Quel plugin choisir pour installer un captcha sur WordPress ?

Voilà un truc qui peut vous rendre zinzin, vous faire passer pour un déficient visuel, ou un illettré. Voire les trois en même temps.

Ce truc, c’est un captcha. Ça ressemble souvent à ça :

Ou encore à ça :

La plupart du temps, pour le valider, vous devez répondre à une question en recopiant un ou des mots (souvent indéchiffrables), ou en sélectionnant des photos (souvent mal prises).

Contraignant pour l’utilisateur, cet outil reste très utile pour renforcer la sécurité d’un site. Dans cet article, je vous emmène à la découverte du captcha sur WordPress. 

À la fin de cet article, vous saurez exactement à quoi il sert, puis quand et à quel endroit vous devez l’utiliser.

Vous connaîtrez aussi dans le détail 6 extensions dédiées à la mise en place d’un captcha. je les ai toutes passées à la moulinette rien que pour vous. 🙂 Allez, en voiture !

Initialement rédigé en août 2018, cet article a été mis à jour pour la dernière fois en août 2022.

Pourquoi mettre en place un plugin avec un captcha sur WordPress ?

Un captcha, c’est quoi ?

Un captcha est un test qui permet notamment de lutter contre le spam en différenciant les humains des robots. Il nécessite une réponse de l’utilisateur (choisir des photos, recopier des mots) avant d’effectuer une action (télécharger un fichier, créer un compte e-mail, valider un commentaire, envoyer un formulaire, etc.).

Pour désigner son acronyme, on l’écrit aussi en capitales (CAPTCHA). Il faut savoir que CAPTCHA désigne une marque commerciale américaine. Il signifie test public de Turing complètement automatique (Completely Automated Public Turing test to tell Computers and Humans Apart, en anglais).

Son principal cheval de bataille, c’est donc le spam. Ce dernier doit vous parler, j’en suis certaine. Vous savez : il s’agit du bombardement intempestif dans nos boîtes e-mail, sous la forme d’un message publicitaire, ou non.

Pour l’anecdote, sachez que SPAM est l’acronyme de Spiced Pork And Meat. En français, cela signifie littéralement : « pâté épicé à base de porc et de viande ». Tout un programme que le captcha pour lutter contre cela…

Quels sont les différents types de captcha ?

Il existe plusieurs types de captcha. Je vous présente les plus courants :

• le captcha au format texte. C’est sûrement le plus classique. On vous présente des lettres et des chiffres, souvent déformés et peu lisibles. Vous devez les recopier correctement pour prouver votre côté humain. En moyenne, on estime qu’un être humain met environ dix secondes à analyser le texte proposé ;

• le captcha par identification d’image. Ici, on vous donne un mot (par exemple, « voitures »), et vous devez sélectionner les images correspondant à ce mot ;

• le reCAPTCHA. Il s’agit d’un système créé par Google. Pour prouver que vous n’êtes pas un robot, il suffit de cocher une seule case. Si l’ordinateur a un doute sur votre état d’humain, il vous fait passer un petit test. Il faut alors résoudre un problème simple. Généralement, Google vous demande de reconnaître certaines images parmi une sélection, comme vous l’avez vu juste au-dessus. L’évolution est particulièrement appréciable puisqu’elle permet de ne plus gêner l’utilisateur lorsqu’il navigue sur un site. Son expérience utilisateur s’en trouve améliorée !

• le captcha basé sur un problème mathématique. Dans ce cas, on vous demande de résoudre un problème mathématique très simple, comme une addition ou une soustraction ;

• le captcha au format audio, qui peut être proposé pour les utilisateurs déficients visuels.

Avez-vous vraiment besoin d’un captcha sur votre site WordPress ?

Le captcha est intéressant pour votre site uniquement si vos plugins anti-spam ne filtrent pas correctement les commentaires de robots malveillants.

Si c’est le cas, installez-en un. Où ça, mon capitaine ?

Eh bien, je vous conseille de l’utiliser à des endroits stratégiques comme :

• votre formulaire de contact ;
• votre formulaire de connexion ;
• vos commentaires.

Notez que certaines extensions de formulaires vous simplifient la tâche. Elles intègrent une fonctionnalité appelée honeypot (pot de miel, en français), qui déjoue les spams.

Avec cette fonctionnalité intégrée, vous n’avez pas besoin d’ajouter un captcha sur votre formulaire. C’est le cas pour le plugin Gravity Forms.

L’installation seule d’un captcha ne peut pas empêcher l’ensemble des robots malveillants d’agir. Une bonne pratique consiste à valider manuellement les commentaires avant leur publication, en complément du plugin Akismet, particulièrement utile pour empêcher l’action des spams sur votre site.

Les spams sont automatiquement générés par des ordinateurs, mais des utilisateurs peuvent aussi venir publier des commentaires dans l’unique but de créer des liens vers leurs sites.

Pour vous prémunir de cela, vérifiez que les deux cases ci-dessous soient cochées dans le menu Réglages > Commentaires de votre tableau de bord WordPress :

• l’auteur d’un commentaire doit renseigner son nom et son adresse e-mail ;
• le commentaire doit être approuvé manuellement.

Pour plus d’infos sur la sécurité de WordPress, je vous invite à consulter le Point Sécu de WPMarmite, sur la chaîne Youtube. Et pensez à vous y abonner, si ce n’est pas déjà fait !

Et un petit rappel, avant de passer à la suite : installer un captcha n’est utile qu’en cas de souci avec vos commentaires, votre formulaire de contact, ou de connexion.

6 plugins WordPress de captcha passés au crible

Utiliser un plugin n’est pas la seule option disponible pour mettre en place un captcha sur WordPress. Il est possible, pour les utilisateurs confirmés, d’installer celui-ci en ajoutant un morceau de code dans votre fichier HTML. Si vous n’aimez pas mettre les mains dans le cambouis, ce n’est pas vraiment évident.

La méthode la plus simple et la plus rapide consiste à passer par une extension.

J’en ai épluché une bonne dizaine sur le répertoire officiel WordPress, et j’ai choisi de vous en présenter 6 en me basant sur différents critères au moment de rédiger ces lignes, comme par exemple :

• l’efficacité et la praticité de l’extension ;
• le fait que le plugin ait été testé avec plus de trois mises à jour majeures de WordPress. Ce critère m’a notamment fait écarter les extensions Captcha Bank et Invisible reCaptcha for WordPress, initialement présentes dans la première version de cet article (avant sa mise à jour).

Le fait de vous servir d’une extension qui n’est pas compatible avec l’une des trois dernières versions majeures de WordPress n’est pas forcément un souci. La plupart du temps, cela signifie que le développeur de ladite extension n’a pas encore eu le temps de vérifier la compatibilité de son code avec la dernière version majeure de WordPress. Mais parfois, cela peut aussi être le signe d’un problème majeur ou d’une faille de sécurité. Mieux vaut donc rester prudent et privilégier l’usage d’extensions mises à jour, si vous le pouvez.

reCaptcha by BestWebSoft

Avec plus de 200 000 installations actives, reCaptcha by BestWebSoft (anciennement nommé Google Captcha) est l’un des plugins de captcha sur WordPress parmi les plus populaires du répertoire officiel.

Difficile, donc, de ne pas l’évoquer par ici. Sa description précise qu’il rend la vie facile aux personnes, en complexifiant celle des robots. Tout un programme. Allez, place tout de suite aux présentations.

Les points forts de reCaptcha by BestWebSoft

• L’installation du plugin est fluide et rapide, grâce à un menu de réglages très simple.
• Vous pouvez activer 3 types de reCAPTCHA proposés par Google : reCAPTCHA V2, V3 ou invisible. Par contre, vous devez auparavant enregistrer votre nom de domaine auprès du service Google reCAPTCHA, afin d’obtenir des clés API.
• Il est possible d’activer l’extension à différents endroits : sur un formulaire de connexion, d’inscription, de réinitialisation du mot de passe ou de commentaires.

• La possibilité de lier le captcha au plugin Contact Form 7 qui est spécialisé dans l’élaboration de formulaires pour WordPress (disponible uniquement dans la version Premium de l’extension).
• Le fait de pouvoir désactiver les captchas pour certains rôles utilisateurs.
• Vous pouvez aussi ajouter un captcha où vous le souhaitez dans votre contenu à l’aide d’un shortcode (code court).

Les points faibles de reCaptcha by BestWebSoft

• Vous ne pouvez pas ajouter de code personnalisé (ex : CSS) dans la version gratuite.
• La confusion qui peut régner avec une autre extension proposée par le même développeur : Captcha by BestWebSoft. À première vue, les deux plugins semblent faire plus ou moins la même chose. En fait, BestWebSoft indique que vous pouvez vous servir de Captcha by BestWebSoft si vous ne souhaitez pas créer de clés API après avoir activé reCaptcha by BestWebSoft.

L’extension reCaptcha propose aussi une version premium accessible à partir de 24 $/an (environ 24 €) pour un usage sur un site. Son principal atout réside dans sa compatibilité avec différentes extensions : Contact Form 7, Gravity Forms, Ninja Forms, WPForms, WooCommerce, Divi, etc.

Au final, reCaptcha est un plugin intéressant à installer pour vous protéger efficacement contre les spams lorsqu’il est couplé avec le plugin Contact Form 7 (en version payante seulement, je vous le rappelle).

Télécharger reCaptcha by BestWebSoft :

HumanCaptcha

À travers ce test des plugins de captcha sur WordPress, j’ai aussi souhaité donner leur chance à certaines extensions plus « confidentielles ». HumanCaptcha est l’une d’elles.

Elle cumule plus de 300 installations actives au moment où j’écris ces lignes.

Et ce n’est pas parce qu’une extension cumule des centaines de milliers de téléchargements qu’elle est forcément plus efficace qu’une concurrente moins célèbre.

Alors, que vaut vraiment HumanCaptcha ?

Les points forts de HumanCaptcha

• Son originalité est son premier point fort. Ce plugin demande à l’utilisateur de répondre à une question que le propriétaire contrôle directement derrière son écran. On aime ou on aime moins, mais il a le mérite de se démarquer des solutions existantes.

• Sa simplicité permet à cette extension de se démarquer. C’est la promesse du développeur et, à ce niveau, il bat des records. L’interface se compose d’une seule page. Les réglages sont donc très simples, avec 3 possibilités de positionnement de votre captcha, et une liste de questions.
• L’extension est totalement gratuite : vous n’avez pas à vous procurer une version premium pour bénéficier de toutes ses fonctionnalités.

Les points faibles de HumanCaptcha

• On regrette l’absence de certaines fonctionnalités basiques, comme les notifications par e-mail, par exemple. Dommage.
• Il aurait été utile d’avoir une notice d’utilisation traduite en français. Cette option pourrait apporter de nombreux téléchargements supplémentaires pour ce plugin, ainsi qu’une meilleure maniabilité pour nous autres, adeptes de la langue de Molière.

En définitive, je ne suis pas convaincue, et je ne m’engagerai pas sur ce plugin pour limiter les spams de mon site internet.

Télécharger HumanCaptcha :

Really Simple Captcha

Ce plugin est certainement le plus populaire dans l’univers du combat contre les spams. Il cumule plus de 400 000 installations actives.

Si son usage est gratuit, il ne fonctionne pas tout seul. À la base, Really Simple Captcha est une extension complémentaire à Contact Form 7 (CF7).

Le créateur de CF7 a pensé à ce contrôle en intégrant dans son plugin le fameux captcha, sous le nom de Really Simple Captcha. Les utilisateurs doivent déchiffrer des images pour envoyer leurs messages.

Les points forts de Really Simple Captcha

• Un plugin populaire et simple d’utilisation qui tient ses promesses au niveau de sa simplicité. La personnalisation est minimale, mais suffisante : vous pouvez juste choisir la taille et le thème de votre captcha WordPress.
• L’extension est 100 % gratuite.

Les points faibles de Really Simple Captcha

• Une utilisation dépendante des autres plugins : vous ne pouvez pas l’utiliser seul.
• Le plugin se limite aux formulaires de contact. Il faut ajouter une protection supplémentaire pour vos commentaires, et pour la partie consacrée à la connexion au site web.
• Un usage qui réclame un minimum de technicité. Il n’y a pas de menu de réglages lorsque vous activez l’extension. Vous devez ajouter un code court (shortcode) pour activer le captcha sur votre formulaire de contact.

En définitive, Really Simple Captcha est à utiliser si vous avez des spams sur votre site uniquement dans vos formulaires de contact. Si les spams proviennent d’autres actions comme de vos commentaires, par exemple, il vaut mieux choisir un autre plugin que celui-ci.

D’autant plus que son développeur, Takayuki Miyoshi, recommande plutôt l’usage du reCAPTCHA de Google sur un formulaire de contact…

Télécharger Really Simple Captcha :

Login No Captcha reCAPTCHA

Si vous avez un besoin spécifique pour bloquer les spams sur votre page de connexion, le plugin Login No Captcha reCAPTCHA est celui qu’il vous faut.

Avec plus de 90 000 installations actives, ce plugin est populaire et mérite que l’on s’y intéresse.

Le processus d’installation est rapide et basique, quasiment identique à celui de reCaptcha by BestWebSoft.

Les points forts de Login No Captcha reCAPTCHA

• Sa simplicité d’usage.
• Une efficacité réelle pour la page de connexion, comme promis par le fabricant.
• Une installation rapide et efficace. L’utilisateur est guidé au cours de celle-ci avec des raccourcis utiles, comme celui pour voir les clés de Google NoCaptcha.

• L’interface d’administration du plugin est traduite en français et l’effort est appréciable pour les utilisateurs, même pour une version basique.

Les points faibles de Login No Captcha reCAPTCHA

• Un manque de personnalisation pour votre captcha (apparence, taille, couleur).
• Une utilisation qui se limite uniquement à la page de connexion. Ce point négatif est tout de même à nuancer puisque le plugin annonce la couleur dès son titre, en y intégrant le mot « Login ».

Pour cette extension, il faut uniquement avoir des spams sur votre page de connexion pour avoir à le télécharger. Sans cela, son action n’est pas utile.

D’autres extensions sont présentes sur le répertoire officiel pour ajouter un captcha sur votre page de connexion. Elles sont un peu déroutantes car elles ne proposent aucun réglage et sont fonctionnelles dès leur activation, comme Login No Captcha reCAPTCHA. Il s’agit de Cartpauj Register Captcha et de Simple Login Captcha (qui ajoute sur votre page de connexion un code à 3 chiffres à recopier dans un encart dédié).

Télécharger Login No Captcha reCAPTCHA :

hCaptcha for WordPress

hCaptcha est d’abord un service global qui a pour objectif d’arrêter les robots malveillants (lutte contre le spam), tout en protégeant la vie privée des utilisateurs.

Il propose un plugin WordPress dédié, qui porte logiquement le nom de hCaptcha for WordPress. Ce dernier se présente comme une solution de remplacement automatique du service reCAPTCHA de Google, tout en proposant de récompenser les propriétaires de sites web. 

Plus d’explications juste en dessous.

Les points forts de hCaptcha

• Le processus d’installation est très simple. Vous devez juste obtenir une clé de site et une clé secrète pour profiter du service. L’inscription est rapide et se fait en une paire de clics.
• Vous avez la main sur la taille (normal, compact, invisible) et l’apparence (claire ou sombre) du captcha à afficher.
• L’intégration de hCaptcha sur les formulaires de nombreux plugins célèbres comme Elementor Pro, Divi Builder, Ninja Forms, WPForms, Gravity Forms, Jetpack, WooCommerce etc.
• Vous pouvez activer hCaptcha sur plusieurs formulaires natifs proposés par WordPress : connexion, inscription, mot de passe oublié. Mais aussi dans la zone de commentaires.
• Il est aussi possible d’ajouter un hCaptcha dans votre contenu grâce à un code court.
• C’est un plugin axé sur la protection de la vie privée, avec notamment une conformité au RGPD et l’utilisation de preuves cryptographiques.
• La possibilité de soutenir des actions caritatives grâce aux récompenses que vous accumulez en bloquant des robots malveillants.

Les points faibles de hCaptcha

• Pour chipoter un peu, on peut dire que le menu de réglages pourrait être un peu mieux organisé du point de vue de l’interface. La liste de fonctionnalités à activer/désactiver est un peu à rallonge.

Enfin, notez que l’extension ne propose pas d’offre premium à proprement parler. Il existe bien une offre « Enterprise » payante, mais les prix ne sont pas communiqués.

Cependant, elle vous sera probablement d’aucune utilité car les fonctionnalités de la version gratuite sont déjà suffisantes pour vous protéger du spam.

Globalement, cette extension m’a beaucoup plu.

Télécharger hCaptcha for WordPress sur le répertoire officiel :

Vous vous servez du plugin Elementor sur votre site WordPress ? Sachez qu’il est possible d’installer un captcha sur Elementor de façon très simple. Il vous suffit d’obtenir les clés API de Google reCAPTCHA puis de les ajouter au sein d’un widget « Formulaire », comme détaillé sur cette ressource.

CAPTCHA 4WP

Pour terminer, je tenais à vous parler de l’extension CAPTCHA 4WP. Elle est quand même incontournable, puisqu’elle cumule plus de 100 000 installations actives.

Elle enregistre aussi une note moyenne (3,1 sur 5), en partie parce que ses utilisateurs lui reprochent d’avoir déplacé une partie de ses options dans une offre premium.

Pour le reste, que vaut cette extension très utilisée, qui permet d’afficher un reCAPTCHA de Google ?  

Les points forts de CAPTCHA 4WP

• La configuration simple et rapide.
• La possibilité de choisir parmi 3 types de reCAPTCHA (version 2, version 2 sans confirmation et version 3).
• Vous pouvez sélectionner la langue d’affichage du reCAPTCHA.
• CAPTCHA 4WP offre le choix parmi 2 tailles de captcha (normal/compact) et de style d’affichage (clair/sombre).
• Vous pouvez activer le captcha sur les formulaires suivants : inscription, connexion, réinitialisation du mot de passe, mot de passe perdu, zone de commentaires.

Les points faibles de CAPTCHA 4WP

• Le menu de réglages est disponible uniquement en anglais. Sachez que vous pouvez pallier ce souci éventuel en le traduisant à l’aide Loco Translate, qu’on vous présente dans ce tutoriel sur le blog, ainsi que dans cette vidéo :

• Le fait que des fonctionnalités intéressantes soient uniquement présentes dans la version premium, proposée à partir de 29,99 $/an (environ 29 €) pour un usage sur 1 site. Sans la version premium, vous ne pouvez par exemple pas profiter d’intégrations auprès de formulaires créés avec WooCommerce, Contact Form 7, Gravity Forms, BuddyPress, etc. Au final, je trouve que c’est une limitation trop importante pour pouvoir se servir de ce plugin.

Télécharger CAPTCHA 4WP sur le répertoire officiel :

Quelle extension WordPress de captcha choisir ?

Vous arrivez à la fin de cet article présentant 6 extensions pour installer un captcha sur WordPress.

Maintenant, il est l’heure de faire le bilan. J’ai été particulièrement convaincue par le service complet et efficace de hCaptcha.

À un degré moindre, je recommanderais ensuite reCaptcha by BestWebSoft. Par contre, ce plugin demande de passer un petit peu de temps sur l’installation pour fonctionner correctement.

Et vous, quel plugin de captcha utilisez-vous sur votre site ? En êtes-vous satisfait ? J’attends vos retours d’expérience dans les commentaires.