InspectWP Logo
Glossário

O que é um CAPTCHA? Tipos, funcionamento e alternativas

20 de maio de 2026

Um CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) é um teste de desafio-resposta usado em sites para distinguir humanos de bots automatizados. O termo foi criado em 2003 por Luis von Ahn, Manuel Blum, Nicholas J. Hopper e John Langford na Carnegie Mellon University. Os CAPTCHAs modernos incluem Google reCAPTCHA v2 (grelhas de imagens), reCAPTCHA v3 (pontuação invisível), hCaptcha e Cloudflare Turnstile; alternativas amigáveis à privacidade incluem campos honeypot e análise de formulários por tempo.

Como funciona um CAPTCHA?

Um CAPTCHA apresenta uma tarefa fácil para humanos e difícil para software: identificar texto distorcido, selecionar imagens com semáforos ou — em CAPTCHAs invisíveis — analisar em segundo plano movimento do rato, cookies, fingerprint e reputação de IP. O servidor só aceita o envio se o token CAPTCHA validar contra a API do fornecedor.

Que tipos de CAPTCHA existem em 2026?

  1. CAPTCHA de texto — letras distorcidas; obsoleto desde ~2014.
  2. CAPTCHA de imagem (reCAPTCHA v2) — "selecione os autocarros", lançado em 2014.
  3. Checkbox CAPTCHA — "Não sou um robô", parte do reCAPTCHA v2 desde 2014.
  4. Invisível / pontuação (reCAPTCHA v3) — score 0.0–1.0, lançado em outubro de 2018.
  5. hCaptcha — alternativa privacy-first lançada em 2018.
  6. Cloudflare Turnstile — invisível, sem rotulagem, GA setembro de 2023.
  7. CAPTCHA matemático/pergunta — operações simples.
  8. CAPTCHA slider/puzzle — arrastar uma peça.

Porquê usar um CAPTCHA num site WordPress?

  • Anti-spam em formulários de contacto, comentários e registo.
  • Defesa contra brute-force em wp-login.php e WooCommerce.
  • Mitigação de credential stuffing.
  • Dissuasão de scrapers.

Quais as desvantagens?

  • Acessibilidade: desafios visuais bloqueiam leitores de ecrã; WCAG 2.2 exige alternativa.
  • Privacidade: Google reCAPTCHA carrega scripts de google.com e recolhe IP, cookies e dados de browser. Autoridades RGPD exigem consentimento explícito.
  • Conversão: estudos estimam 3,2–29 % de abandono.
  • Performance: reCAPTCHA adiciona ~200 KB de JavaScript.
  • Solúvel por IA: desde 2023, modelos classe GPT-4 resolvem em segundos.

Que alternativas amigáveis à privacidade existem?

  • Campo honeypot — input oculto que só bots preenchem.
  • Verificação por tempo — rejeitar envios em menos de 2–3 s.
  • Cloudflare Turnstile — sem rotulagem nem cookies.
  • Friendly Captcha — proof-of-work alojado na UE.
  • Rate limiting — bloquear IPs após N tentativas/minuto.

O que o InspectWP verifica

O InspectWP deteta Google reCAPTCHA, hCaptcha e Cloudflare Turnstile pelos scripts carregados e reporta-os em RGPD (scripts Google) e segurança. Também sinaliza ausência de proteção brute-force em wp-login.php.

Artigo anterior

O que é um honeypot? Proteção antispam sem CAPTCHA

Próximo artigo

O que são shortcodes do WordPress? Um guia prático

Artigos relacionados

O que são HTTP/2 e HTTP/3? Um guia prático para sites WordPress

O que são custom post types do WordPress?

O que é um block theme do WordPress (Full Site Editing)?

Ver todos os artigos

Verifique seu site WordPress agora

O InspectWP analisa seu site WordPress em busca de problemas de segurança, problemas de SEO, conformidade com GDPR e desempenho — gratuitamente.

Analise seu site grátis