Turnstile là một giải pháp thay thế các hình thức CAPTCHA được Cloudflare phát triển, theo họ quảng cáo là nó đơn giản, thân thiện với người dùng, bảo vệ quyền riêng tư … bla bla bla …. mà với tiền sử lấy ý tưởng của người khác về xong nhận là của mình, thì mình cũng không chắc Turnstile có phải ý tưởng gốc là từ Cloudflare không
Hình như Apple và Cloudflare có liên thông về giải pháp Turnstile, nhớ đọc đâu đó Apple có quảng cáo lên iOS 16 sẽ dùng cơ chế chặn quảng cáo tương tự, không cần điền code hay click hình ảnh gì nữa cả
Tính năng này tình cờ mình thấy cách đây vài tuần, khi lượn lờ các menu tùy chọn của Cloudflare, nhìn thì khá là ấn tượng, Turnstile có 3 cơ chế hoạt động là
1. Managed
Cloudflare sẽ sử dụng thông tin từ khách truy cập để quyết định xem có nên sử dụng thử thách tương tác hay không. Nếu chúng tôi hiển thị một tương tác, người dùng sẽ được nhắc chọn hộp (không có hình ảnh hoặc văn bản để giải mã)
2. Non-interactive
Một thách thức hoàn toàn không tương tác. Người dùng sẽ thấy một tiện ích có thanh tải trong khi chạy thử thách trình duyệt. (đây là tùy chọn Cloudflare đang dùng cho các trang của họ thì phải)
3. Invisible
Thử thách vô hình không cần tương tác.
Dù bạn chọn bất cứ cơ chế hoạt động nào, khách truy cập cũng không cần phải gõ văn bản hay chọn hình ảnh gì cả, tất cả mọi thứ đã có Cloudflare xử lý, ý tưởng ban đầu của mình là dùng Turnstile thay cho plugin WordPress Zero Spam để đỡ phải dùng plugin, cơ chế chặn spam của Turnstile cũng ở cấp độ server, nên chắc sẽ nhẹ và hiệu quả hơn 😛
Mỗi cái sau khi ấn các bước, thấy cũng phải cài ở phía client 1 file js, cũng chẳng tiết kiệm thêm được cái gì 😀 chưa kể thi thoảng cài lại server, lại phải cài lại Secret Key xuống server, nên thôi, chốt lại dùng plugin hỗ trợ Turnstile cho nhàn 😀
Search 1 hồi thì thấy Simple Cloudflare Turnstile
Việc cài đặt thì khá đơn giản, bạn chỉ việc vào Turnstile ấn vào Add site, chọn domain và cơ chế muốn sử dụng, cụ thể thì mình dùng cho domain bibica.net và cơ chế sử dụng là Invisible
Xong xuôi thì bạn sẽ có Site Key và Secret Key, chép nó vào plugin Simple Cloudflare Turnstile
Muốn nó chạy trên form nào thì ấn chọn là được, trên Contact Form 7 thì cần điền thêm dòng code nhỏ “cf7-simple-turnstile” vào
Ở thời điểm mình viết bài này, trên phiên bản Simple Cloudflare Turnstile v1.16.0 hỗ trợ cũng khá nhiều các loại form
WordPress
- Login Form
- Registration Form
- Password Reset Form
- Comments Form
WooCommerce
- Checkout
- Login Form
- Registration Form
- Password Reset Form
Form Plugins
- WPForms
- Fluent Forms
- Contact Form 7
- Gravity Forms
- Formidable Forms
- Forminator Forms
Other Integrations
- Elementor Pro Forms
- Mailchimp for WordPress Forms
- BuddyPress Registration Form
- bbPress Create Topic & Reply Forms
- Ultimate Member Forms
- wpDiscuz Custom Comments Form
Nói chung cái này cũng đơn giản, bạn có dùng trên các form nào lạ lạ thì hú tác giả bổ xung vào là được
Khi chạy thì Simple Cloudflare Turnstile tạo thêm 2 request (1 cho file js, 1 cho file css), nói chung cũng được, vì có dùng plugin hay chạy thẳng bạn vẫn phải add thêm vào 1 file js từ Cloudflare rồi
Kiểm tra thực tế khi dùng Cloudflare Turnstile thì mình thấy có 1 kết nối từ challenges.cloudflare.com trả về status 401, google thì thấy vài thành viên tại diễn đàn của Cloudflare nói đó là bình thường, không thích lắm vụ code đỏ lè thế này, mà chạy Turnstile mọi người nói đó là bình thường thì … cũng kệ vậy 😀 chứ cũng không có hướng xử lý 😛
Mình thử tự comment, gửi email contact …. các thứ thì thấy cũng khá bình thường, không hiện ra CAPTCHA hay cái gì, tạm cũng chưa thấy các email spam …. hiệu quả sử dụng có vẻ ổn 😀
Lý thuyết chỉ khi bạn ấn vào button, nó mới load cái file js ra để xử lý xem 1 kết nối bình thường hay là SPAM, mà mới hơn 12h, đã có gần 300 trường hợp check, có cảm giác bất cứ kết nối nào, Cloudflare cũng check hay sao ấy, các check này khả năng cao là từ các bot của các trang tìm kiếm, monitor …. nhiều hơn là từ khách vào trang 😀
Cũng hơi lu xu nếu nhìn vào trang trạng thái của Turnstile, tạm thì vẫn thấy chặn có hiệu quả, giao diện người dùng cuối sạch sẽ, không thấy email spam ở quản trị, server chạy bình thường, nên cứ dùng thử 1 thời gian xem thế nào 😛