У нас есть 20 абсолютно одинаковых сайта на WordPress (лендинги).
На них разные только доменные имена и счетчики метрики. Размещены на одном хостинге. Есть интеграция с CRM битрикс 24 (заявки падают туда). В самих заявках не указано, с какого сайта она пришла, только номер клиента.
Проблема: паследние 2-3 недели идет много спама (≈10 лидов каждый час). Судя по отсутствию зафиксированных целей в Яндекс.Метрике, боты шлют POST-запросы напрямую в обработчик форм, минуя фронтенд. Понять с какого именно сайта (или со всех?) идет спам сейчас нет возможности.
Задача:
Внедрить надежную серверную защиту от автоматического спама без ухудшения конверсии для реальных пользователей.
1. Идентификация источника спама (в первую очередь)
В обработчик отправки форм на сервере добавить определение домена, с которого уходит заявка (через $_SERVER['HTTP_HOST'] или HTTP_REFERER).
Передавать этот домен в CRM Битрикс24
2. Внедрение серверного Honeypot (Медовая ловушка)
Добавить в формы скрытое поле (например, phone_confirm или user_additional_check). Поле должно быть скрыто от пользователей через CSS (скрывать обертку, а не само поле, чтобы глупые боты его видели).
Серверная проверка (PHP): Если это поле заполнено (его заполнил бот) – прерывать отправку лида в CRM и на почту. При этом на фронтенде возвращать боту успешный ответ (JSON), имитируя штатную отправку, чтобы он не пытался обойти защиту другими методами.
3. Интеграция Cloudflare Turnstile (Невидимая капча)
Подключить невидимую капчу Cloudflare Turnstile ко всем формам. API-ключи (Site Key и Secret Key) я предоставлю.
Обязательно: Валидация токена должна происходить на стороне сервера (server-side проверка через API-запрос к Cloudflare). Если токен не прошел проверку – лид бракуется.
4. Масштабирование
Сначала решение настраивается и тестируется на одном (тестовом) домене.
После успешного теста решение копируется на остальные 19 сайтов (так как они клоны, перенос должен быть быстрым через замену файлов обработчика по FTP).
Работа принимается и оплачивается только после прохождения проверки:
1) Тест на реального клиента: Я отправляю форму как обычный пользователь – заявка мгновенно приходит в Битрикс24 с указанием домена-отправителя.
2) Вы говорите мне точное название скрытого поля. Я вручную через консоль разработчика (F12) делаю поле видимым, заполняю его и отправляю форму. Результат: на сайте пишется «Успешно отправлено», но в Битрикс24 заявка НЕ поступает.
3) Проверка временем (72 часа): После выкатки решения на все 20 сайтов ждем 3 дня, смотрим на количество автоматического спама
В отклике пишите когда сможете приступить и сколько по времени займет.
Опубликован 05.06.2026 в 12:40 Последнее изменение: 05.06.2026 в 12:40