InspectWP Logo
Słowniczek

Czym jest CAPTCHA? Rodzaje, działanie i alternatywy

20 maja 2026

CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) to test typu wyzwanie-odpowiedź używany na stronach do odróżniania ludzi od automatycznych botów. Termin został wprowadzony w 2003 przez Luisa von Ahna, Manuela Bluma, Nicholasa J. Hoppera i Johna Langforda na Carnegie Mellon University. Nowoczesne CAPTCHE to m.in. Google reCAPTCHA v2 (siatki obrazów), reCAPTCHA v3 (niewidoczny scoring), hCaptcha i Cloudflare Turnstile; alternatywy przyjazne prywatności to pola honeypot i analiza formularzy w czasie.

Jak działa CAPTCHA?

CAPTCHA stawia zadanie łatwe dla człowieka i trudne dla oprogramowania: odczytanie zniekształconego tekstu, wybór obrazów z sygnalizacją świetlną lub — w niewidocznych CAPTCHach — analizę w tle ruchu myszy, ciasteczek, fingerprintu przeglądarki i reputacji IP. Serwer akceptuje wysyłkę tylko gdy token CAPTCHA przechodzi walidację przez API dostawcy.

Jakie rodzaje CAPTCHA istnieją w 2026?

  1. CAPTCHA tekstowa — zniekształcone litery; od ~2014 łamana przez OCR.
  2. CAPTCHA obrazkowa (reCAPTCHA v2) — "zaznacz autobusy", 2014.
  3. Checkbox-CAPTCHA — "Nie jestem robotem", od 2014.
  4. Niewidoczna / scoring (reCAPTCHA v3) — wynik 0.0–1.0, październik 2018.
  5. hCaptcha — alternatywa privacy-first od 2018.
  6. Cloudflare Turnstile — niewidoczny, bez etykietowania, GA wrzesień 2023.
  7. CAPTCHA matematyczna/pytanie — proste działania ("2 + 3 = ?").
  8. CAPTCHA slider/puzzle — przeciągnięcie elementu.

Dlaczego używać CAPTCHA na stronie WordPress?

  • Ochrona antyspamowa formularzy kontaktowych, komentarzy i rejestracji.
  • Obrona przed brute-force na wp-login.php i loginie WooCommerce.
  • Łagodzenie credential stuffing.
  • Zniechęcanie scraperów.

Jakie są wady CAPTCHA?

  • Dostępność: wyzwania wizualne blokują czytniki ekranu; WCAG 2.2 wymaga alternatywy.
  • Prywatność: Google reCAPTCHA ładuje skrypty z google.com i zbiera IP, cookies i dane przeglądarki. RODO/UODO wymaga wyraźnej zgody.
  • Spadek konwersji: 3,2–29 % porzuceń formularza.
  • Wydajność: reCAPTCHA dodaje ~200 KB JavaScriptu.
  • Rozwiązywalna przez AI: od 2023 modele klasy GPT-4 rozwiązują większość w sekundy.

Jakie alternatywy przyjazne prywatności?

  • Pole honeypot — ukryty input, który wypełniają tylko boty.
  • Kontrola czasu — odrzucaj formularze wysłane poniżej 2–3 s.
  • Cloudflare Turnstile — bez etykiet i cookies.
  • Friendly Captcha — proof-of-work hostowany w UE.
  • Rate limiting — blokowanie IP po N próbach na minutę.

Co sprawdza InspectWP

InspectWP wykrywa Google reCAPTCHA, hCaptcha i Cloudflare Turnstile po załadowanych skryptach i raportuje je w RODO (skrypty Google) i bezpieczeństwie. Sygnalizuje też brak ochrony brute-force na wp-login.php.

Poprzedni artykuł

Czym jest honeypot? Ochrona przed spamem bez CAPTCHA

Następny artykuł

Czym są shortcody WordPress? Praktyczny przewodnik

Powiązane artykuły

Czym są HTTP/2 i HTTP/3? Praktyczny przewodnik dla witryn WordPress

Czym sa WordPress custom post types?

Czym jest block theme WordPress (Full Site Editing)?

Zobacz wszystkie artykuły

Sprawdź teraz swoją stronę WordPress

InspectWP analizuje Twoją stronę WordPress pod kątem bezpieczeństwa, problemów SEO, zgodności z RODO i wydajności — za darmo.

Przeanalizuj stronę za darmo