Что такое captcha (Каптча)

CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) — это автоматизированный тест, который различает живого пользователя и бота, прежде чем пропустить его к определённой функции сайта.

Что такое капча для SEO — двойственный инструмент: с одной стороны, защищает формы регистрации, комментариев и заказа от спам-ботов и накруточных скриптов; с другой — создаёт препятствие для поисковых краулеров и роботов-помощников, при неправильной установке может закрыть от индексации полезный контент. Современные виды капчи делятся на три поколения: текстовые (искажённый текст для распознавания), картинные («выберите все автомобили на изображениях») и невидимые (reCAPTCHA v3, оценивающая поведение пользователя без явного теста).

Главные сервисы в индустрии — Google reCAPTCHA (бесплатный с лимитами) и hCaptcha (платный с защитой персональных данных).

Что такое CAPTCHA

CAPTCHA — это разновидность теста Тьюринга, инвертированная относительно классической постановки задачи. В тесте Тьюринга человек пытается определить, общается ли он с человеком или с машиной. В CAPTCHA машина пытается определить, общается ли она с человеком или с другой машиной. Отсюда официальное название — «полностью автоматизированный публичный тест Тьюринга для различения компьютеров и людей».

Технически капча — это задача, которую человек решает легко, а программа без специального обучения — с трудом. Классический пример: прочесть искажённый текст на картинке. Глаз и мозг человека справляются за 1–3 секунды, обычный OCR-движок ошибается в 30–80% случаев. С развитием машинного обучения уровень распознавания изображений ботами вырос, и капчи усложнились — современная reCAPTCHA v2 уже не полагается только на распознавание, а анализирует движения мыши, скорость заполнения полей и поведение посетителя в фоне.

Капча используется везде, где владельцу сайта важна защита от ботов и спам-защита форм: формы регистрации, комментарии, отзывы, оформление заказа, голосования, скачивание файлов, поиск по сайту, API-эндпойнты для мобильных приложений.

История CAPTCHA

Концепция родилась в 2000 году в Университете Карнеги — Меллон. Команда из четырёх исследователей — Луис фон Ан, Мануэль Блум, Николас Хоппер и Джон Ленгфорд — предложила автоматизированный способ защиты от спам-ботов и зарегистрировала термин CAPTCHA в 2003 году. Первой массовой задачей, решённой через эту идею, стала защита регистрации Yahoo!: бесплатные аккаунты массово создавались скриптами для рассылки спама, и команде Yahoo! нужен был инструмент, разделяющий ботов и людей.

В 2007 году Луис фон Ан создал reCAPTCHA — систему, которая параллельно с защитой от ботов использовала пользователей для оцифровки книг: при заполнении капчи человек распознавал слова из старых сканированных текстов, которые не могли разобрать машины. В 2009 году Google купил reCAPTCHA и интегрировал её в свои сервисы. Параллельно с книгами капча начала использоваться для разметки картинок Google Maps и обучения нейросетей распознаванию объектов.

Эволюция reCAPTCHA:

reCAPTCHA v1 (2007–2018): два слова, одно из которых известно системе, второе — оцифровываемое.
reCAPTCHA v2 (2014): чекбокс «Я не робот» с анализом поведения, при подозрении — задание с картинками.
Invisible reCAPTCHA (2017): полностью невидимая капча, срабатывает только при подозрении.
reCAPTCHA v3 (2018): балльная оценка поведения посетителя (0.0–1.0) без явного теста.
reCAPTCHA Enterprise (2020): платная версия для крупных компаний с расширенной защитой.

В 2017 году бывшая команда reCAPTCHA из Intuition Machines запустила hCaptcha — альтернативу с акцентом на конфиденциальность пользовательских данных и монетизацией через разметку датасетов для машинного обучения. К 2024 году hCaptcha используется на 15–20% сайтов с защитой от ботов, включая платформу Cloudflare.

Виды CAPTCHA

Тип	Принцип работы	Уровень неудобства
Текстовая	Пользователь вводит искажённый текст с картинки	Средний — раздражает на каждой попытке
Математическая	«Сколько будет 7+5?» или простой пример	Низкий — секундная задача
Картинная (image)	«Выберите все изображения с автомобилями»	Средний — 5–15 секунд на решение
Аудиокапча	Прослушивание набора цифр на фоне шума	Высокий — для людей со зрительными ограничениями, для остальных — резерв
reCAPTCHA v2 чекбокс	Один клик по «Я не робот», задание появляется только при подозрении	Низкий для большинства пользователей
Invisible reCAPTCHA	Полностью невидимая, срабатывает только при подозрении	Нулевой при штатном поведении
reCAPTCHA v3	Балльная оценка поведения без видимого теста	Нулевой — пользователь даже не знает о наличии капчи
Honeypot	Скрытое поле формы, заполняемое только ботами	Нулевой для людей
Slider CAPTCHA	Перетаскивание ползунка для пазла	Низкий — 2–4 секунды

В 2025 году самые распространённые форматы — reCAPTCHA v2 и v3, hCaptcha и Cloudflare Turnstile (бесплатная альтернатива от Cloudflare, запущенная в 2023). Классические текстовые капчи уходят в прошлое из-за низкого уровня защиты (нейросети решают их с точностью 90%+) и плохого пользовательского опыта.

Капча и SEO

Капча влияет на SEO через несколько каналов:

Доступность для краулеров. Googlebot, YandexBot и другие поисковые роботы не решают капчу. Если страница с контентом закрыта капчей, поисковик увидит только пустой шаблон и не проиндексирует материал.
Скорость загрузки. Скрипты reCAPTCHA и hCaptcha добавляют 100–400 мс к LCP и подгружают внешние ресурсы с серверов Google или hCaptcha — это влияет на Core Web Vitals.
Поведенческие сигналы. Капча на этапе оформления заказа или подписки может вызывать отказы у части пользователей — особенно мобильных, где попадание по мелким картинкам затруднено.
Конверсия и доход. Каждый шаг капчи в воронке снижает конверсию на 3–10%. Для сайта с обращениями через форму это прямое падение количества лидов.
Доступность контента. Капча на странице самого контента (как защита от парсеров) одновременно блокирует индексацию — это критичный антипаттерн для SEO.

Правильное место для капчи — формы отправки данных от пользователя на сервер (регистрация, комментарии, заказ). Неправильное — защита самих страниц от чтения, индексации или просмотра без действий со стороны посетителя.

Как работает Google reCAPTCHA

Установка reCAPTCHA на сайт:

Зарегистрироваться в консоли reCAPTCHA через аккаунт Google: google.com/recaptcha/admin
Выбрать версию — v2 (с чекбоксом или невидимая) или v3
Указать домены, на которых будет работать капча
Получить site key (публичный) и secret key (приватный)
Вставить JavaScript-код в HTML страниц с формами
На стороне сервера проверять полученный токен через API запрос к google.com/recaptcha/api/siteverify

reCAPTCHA v3 не показывает пользователю никаких заданий. Она анализирует движения мыши, скорость заполнения полей, время на странице, последовательность кликов и историю активности в браузере. На основе анализа выставляется балл от 0.0 до 1.0:

0.9–1.0 — почти наверняка живой пользователь, действие пропускается
0.5–0.9 — подозрение есть, можно показать дополнительный тест
0.1–0.5 — высокая вероятность бота, действие блокируется
0.0–0.1 — гарантированный бот

Бесплатный лимит reCAPTCHA — 1 миллион запросов в месяц. Для большинства белорусских коммерческих сайтов этого хватает с большим запасом. Платная версия reCAPTCHA Enterprise — от 1 USD за 1000 запросов.

Главный недостаток reCAPTCHA — передача поведенческих данных пользователя в Google. Для сайтов с особыми требованиями к конфиденциальности (банковские, медицинские) это критично. Решение — переход на hCaptcha или Cloudflare Turnstile, которые декларируют отсутствие передачи персональных данных третьим сторонам.

Альтернативы капче

Современные подходы к защите от ботов без визуальной капчи:

Honeypot (медовая ловушка). Невидимое поле формы со стилем display:none. Боты заполняют его автоматически, реальные пользователи — не видят и не заполняют. Если поле непусто, форма отвергается. Решение бесплатное, не требует внешних сервисов, не нагружает CPU.
Time-based. Замер времени между загрузкой формы и отправкой. Если форма отправлена за 0.5 секунды — это бот, человек физически не успевает заполнить.
WAF (Web Application Firewall). Сервисы вроде Cloudflare, Sucuri, Wordfence отсекают подозрительный трафик до того, как он дойдёт до формы. Срабатывают на уровне HTTP-запроса по сигнатурам ботов.
Cloudflare Turnstile. Бесплатная альтернатива reCAPTCHA от Cloudflare. Анализирует поведение без передачи данных третьим сторонам.
Frictionless protection. Сложные системы поведенческого анализа от провайдеров вроде PerimeterX или DataDome. Высокая стоимость (от 500 USD/мес), но полное отсутствие неудобства для пользователя.

Для сайта малого и среднего бизнеса оптимальная связка: Cloudflare на уровне DNS (бесплатный план) + honeypot в формах + опциональная reCAPTCHA v3 на критичных формах (заказ, регистрация). Такая конфигурация отсекает 95%+ бот-трафика без существенного ущерба для пользовательского опыта.

Типичные ошибки при установке капчи

Ошибка	Последствие
Капча на статичных контентных страницах	Поисковики не могут проиндексировать содержание — потеря трафика
Капча после первого визита (на каждой странице сайта)	Высокий процент отказов, пользователи уходят к конкурентам
Слишком сложная картинная капча на мобильных	Невозможность завершить заказ, прямые потери конверсии
Капча без альтернативы для слабовидящих	Нарушение WCAG, юридические риски в некоторых юрисдикциях
reCAPTCHA с порогом 0.9	Блокировка половины реальных пользователей с нестандартным поведением
Хранение secret key в HTML или JavaScript	Утечка ключа, неавторизованное использование сервиса
Капча только на одном языке без локализации	Отказы пользователей, не понимающих задание
Старая reCAPTCHA v1 после её отключения Google в 2018	Сломанная форма, отсутствие защиты от ботов

Часто задаваемые вопросы

Влияет ли капча на SEO напрямую?

Если капча стоит на формах отправки данных (комментарии, регистрация, заказ) — прямого влияния на SEO нет. Если капча закрывает доступ к самому контенту (требует решения теста перед показом текста страницы), поисковики не смогут проиндексировать материал, и это прямо вредит SEO. Корректная установка — капча после загрузки контента, на финальном этапе отправки данных.

Какая капча лучше для пользовательского опыта?

reCAPTCHA v3 и Cloudflare Turnstile — невидимые системы, которые не требуют от пользователя никаких действий. На втором месте — reCAPTCHA v2 с чекбоксом «Я не робот»: одно нажатие в большинстве случаев. Хуже всего по UX — текстовые капчи с искажёнными буквами и многошаговые картинные тесты на 9 изображений.

Можно ли установить капчу бесплатно?

Да. reCAPTCHA от Google бесплатна до 1 млн запросов в месяц. Cloudflare Turnstile полностью бесплатна без лимитов. hCaptcha — бесплатный план с базовой функциональностью. Honeypot и time-based проверки реализуются вручную через PHP/JavaScript без сторонних сервисов и не требуют платных лицензий.

Что делать, если капча мешает заказчикам оформить заказ?

Заменить визуальную капчу на reCAPTCHA v3 (без задания) или Cloudflare Turnstile. Если уровень спама не критичный, перейти на honeypot — невидимое поле, которое заполняют только боты. Для критичного этапа оформления заказа капчу лучше вообще не ставить — её роль может играть подтверждение через SMS или email после клика «Оформить».

Понимает ли Googlebot reCAPTCHA?

Нет. Googlebot не решает капчи и не отправляет формы. Если страница с контентом доступна только после прохождения капчи, Googlebot увидит исходный HTML без основного содержания и проиндексирует только то, что доступно без капчи. Для индексации контента после авторизации существует отдельный инструмент — Search Console «Crawl as Google» с подтверждением прав, но это не обход капчи, а особый режим сканирования с разрешения владельца.

Безопасны ли данные пользователей при использовании reCAPTCHA?

Google передаёт в reCAPTCHA серверы данные о поведении посетителя — координаты мыши, скорость кликов, IP-адрес, идентификатор сессии. Эти данные использует Google для оценки бот-трафика и попутно для своих рекламных алгоритмов. Для сайтов с европейской аудиторией нужно явно указывать факт сбора данных в политике конфиденциальности (требование GDPR). Альтернатива без передачи данных Google — hCaptcha или Cloudflare Turnstile.

Сколько времени занимает установка капчи на WordPress?

10–30 минут с плагином. Самые популярные бесплатные плагины: Advanced noCaptcha & invisible captcha, Login No Captcha reCAPTCHA, hCaptcha for WordPress. Установка состоит из регистрации в консоли сервиса, получения ключей и вставки их в настройки плагина. Дальше плагин автоматически защищает формы логина, регистрации, комментариев и контактные формы стандартных конструкторов.