentatie voor; klik op de “Clientside-integratie weergeven” of “Serverside-integratie weergeven” om naar de uitleg te gaan.

Tot slot

Hoop ik dat dit artikel je helpt bij het aanmaken van reCAPTCHA sleutels en het tegengaan van spam op je website.

Bouw je als zzp’er of als Digital Agency websites voor klanten? Dan raad ik je aan om klanten te vragen hun eigen reCAPTCHA sleutels aan te leveren. De 1 miljoen gratis beoordelingen zijn namelijk per account en niet per website, afhankelijk van de hoeveelheid bots en bezoekers zou je dit aantal misschien wel eens kunnen halen. Je zou hierbij de uitleg op deze pagina kunnen doorsturen, vergeet er niet bij te vermelden om welke domeinen en om welke versie van reCAPTCHA het gaat.

Geef een antwoord

Reacties zullen eerst worden gemodereerd, we publiceren je e-mailadres niet.