Un guide étape par étape pour sécuriser WordPress avec Cloudflare Turnstile CAPTCHA

chathura

il y a 2 ans

Table des matières

Cabillot

Êtes-vous fatigué de faire face à des spams et des attaques automatisées sur votre site web ? Il est maintenant temps de dire adieu à l’expérience frustrante de CAPTCHA et bonjour à Cloudflare Turnstile. Cette solution innovante offre une alternative invisible aux CAPTCHA traditionnels, offrant une protection robuste contre le spam, les abus et les attaques automatisées. De plus, Turnstile est disponible pour toute personne, n’importe où sur Internet, qui souhaite remplacer CAPTCHA sur son site. Vous n’avez même pas besoin d’être client Cloudflare ou d’envoyer du trafic via leur réseau mondial : il vous suffit d’appeler une simple API et de profiter des avantages des fonctionnalités de sécurité avancées de Turnstile. Dans cet article, nous allons examiner de plus près ce qui rend Turnstile si efficace, comment il peut vous aider à protéger votre site Web et comment installer Cloudflare Turnsile dans WordPress.

Qu’est-ce que le tourniquet et comment fonctionne-t-il ?

Tourniquet est un outil puissant qui offre une alternative au CAPTCHA traditionnel. Contrairement à CAPTCHA ou à son adaptation Google reCAPTCHA , Turnstile utilise une série de défis de navigateur non intrusifs qui sont choisis en fonction de la télémétrie et du comportement du client au cours d’une session. Cette approche améliore non seulement la sécurité, mais garantit également une expérience utilisateur fluide. En analysant le comportement des clients, Turnstile peut rapidement identifier les bots et autres menaces automatisées, les empêchant ainsi d’accéder à votre site.

Turnstile a été créé par Cloudflare , une société basée aux États-Unis qui fournit une large gamme de services liés aux performances, à la sécurité et à la fiabilité des sites Web. La mission de Cloudflare est de contribuer à construire un Internet meilleur en fournissant à ses clients des outils pour améliorer les performances et la sécurité de leurs sites Web et applications en ligne. Ses services comprennent le réseau de diffusion de contenu (CDN), l’atténuation des attaques DDoS, la sécurité Internet, la gestion DNS et d’autres services connexes.

Plutôt que d’offrir une alternative unique au CAPTCHA, Cloudflare a développé une plateforme dynamique pour tester et relever plusieurs défis. Avec Turnstile, Cloudflare peut s’adapter au défi présenté à chaque visiteur et navigateur, en fournissant une solution de sécurité sur mesure et efficace. Pour y parvenir, Turnstile utilise une série de petits défis JavaScript non interactifs pour recueillir des signaux sur l’environnement et le comportement du visiteur. Ces défis comprennent la preuve de travail, la preuve d’espace et l’exploration des API Web, entre autres. En analysant ces signaux, Turnstile peut affiner la difficulté du défi pour correspondre à la demande spécifique, ce qui rend plus difficile pour les attaques automatisées de contourner les mesures de sécurité. Cela permet à Turnstile d’ajuster finement la difficulté du défi pour correspondre à la demande spécifique, en fournissant une solution de sécurité personnalisée et efficace pour chaque visiteur individuel.

En plus de sa suite de défis de navigateur non intrusifs, Turnstile propose des modèles d’apprentissage automatique avancés qui peuvent détecter les caractéristiques communes des visiteurs réussis qui ont réussi un défi dans le passé. Ces modèles permettent à Turnstile de s’adapter à chaque visiteur et de fournir des solutions de sécurité sur mesure en fonction de leur comportement. Les défis initiaux proposés aux visiteurs peuvent varier en complexité, mais sont conçus pour être exécutés efficacement. En tirant parti de l’apprentissage automatique et des défis ciblés, Turnstile peut identifier rapidement et précisément les bots et autres menaces automatisées, les empêchant d’accéder à votre site et compromettant votre sécurité.

CAPTCHA vs Tourniquet : Quelle est la meilleure solution de sécurité pour votre site Web ?

Par mesure de sécurité, CAPTCHA est un outil couramment utilisé par les sites Web pour prévenir le spam, les abus et les attaques automatisées. CAPTCHA est, en fait, un acronyme pour « Completely Automated Public Turing Test to Tell Computers and Humans Apart ». La technologie présente aux utilisateurs un défi, généralement une image ou un texte déformé, pour vérifier qu’il s’agit d’un humain et non d’un script automatisé ou d’un robot. Il existe différents types d’outils CAPTCHA, tels que reCAPTCHA, hCAPTCHA et Akismet, créés par différentes sociétés. Grâce à son efficacité prouvée dans la prévention des attaques automatisées, Google reCAPTCHA est une solution de sécurité très populaire. Cependant, son impact sur l’expérience utilisateur et la frustration potentielle des utilisateurs restent une préoccupation importante.

L’une des principales plaintes à propos de la technologie CAPTCHA est qu’elle peut faire perdre du temps aux utilisateurs. La résolution d’un défi CAPTCHA peut être une expérience frustrante et chronophage, en particulier pour les utilisateurs qui peuvent avoir des difficultés à déchiffrer le texte déformé ou à identifier les images du défi. Pour les utilisateurs qui doivent résoudre plusieurs CAPTCHA en une seule session de navigation, par exemple lors du remplissage d’un formulaire ou de la création d’un compte, le temps passé sur les défis CAPTCHA peut s’accumuler rapidement et devenir une source importante de frustration. Saviez-vous que les humains passent environ 500 ans chaque jour à résoudre des CAPTCHA dans le monde entier ?

Un autre inconvénient important est sa faible accessibilité, car il peut être impossible pour les utilisateurs malvoyants de résoudre les défis CAPTCHA. L’utilisation de CAPTCHA peut mettre à rude épreuve les forfaits de données mobiles, ce qui ralentit le chargement des pages et rend l’expérience utilisateur frustrante. Les préjugés culturels sont un autre problème associé aux défis CAPTCHA. Un type de défi CAPTCHA consiste à présenter à l’utilisateur une image et à lui demander de sélectionner certains objets qui apparaissent dans l’image, tels que des voitures, des animaux ou des panneaux de signalisation. Cependant, les objets présentés dans ces défis peuvent être plus familiers aux utilisateurs de certaines régions, ce qui peut créer un biais culturel dans le défi CAPTCHA. Par exemple, si un puzzle CAPTCHA demande aux utilisateurs de sélectionner des images de taxis américains, les utilisateurs d’autres pays du monde peuvent ne pas être familiers avec ce type de véhicule spécifique, ce qui rend le défi plus difficile ou impossible à résoudre pour eux.

Plus important encore, l’utilisation de la technologie CAPTCHA s’accompagne souvent d’un compromis caché dont de nombreux sites Web ne sont peut-être pas conscients. CAPTCHA fonctionne en collectant des données à partir de l’ordinateur d’un utilisateur. Il peut s’agir de données telles que l’adresse IP de l’utilisateur, le type et les paramètres du navigateur, le type et les paramètres de l’appareil et les cookies. Ce type de données permet à Google d’obtenir des informations sur le trafic des utilisateurs. Comme CAPTCHA est de plus en plus utilisé par de plus en plus de sites Web pour empêcher le spamming, l’accès de Google à ces données s’est considérablement élargi. Bien que Google affirme que ces informations ne sont pas utilisées à des fins publicitaires, il est important de noter que Google est en fin de compte une société de publicité et que l’utilisation de CAPTCHA peut indirectement entraîner la transmission des données des visiteurs de votre site Web à une société de vente d’annonces.

De plus, il existe de nombreux sites Web qui fournissent des services de résolution/contournement de CAPTCHA assistés par des humains et des IA, dont certains facturent aussi peu que 0,50 $ par millier de défis résolus. De plus, selon des recherches récentes, des attaques basées sur l’IA ont réussi à craquer des CAPTCHA employés par certains des sites Web les plus populaires au monde. Ces résultats soulèvent des inquiétudes quant à la fiabilité de la technologie CAPTCHA et à la nécessité de solutions de sécurité plus avancées comme Cloudflare Turnstile.

These Don't Even Work. Why Do We Still Use Them?

Qu’est-ce qui rend le tourniquet meilleur ?

Le tourniquet est une meilleure solution par rapport aux CAPTCHA traditionnels à plusieurs égards. Un avantage non négligeable est qu’il offre une meilleure expérience utilisateur. Au lieu de présenter aux visiteurs un casse-tête visuel qui peut être frustrant et chronophage, Turnstile confirme leur authenticité à la volée d’une manière qui leur est entièrement transparente.

Un autre domaine où Turnstile se démarque est sa protection de la vie privée. Alors que d’autres options CAPTCHA collectent des données pour le reciblage publicitaire, Turnstile ne récolte jamais de données sur les visiteurs à ces fins. Cloudflare s’est associé à Apple pour introduire des jetons d’accès privés, qui permettent aux visiteurs de prouver qu’ils sont humains sans soumettre de données personnelles ni remplir de CAPTCHA. En travaillant avec des fabricants d’appareils qui possèdent déjà les données susceptibles de valider un appareil, Cloudflare peut confirmer les données sans les collecter, les toucher ou les stocker. Les jetons d’accès privés sont intégrés à Turnstile, minimisant la collecte de données en demandant à Apple de valider l’appareil au lieu de l’interroger directement.

En termes de rapidité et de commodité, Turnstile est clairement gagnant. Il peut être déployé en quelques minutes à l’aide d’un extrait de code rapide et est entièrement gratuit. Dans l’ensemble, Turnstile offre une expérience plus rapide, plus privée et meilleure pour les propriétaires de sites Web et les visiteurs.

Comment installer Cloudflare Turnstile dans WordPress

L’ajout du widget Turnstile de Cloudflare à WordPress est simple et direct.

Connectez-vous d’abord à votre site WordPress. Faites défiler le menu de la barre de gauche du tableau de bord WordPress et cliquez sur Plugins. Sélectionnez Ajouter un nouveau.

Dans la barre de recherche dans le coin supérieur droit, recherchez Simple Cloudflare Turnstile. Choisissez le plugin et cliquez sur Installer.

Ensuite, cliquez sur le bouton Activer.

Vous verrez un écran comme ci-dessous, qui nécessitera une clé de site et une clé secrète.

Ouvrez un autre onglet dans votre navigateur et allez à Cloudfare.com. Pour installer Cloudflare Turnstile dans WordPress, vous devez disposer d’un compte Cloudflare. Il n’est pas nécessaire qu’il s’agisse d’un compte payant. Vous pouvez simplement créer un compte gratuit chez Cloudflare .

Une fois inscrit, vous aurez accès au tableau de bord Cloudflare. Lorsque vous faites défiler le menu latéral de gauche, vous verrez Tourniquet - cliquez dessus.

Cliquez maintenant sur Ajouter un site.

Renseignez le nom du site et le nom de domaine.

Ensuite, choisissez le type de widget

Il existe 3 types de widgets : Géré, Non interactif et Invisible.

1. Géré : Le visiteur verra une animation de chargement pendant que ce processus se déroule, et dans la plupart des cas, un défi non interactif s’exécutera en arrière-plan pour minimiser les perturbations. Si le navigateur réussit le test, le visiteur verra un simple message « Succès ». Parfois, Cloudflare peut décider qu’un défi interactif est nécessaire pour renforcer la sécurité. Mais le visiteur n’a qu’à cocher une case au lieu de compléter un puzzle, ce qui le rend plus facile que les CAPTCHA traditionnels basés sur des puzzles.

2. Non interactif : Les défis non interactifs étant conçus pour s’exécuter directement dans le navigateur, le visiteur n’a pas besoin d’effectuer d’autres actions. Une fois le défi terminé, les visiteurs verront une animation de chargement et une confirmation de « Succès ».

3. Invisible : Si vous choisissez l’option 'Invisible', le CAPTCHA sera complètement caché à vos visiteurs. Cela peut éviter toute confusion et garder votre thème WordPress propre sans encombrement.

Cloudflare recommande le widget « Managed », qui analyse la requête du navigateur et sélectionne le défi approprié. À moins que vous n’ayez une raison impérieuse de choisir autrement, il est sage d’opter pour des CAPTCHA gérés. Ils offrent une sécurité renforcée avec un impact minimal sur l’expérience des visiteurs.

Une fois que vous avez sélectionné votre option, cliquez sur Continuer.

Désormais, Cloudflare vous fournira la clé de site, le code d’intégration côté client et la clé secrète.

Retournez sur WordPress, copiez la clé de site et collez-la. Faites de même pour Secret Key.

Dans les paramètres généraux du plugin Turnstile, vous pouvez sélectionner des options telles que le thème, le message d’erreur personnalisé et le bouton Désactiver l’envoi.

Dans la section suivante, vous pouvez sélectionner l’endroit où vous souhaitez activer Turnstile – dans vos formulaires WordPress, vos commentaires, votre inscription, vos réinitialisations de mot de passe, votre connexion WooCommerce, votre panier, etc.

Enregistrez maintenant les modifications.

Cliquez sur le bouton vert « Test API Response ». Si vous avez suivi les étapes ci-dessus et saisi les bonnes clés, vous obtiendrez la validation comme indiqué ci-dessous :

Pour tester le widget, rendez-vous sur un formulaire sur lequel vous avez activé le widget Cloudflare Turnstile, tel qu’un commentaire WordPress ou un panier WooCommerce. Le widget analysera votre comportement pour vérifier si vous êtes un humain. Si le widget confirme que vous êtes humain, il affichera « Succès » et vous pourrez soumettre le formulaire sans autre interaction.

Quelles sont les formes qui soutiennent le tourniquet ?

Turnstile peut également s’intégrer à des plugins tiers. Voici quelques produits qui prennent actuellement en charge Turnstile :

WordPress

Formulaire de connexion
Formulaire d’inscription
Formulaire de réinitialisation de mot de passe
Formulaire de commentaires

WooCommerce (en anglais)

Formulaire de connexion
Formulaire d’inscription
Caisse
Payer pour la commande
Formulaire de réinitialisation de mot de passe
Plug-ins de formulaire

Plug-ins de formulaire

WPForms
Formes fluides
Formulaire de contact 7
Formes gravitaires
Formulaires Forminator
Des formes redoutables

Autres intégrations

Formulaires Elementor Pro
Formulaire d’inscription BuddyPress
bbPress Créer des formulaires de sujet et de réponse
Mailchimp pour les formulaires WordPress
Formulaires de membre ultime
Formulaire de commentaires personnalisés wpDiscuz

Conclusion

L’installation de Cloudflare Turnstile CAPTCHA sur votre site WordPress est un processus simple qui peut considérablement améliorer la sécurité et l’expérience utilisateur de votre site Web. Avec Turnstile, vous pouvez confirmer que vos visiteurs sont humains sans les soumettre à la frustration des CAPTCHA traditionnels. De plus, Turnstile est conçu pour préserver la vie privée des visiteurs et ne collecte pas de données pour le reciblage publicitaire. En suivant les étapes décrites dans cet article, vous pouvez facilement activer Turnstile sur vos formulaires de connexion, d’inscription, de réinitialisation de mot de passe, de commentaire et de WooCommerce. Et grâce à la variété de plugins de formulaires et d’intégrations pris en charge par Turnstile, vous pouvez personnaliser vos formulaires en fonction de vos besoins. Dans l’ensemble, Turnstile est un moyen gratuit et efficace d’ajouter une couche de sécurité supplémentaire à votre site WordPress.