Introdução
A proteção contra bots é essencial para manter a segurança de sites WordPress, especialmente em áreas sensíveis como login, cadastro e checkout. Captchas evitam ataques automatizados, reduzem tentativas de invasão e aumentam a integridade das interações dos usuários.
O Cloudflare Turnstile é hoje uma das soluções mais eficientes do mercado: leve, rápido, acessível, amigável ao usuário e com excelente taxa de detecção de bots. E a melhor parte: agora pode ser usado diretamente pelo plugin Defender, que adicionou suporte nativo ao Turnstile recentemente.
Se você ainda não configurou o Defender, leia o artigo de configuração completa do plugin:
https://comunidade.hostnet.com.br/artigos-faq/15-defender-seu-site-wordpress-mais-seguro
Acompanhe também a videoaula mostrando as configurações no Defender:
https://academia.hostnet.com.br/cursos/wordpress-ferramentas-e-recursos-avancados/modulos/blindagem-digital-para-projetos-wordpress/aulas/configuracoes-essenciais-do-plugin-defender-3459/
Por que usar um captcha no site WordPress
Bots podem:
tentar acessar páginas sensíveis por força bruta;
criar cadastros falsos;
enviar spams em formulários;
forçar transações indevidas em lojas WooCommerce;
consumir recursos do servidor de forma massiva.
Um captcha reduz drasticamente esses problemas, criando uma etapa de verificação que impede que robôs automatizados completem ações críticas.
Vantagens do Cloudflare Turnstile
Comparado a outros captchas (como Google reCAPTCHA), o Turnstile tem vantagens significativas:
Gratuito e ilimitado;
Não exige conta Google (mas você pode utilizar sua conta para facilitar o processo);
Extremamente leve e rápido, carregando praticamente instantaneamente;
Privacidade garantida, seguindo princípios de zero data collection;
Compatível com até 10 domínios usando a mesma chave, simplificando a gestão;
Não é obrigatório que o domínio esteja usando a Cloudflare, apenas precisa ser listado no Turnstile;
Melhor experiência para o usuário, sem desafios confusos com imagens.
Fontes oficiais:
Pré-requisitos
Ter um site WordPress instalado;
Plugin Defender instalado e configurado;
Conta na Cloudflare (gratuita);
Turnstile ativo na sua conta Cloudflare.
Observação: a sua conta na CloudFlare não requer nenhum vínculo com o domínio do seu site. Portanto, se você está hospedado na Hostnet, seu domínio continuará sendo protegido automaticamente pela CloudFlare através da hospedagem. Mas você precisará fazer a configuração do Captcha com sua conta pessoal da CloudFlare.
1 – Criar ou acessar sua conta Cloudflare
Acesse a página de login da CloudFlare e faça login ou crie sua conta.
Após realizar o login, clique em Segurança do Aplicativo > Turnstile no menu lateral esquerdo.
Lembre-se: não é obrigatório que o domínio do seu site esteja usando a Cloudflare, ou caso esteja, não é obrigatório que você use a mesma conta em que o domínio está configurado.
Você só precisa cadastrá-lo na lista de domínios permitidos dentro do Turnstile.
2 – Criar um novo Turnstile para o site
Clique em Adicionar widget.
Preencha:
- Nome do rótulo (ex.: “Site WordPress – Login”). No meu exemplo coloquei “Artigo Defender”. O rótulo é apenas um nome para você identificar dentro do painel da CloudFlare, ele não influenciará em nada no funcionamento do captcha;
Domínio do seu site (somente para informar ao Turnstile que ele pode funcionar nesse domínio). Clique no botão adicionar nomes de host.
Aqui você poderá colocar até 10 domínios. No meu exemplo coloquei o domínio aprendawp.com.
Observação 1: coloque apenas o domínio sem o uso de http/https ou subdiretórios.
Observação 2: mesmo que você vá usar o Captcha em um subdomínio, você deve informar apenas o domínio principal do site. Ele automaticamente irá funcionar em todos os subdomínios.
No meu exemplo eu adicionei o domínio aprendawp.com mas vou usar o turnstile no subdomínio gutenberg.aprendawp.com
Após adicionar todos os domínios, clique no botão grande azul adicionar.
- Modo de widget: escolha a opção Gerenciado (managed, em inglês). Esta é a opção recomendada pela CloudFlare e ela irá detectar automaticamente se é necessário que o usuário faça uma interação (clicando em um checkbox) ou não. Em caso de dúvida leia este trecho da documentação.
Após isso basta você clicar no botão Criar que fica no final da página no canto direito.
Em seguida você verá uma mensagem de que o widget foi criado com sucesso e também verá duas chaves:
Essas chaves podem ser reutilizadas em até 10 domínios diferentes, mesmo que esses domínios não usem Cloudflare. Elas são fundamentais para a configuração do Turnstile no Defender, por isso deixe a aba da CloudFlare aberta enquanto acessa o seu site ou salve em um arquivo para configurar o Defender.
3 – Configurar o Turnstile no Defender
No painel WordPress acesse:
Defender → Tools → Captcha e clique na aba CloudFlare Turnstile
Cole as duas chaves, que foram geradas no painel da CloudFlare, nos campos adequados:
Faça as configurações visuais do widget, como tamanho (widget size) e tema (widget theme) de acordo com sua proferência.
IMPORTANTE: antes de salvar as configurações você deverá realizar um teste na caixinha de preview do widget, caso contrário você receberá uma mensagem de erro.
Vá até o preview do widget e clique no checkbox para fazer a validação das chaves. Somente após este procedimento você conseguirá salvar as configurações do Turnstile.
4 – Escolher onde o Turnstile será exibido
Substitua o texto de erro, configure o idioma e ative o Turnstile nas áreas desejadas:
Login;
Cadastro;
Recuperação de senha;
Comentários;
Observação: no momento em que publico este artigo o Trusntile ainda não tem compatibilidade com o WooCommerce, por isso mesmo que você tenha o plugin para e-commerce, não haverão configurações para proteger a loja. Contudo, os desenvolvedores confirmaram que irão implementar a compatibilidade com WooCommerce futuramente.
Ative tudo que for relevante ao seu site — especialmente login e cadastro. Feito isso, clique no botão para salvar as alterações
5 – Testar o funcionamento do Turnstile
Após salvar as configurações:
Abra uma janela anônima;
Acesse a página de login do WordPress;
Verifique se o Turnstile aparece corretamente;
Faça o mesmo para cadastro e, se aplicável, checkout WooCommerce.
Se o widget NÃO aparecer:
Possíveis erros e soluções
Erro: Turnstile não aparece no formulário
Solução:
Limpe o cache do site;
Se for necessário, configure seus plugins de cache para ignorar páginas críticas como login, registro (para evitar que scripts importantes sejam bloqueados);
Verifique se o domínio informado no Turnstile está correto (é o domínio que você cadastrou na tela do Turnstile, não necessariamente um domínio ativo na CDN da Cloudflare);
Lembre-se: o site não precisa estar usando Cloudflare, apenas o domínio precisa estar listado dentro do Turnstile.
Erro: Usuários não conseguem fazer login
Solução:
Revise as chaves no Defender;
Gere novas chaves se necessário;
Desative temporariamente o captcha pelo FTP, renomeando a pasta do plugin Defender, faça o ajuste e reative depois.
Considerações finais
Configurar o Turnstile no WordPress com o Defender é uma das formas mais modernas e eficientes de evitar bots e fortalecer a segurança do site. A solução é gratuita, leve, privativa e muito mais amigável que captchas tradicionais.
Além disso, não é obrigatório que o domínio esteja configurado na Cloudflare — basta cadastrá-lo no Turnstile.
E ao usar as mesmas chaves para até 10 domínios, você evita criar uma quantidade grande de widgets separados.
Agora seu site está protegido com uma das tecnologias de segurança mais eficientes do mercado.
Se quiser aprofundar a segurança da sua instalação, consulte:
https://comunidade.hostnet.com.br/artigos-faq/15-defender-seu-site-wordpress-mais-seguro
