如何将Cloudflare Turnstile添加到WordPress

每个人都知道验证码有多烦人，但它们对减少 WordPress 网站上的垃圾邮件至关重要。从联系表单到登录页面，有很多地方都有机器人向您的网站发送垃圾邮件请求。

虽然谷歌有 reCAPTCHA，但使用谷歌的东西会有很多隐私问题。这就是 Cloudflare 推出 Turnstile 的原因。这是一种简单的验证码，设计时考虑到了隐私和用户体验。

如果您希望为用户提供更好的体验，将 Cloudflare Turnstile 添加到我们的 WordPress 网站是个不错的选择。

什么是 Cloudflare Turnstile？

Turnstile 是由 Cloudflare 于 2022 年发布了新的验证码替代工具。Turnstile 旨在解决传统验证码的已知问题，即糟糕的客户体验和隐私问题/与谷歌（主要验证码提供商）的利益冲突。

Turnstile 可根据客户行为和遥测数据，从一套浏览器挑战中进行选择，从而检查僵尸行为。它可以利用私人访问令牌（PAT），分析一些会话数据，运行一小套 JavaScript（JS）挑战来收集更多信号，并利用 JS 挑战的输出来改变挑战难度。

从本质上讲，它是一种独立的 “非验证码” 验证码，可在后台运行，就像 reCAPTCHA v3 一样。（不幸的是，仅仅依靠验证码挑战来确保安全性会带来一些新的挑战，因为机器人不断变得越来越复杂，足以轻松绕过基于行为的验证码工具）。

Cloudflare Turnstile 是如何工作的？

Turnstile 根据客户端行为和遥测数据，从一系列浏览器挑战中选择僵尸行为进行检查。首先，它会运行一系列小型非交互式 JavaScript 挑战，收集有关访问者/浏览器环境的更多信号。这些挑战包括工作量证明、空间证明、网络应用程序接口探测以及其他各种用于检测浏览器怪异性和人类行为的挑战。因此，我们可以根据具体请求微调挑战难度，避免向用户展示视觉谜题。

根据网站上旋转门的设置，我们主要有两种不同的行为：

• 如果第一次测试结果不一，Cloudflare 仍有疑问，建议安装基本上会显示一个要求用户点击的框。

• 还有一种完全非交互式的安装方式，在这种安装方式中，你只会得到一个显示测试结果的盒子。

• 最后但并非最不重要的是完全隐形安装，需要几秒钟才能完成所有测试，并最终将您锁定在网站之外。

在 Harrods.com 网站上可以找到一些旋转门的实际应用案例。使用搜刮器访问时，你会看到一个特定的页面（我想这就是所谓的等候室），直到转门完成对你的搜刮器的所有检查，并最终要求你的搜刮器点击方框以证明 “he’s human”。

通过所有检查后，您的搜刮器将被重定向到主页。相反，如果你以真实用户的身份浏览网站，应该不会看到这个页面：这个网站可能使用的是默认的旋转门配置。

在 WordPress 中添加 Cloudflare Turnstile

要在 WordPress 网站上添加验证码，最简单的方法可能就是使用 Simple Cloudflare Turnstile。

Simple Cloudflare Turnstile 可将验证码添加到 WordPress 登录、注册、密码重置和评论表单中。当然，除此之外，它还适用于登录和结账等 WooCommerce 表单。此外，如果您使用的是 Contact Form 7，还可以通过该选项来阻止联系表单垃圾留言。

1. 注册 Cloudflare 并免费获得 Cloudflare Turnstile

首先，您需要一个免费的 Cloudflare 账户。注册后，您将在 Cloudflare 控制面板的侧栏看到 Turnstile。您可以在此设置您的网站并获取插件所需的免费 API 密钥。

将网站添加到 Turnstile

输入网站名称和域名后，您可以选择您需要的小工具类型，这些小工具可能会留在管理中。请注意，您无需通过 Cloudflare 路由您的网站即可使用 “Turnstile”。

现在，让我们安装 Simple Cloudflare Turnstile。

2. 安装 Simple Cloudflare Turnstile

在网站上添加转轨器就像登录 WordPress 管理后台并安装插件一样简单。

与其他插件一样，您可以在插件/添加新插件中搜索 “Simple Cloudflare Turnstile”。你会看到 Elliot Sowersby 制作的插件。安装并激活插件后，您将在 WordPress 网站的设置菜单下看到一个新的 Cloudflare Turnstile 选项。

Simple Cloudflare Turnstile 设置

设置会要求您提供网站密钥和秘密，这是在将网站添加到 Cloudflare Turnstile 面板后提供给您的。输入这些值后，只需启用您希望启用 Cloudflare Turnstile 的网站部分即可。

我建议您使用 WordPress 的所有默认表单和任何联系表单。如果您安装了 WooCommerce 或 Contact Form 7，您将在此页面看到相关设置。

我还喜欢有深色或浅色主题可供选择。

使用 Cloudflare Turnstile 的 WordPress 登录页面

点击保存后，您将在网站上看到 Cloudflare Turnstile！最重要的是，与 reCAPTCHA 不同，您可能不需要点击任何东西就能使用它。

3. 查看 Cloudflare Turnstile 统计

在您的 WordPress 网站上启用 Cloudflare Turnstile 后，您还可以查看完成验证码的用户统计信息。这可以在 Cloudflare 仪表板中查看。

Cloudflare Turnstile 统计数据

Cloudflare Turnstile 替代方案

正如文章开头提到的，Turnstile 的出现是为了取代 Google Captchas，试图在僵尸检测行业抢占一些市场份额。

与 Turnstile 更为相似的谷歌解决方案是 reCAPTCHA v3，它在后台执行检查，无需与用户进行任何交互。

挑战会向网站所有者返回一个分数，网站所有者可以根据分数在网站上采取不同的行动，如显示不同的页面或禁用评论。

hCaptcha 是另一种著名的僵尸检测解决方案，它与前面提到的其他两种解决方案有所不同。

Turnstile 和 reCAPTCHA V3 都是通过后台挑战直接检测僵尸，不需要任何用户交互，而 hCaptcha 还集成了传统的用户工作证明。

直接检测和工作量证明这两种方法各有利弊。直接检测不会破坏网站的用户体验，而工作证明仍然是限制 DDOS 攻击的最可靠方法。

小结

希望本指南能帮助您将 Cloudflare Turnstile 添加到 WordPress 网站。如果您是 WordPress 开发人员，您还会喜欢 Turnstile 开发人员文档。