Google reCAPTCHA – “Ben Robot Değilim” Web sitelerini kötü amaçlı yazılım, dolandırıcılık, bilgi çalma vb. sahtekarlık girişimlerinden korur. Tabi akla hemen “ReCAPTCHA ücretli mi?” sorusu geliyor. Eğer aylık 1 milyonun altında API işlem trafiği oluşuyorsa ücretsiz olarak kullanılabilir. Aylık 1 milyonun üzerindeki API trafiği varsa her 1000 işlemin maliyeti 1$. Kısa bir hesapla eğer aylık 4 milyon işlem gerçekleşiyorsa fatura 3000$ olacaktır.
Google ReCAPTCHA Enterprise fiyatı tablo halinde verilmiş. Tabi ki ücretli (Enterprise) ile ücretsiz kullanımı arasında farklılıklar var. Arasındaki farkları şu şekilde özetleyebilirim.
Diğer karşılaştırma özelliklerini buraya tıklayarak tablo halinde görebilirsiniz.
Dilerseniz Google Developers sayfasından ReCAPTCHA hakkında bilgi alabilir ve tanıtım videosunu izleyebilirsiniz.
Yukarıdaki soruların cevaplarına tek tek değineceğim. Ama ilk olarak Google reCAPTCHA’nın mantığını ve ne işe yaradığını anlamak gerekiyor.
Temel amaç siteyi “Sahtekarlardan” ve “Sahte Kullanıcılardan” korumaktır. “Gerçek Kullanıcı” ile “Sahte Kullanıcıyı” birbirinden ayırarak sitenin güvende ve sağlıklı kalmasını sağlar. Internet dünyasında arama motorlarının üst sıralarında yer alma hedefi SEO ve reklamlar aracılığı ile sağlanmaktadır. Alanında başarılı olan bir web sitesine link bırakmak ya da yorum yazarak link çekmek sıklıkla başvurulan bir yöntemdir. Bu sayede hem reklam yapılmış olur hem de SEO açısından değerli “Backlink” elde edilir.
Olayın farkına varanlar bunu SEO Pazarlama aracı olarak kullanıp, bu linkleri satmaya başlarlar. Ama siteleri sürekli olarak gezerek işlemi gerçekleştirmek zaman alır ve verimsizdir. Bunun yerine “Kötü Amaçlı Yazılım” olarak adlandırılan programlarla “Sahte Kullanıcılar” oluşturarak web sitelerine otomatik olarak sızarak yorum ve link bırakmayı hedeflerler.
Olay bu kadar masum’da olmayabilir. Artık hemen hemen tüm sitelerin “Kullanıcı Girişi – Login”, “İletişim-Mesaj Bölümü – Contact Page”, “Şifremi Unuttum – Forgot My Password” gibi kullanıcı ile etkileşimli bölümleri var. Kullanıcılara kaliteli hizmet vermek açısından kaçınılmaz olan bu alanlar “Kötü Amaçlı Yazılımlar” için siteye giriş için arka kapı olarak kullanılabilir. Yazılımlar sayesinde sürekli ve otomatik denemelerle kullanıcı adları yazılarak şifreler denenebilir, bilgiler çalınabilir.
Google ReCAPTCHA ise gerçek kullanıcı ile robot, bot, kötü amaçlı yazılım, sahte kullanıcı olarak adlandırılan “Sahte” işlemleri birbirinden ayırmak için 2007’den beri kullanılıyor. V1 ile başlayan koruma tekniğinin 5 milyon site üzerinden alınan verilerle geliştirildiğini söyleyebiliriz. Yapılan yenilikler V2 ve V3 olarak şu anda kullanılmaktadır. Google ReCAPTCHA V1 ise 2018 yılında ömrünü tamamlayarak kullanımdan kaldırılmıştır.
En temel tanımıyla; Kullanıcının site içindeki davranışları incelenerek gerçek ya da sahte olduğuna karar verilerek engellenmesinin sağlanmasıdır. Web sitesi açısından oldukça kritik olan algılamanın doğru şekilde yapılması şarttır. Yanlış algılama sonucu siteden alışveriş yapmak isteyen ya da hesabına giriş yapmayı hedefleyen gerçek kullanıcılar da engellenmiş olur.
Genel hatlarını ortaya koyduktan sonra detaylara geçebiliriz. “Ben Robot Değilim” aşağıdaki durumlarda siteyi korumayı hedefler.
Web Scraping – Kazıma
Otomatik yazılımlarla siteye erişerek içerikleri kopyalamak (çalmak) ve başka yerlerde yayınlamak olarak tanımlanabilir. Ya da aynı yöntemlerle başka bilgilere ulaşma işlemidir.
Fraudulent Transactions – Dolandırıcılık, Sahtekarlık
Özellikle e-ticaret sitelerinin ciddi sorunlarından bir tanesidir. Fraudulent Transactions; Çalıntı kredi kartı bilgileriyle site üzerinden alışveriş yapmak.
Synthetic Accounts – Sahte Hesap
Reklam amaçlı ya da siteye sızmak için kullanılabilecek sahte hesaplardır.
False Posts – (Yanlış) Kaçak Yazılar
Site üzerinde yazı yayınlayarak; yanlış bilgilendirme, kendi sitesine link çekme vb. amaçlara hizmet eder.
Ads Revenue – Tıklama Geliri
Başka sitelerde oluşturulan linklerle kullanıcıları reklamlara tıklatarak gelir elde etmek.
Account Takeovers (ATO) – Hesap Ele Geçirme
Siteye kayıtlı gerçek kullanıcıların hesaplarını ele geçirmeyi hedefler. Kullanıcılara ait tüm bilgiler (Banka hesap bilgileri, Kredi Kartı bilgileri, Adres ve İletişim Bilgileri) kötü amaçlar için kullanılabilir.
Google ReCAPTCHA tüm bu yukarıda sayılan olumsuz durumları engellemek için tasarlanmış ve kullanılmaktadır.
2007’den bugüne kadar sürekli olarak geliştirilen ReCAPTCHA yoluna V2 ve V3 ile devam ediyor. V1 artık kullanılmadığından burada yer vermeyi düşünmüyorum. V2 ve V3 için temeldeki mantık aynı olsa da kullanımı farklılık göstermektedir.
ReCAPTCHA V2
Google ReCAPTCHA V2 hali hazırda en çok kullanılan versiyondur. Kullanıcının gerçekliğinden şüphe edildiğinde insan – bot ayrımı basit bir test sayesinde yapılır. Hemen hemen hepimiz bu tür testleri görmüşüzdür. Bazen basit bir “Ben robot değilim” tıklaması yeterli olurken bazen “Aşağıda bisiklet içeren tüm resimlerini tıklayın” ya da “Aşağıda otobüs içeren tüm resimleri tıklayın” testi ile karşılaşırız.
Bu test %100 başarı sağlamamakla birlikte orta ve üst düzeye yakın seviyelerde koruma sağlamaktadır. Koruma tedbirleri geliştikçe saldırı taktikleri de değişim gösteriyor ve duvarları aşmak için çalışmalar yapılıyor. Bazı programların Google ReCaptcha V2’yi aştığı görüldükten sonra V3’ü geliştirmek gerekmiştir. Elbette ilerde V3 içinde V2 ile benzer şeyleri söyleyeceğiz ve V4’ten bahsediyor olacağız.
ReCAPTCHA V3
V2’nin bu test prosedürü siteye gelen ziyaretçilerde rahatsızlık yaratmaya başladı. Sürekli birşeyleri tıklamak sıkıcı olabiliyor. Dolayısı ile kullanıcılara gösterilmeyen ama arka planda işlemeye devam eden Google ReCAPTCHA V3 ortaya çıktı. Basit olarak izah etmek gerekirse; V3 kullanıcının hareketlerini ve davranışlarını izler. Davranışlarında şüpheli tıklamalar görürse engelleme yolunu seçecektir. Bunu yaparken normal kullanıcıların site içerisindeki tıklamaları ile botların tıklamalarını karşılaştırıp değerlendirme yapar. Sonuç olarak kullanıcıya 1 ve 0 arasında bir değer atar. Skor “0” ise bot, “1” ise gerçek kullanıcı olarak kabul eder.
Elde ettiği ve sonuçları Google ReCAPTCHA V3 Admin Console‘a giriş yaparak gözlemleyebilirsiniz.
Admin Console içinde belirlemiş olduğunuz aktivitelere yönelik olarak; Toplam İstek Sayısı, Şüpheli İstek Sayısı, Puan Dağılımı istatistiklerine ulaşabilirsiniz.
Şimdiye kadar olan bölümde; Google ReCAPTCHA Nedir? Ne İşe Yarar? gibi sorulara cevap aradık. Bundan sonraki adımlarımız ise siteye “Google ReCAPTCHA eklemek ve kaldırmak” olacak.
Genellikle WordPress siteler kullanıldığından ekleme ve kaldırma işlemlerini WP sitelerine uygun olarak anlattım.
WordPress Google ReCAPTCHA ekleme ve kaldırma
Eğer özel temalar kullanıyorsanız işiniz biraz daha kolay. Alan eklediğinizde aktif edip etmek istemediğinizi belirtip 1-2 adımda ayarlarını bitirebiliyorsunuz. Örneğin; Elegant Themes – Divi Google ReCAPTCHA’yı aşağıdaki gibi aktif edebilirsiniz.
1- İlk olarak Google ReCAPTCHA V3 ile ilgili dokümanları okumak isteyebilirsiniz.
2- Sonra gerekli key (Anahtarları) almak için Google Developers sayfasında oturum açmanız gerekiyor.
3- Giriş yaptıktan sonra “Sınırsız değerlendirmeler için reCAPTCHA Enterprise‘ı kullanın” yönlendirmesini görebilirsiniz. Bununla ilgili açıklamayı yazının başında yapmıştım.
4- “Etiket” belirleyerek bir isim vermiş oluyorsunuz. Birden fazla site ile çalışırken ayarlara rahatlıkla ulaşmanıza yardımcı olacaktır. Bu tamamen size yöneliktir, herhangi bir yerde gözükmez. Kısa bir ad veriyorsunuz. Genellikle site ismi kullanılır; “seninsiten.com”
5- Sitenizde hangi Google Recaptcha türünü kullanmak istiyorsanız seçin. İki seçenek göreceksiniz ve bunlardan ancak birini kullanabilirsiniz, ikisi aynı anda aktif edilemez. Seçim sırasında aşağıdaki bilgilendirme yazısını görebilirsiniz.
6- Google reCAPTCHA özelliğini hangi sitede aktif etmek istiyorsanız alan adınızı yazın.
7- “Sahipler” bölümünden yetkili hesap adlarını ayarlayabilirsiniz. Buradaki hesap isimleri WordPress temalarında ( Ben birazdan Divi’yi örnek olarak vereceğim) aktifleştirme için kullanılır. Gereken mail adresini girin.
8- Hizmet Şartlarını okuyup kabul ettikten sonra gönder butonuna basabilirsiniz.
9- WordPress Divi Google reCAPTCHA aktivasyonu için gereken bilgiler;
10- Divi tarafına geçmeden önce Google Admin paneline geçerek “Ayarlar” bölümünden Secret ve Site Key almanız gerekiyor.
Buradaki site anahtarı (Site Key) ve gizli anahtar (Secret Key) kopyalanarak divi contact (iletişim) bölümü altındaki alanlara yapıştırılır.
11- Divi Contact (iletişim) modülünü açtığınızda formun ayarlar bölümüne giriş yapın.
12- Hesap adı kısmına google’da oluşturduğunuz hesabı yazın.
13- Google reCAPTCHA Admin panelden almış olduğunuz Site Anahtarı (Site Key) ve Gizli Anahtar (Secret Key) kopyala yapıştır yapın.
14- Minimum skor değerini ayarlayın. Skor “0” a yaklaştıkça bot, “1” değerine yaklaştıkça gerçek kullanıcı olduğu kabul edilir.
15- Gönder butonuna basarak aktif hale getirin.
16- Sayfayı görüntülediğinizde sayfanın altında “reCAPTCHA tarafından korunmaktadır” sembolünü görebilirsiniz. V2 de şüpheli gözüken kullanıcılardan ufak bir puzzle çözmesi istenecektir.
Yine DİVİ tema contact (iletişim) modülü ayarlarına girerek eklediğiniz SPAM Protection (SPAM Koruması) ayarlarından kaldırabilirsiniz.
Spam protection sekmesi altında “KALDIR” butonuna basarak pasif hale getirebilirsiniz.
Sayfa başında verdiğim linkleri ziyaret ederek Google reCAPTCHA v2 ve v3’ün nasıl ekleme yapılıp kaldırıldığını okuyabilirsiniz.
Ben diyeceğimi dedim… Sen de bi’şey demek istersen çekinme ve yorum bırak. İstersen siteme üye ol, kendi adınla makalelerini yayınlamaya başla.
Daha önce dediğim Bi’şeyler
Meze siparişi vererek, ev konforunda İstanbul'un kalabalığından uzak keyif yapmak isteyenleri anlıyorum. Peki, nelere dikkat…
"E-ticaret yapmak için gerekenler nelerdir?" Şirket kurmak gerekir mi? E-ticaret hakkında tüm merak edilenleri sizin…
Aldatan erkek nasıl davranır? Aldatıldığından şüphe eden kadının aklında gelen ilk sorudur. Sonra; "Neden aldattı?,…
Bonynin Yolu köpek eğitim kitabı kimler için hazırlanmış? İçinde ne tür bilgiler var ve gerçekten…
Perseid meteor yağmuru (12-13 Ağustos) Türkiye'den izlemek için en uygun saat hangisi? Meteor yağmuru saat…