Les solutions de captcha antispam pour les formulaires WordPress sont nombreuses mais pas forcément pratiques pour vos utilisateurs, parfois franchement moches et souvent peu respectueuses des données privées des utilisateurs. Nos experts en développement WordPress analysent pour vous la solution ALTCHA pour protéger les formulaires WordPress : comment ça marche et est-ce efficace ?
Petite précision qui a son importance, nous ne sommes pas rémunérés pour cet article, nous n’avons aucun lien avec Altcha et aucun lien hypertexte n’est sponsorisé. Nous serions ravis de pouvoir échanger sur le sujet si des éléments vous semblent peu clairs ou erronés.
Principe de fonctionnement d’Altcha
ALTCHA est un système de protection contre les spams qui propose une alternative aux captcha traditionnelles. Elle est intéressante par son approche plus respectueuse des données personnelles des utilisateurs.
La captcha d’ALTCHA repose sur un système par preuve de travail (Proof of Work, PoW) : le terminal client doit résoudre un défi numérique.
ALTCHA édite une solution complète d’anti spam, une solution de statistiques, de formulaires dont les captcha font partie. La solution est globalement présentée comme RGPD compatible mais seule la partie captcha est open source et peut être installée sur un serveur. Les parties Statistiques et Formulaires sont encore en Beta à ce jour et seront a priori payantes.
Un filtre antispam peut être ajouté au captcha via une API qui elle n’est pas open source et qui elle, est payante. Ce système est optionnel et induit un envoi des données postées par les utilisateurs sur vos formulaires vers un serveur tiers. ALTCHA promet que ces données sont traitées selon le RGPD mais les garanties sont floues.
C’est donc uniquement le système de captcha open-source que nous testons ici et non le système de filtrage propriétaire et optionnel.
Nous signalons qu’un système d’obfuscation des mails et téléphones est disponible dans un package connexe également open-source.
ALTCHA revendique des clients internationaux rassurants comme la préfecture de police française, le ministère de la culture italien.
ALTCHA est basé en Europe, plus précisément en Tchéquie. Le support de l’extension .org est enregistré en Tchéquie et ne semble pas être lié à une association à but non lucratif. Le code semble donc juste libéré pour la partie captcha sans support d’une entité administrative (d’une association ou fondation).
Le code du serveur est en licence MIT comme le plugin WordPress mais les autres services sont payants. Le modèle économique est du genre freemimum.
Le filtre antispam est sur abonnement : 200 requêtes par jour gratuites puis 12 E / mois. (antispam non testé dans ce benchmark).
Installation et réglage
La mise en place du captcha d’ALTCHA sur votre site WordPress ne nécessite pas d’installer un serveur. Seul un plugin WordPress est à installer à régler.
Vous pouvez utiliser le plugin avec 2 modes :
- juste le captcha
- la captcha et l’analyse de la donnée par une API antispam fournie par Altcha. Cette API est payante et analyse les données de vos utilisateurs.
Vous avez la possibilité d’activer le plugin sur les pages WordPress : connexion, inscription, commentaire et mot de passe oublié.
La compatibilité avec les plugins de formulaires WordPress est très large : Contact Form 7, Elementor Pro Form, Forminator, Gravity Form, HTML Forms, WP forms. Nous soulignons qu’il n’y a pas d’intégration avec les formulaire Ultimate Member mais on peut toujours intégrer manuellement le snippet (voir plus bas).
Pour intégrer Altcha sur DIVI, vous devez passer par un plugin de formulaire et l’intégrer dans DIVI (ce qui est payant dans DIVI) ou bien utiliser un autre plugin de formulaire et ajouter du code css pour la mise en forme (ce qui est gratuit mais nécessite un développeur).
<altcha-widget
challengeurl="https://altcha.qodop.com/altcha"
hidelogo
auto="onfocus"
strings="{
"label":"Je ne suis pas un robot !",
"error":"La vérification a échoué, merci de ré-essayer.",
"footer":"Nous garantissons le traitement de ces données selon notre politique de confidentialité.",
"verified":"Vérifié !",
"verifying":"En cours de vérification...",
"waitAlert":"Merci de patienter..."
}"
></altcha-widget>
Le plugin WordPress permet de régler peu de paramètres mais on peut toujours passer par un widget pour régler plus finement les paramètres notamment les textes qui ne sont pas modifiables via le plugin.
Quelques réglages possibles : langue, UI, Délai, Cacher le footer “Powered by ALTCHA”, cacher le logo…
On a la possibilité d’écrire le snippet directement avec les textes mais un léger développement spécifique WordPress permettrait d’ajouter un shortcode simplement et de choisir les textes.
Le système de traduction est minime : pas de traduction du plugin et pour régler les textes du captcha, cela se passe dans un fichier php donc difficile de le surcharger sans perdre les informations à la prochaine mise à jour.
Voici quelques informations sur le plugin sur WordPress.org : 1000 installations actives (au 2/2/25), fréquemment mis à jour.
Nous avons passé le code en revue, le javascript est optimisé mais assez volumineux (39k), il est chargé ainsi qu’une css (300o). Pas de code en ligne. Il est possible d’ajouter un support pour un autre plugin de formulaire non supporté par défaut ou de développer son propre plugin à partir des bibliothèques php libérées.
Efficacité
Selon nos tests, la solution captcha d’ALTCHA est plutôt efficace. Les robots intelligents peuvent la contourner mais en ajoutant un honeypot et en désactivant la vérification au chargement de la page, le taux de spam baisse énormément.
La solution captcha seule sans le filtre antispam ne protège pas contre le phishing.
Les performances du site ne sont pas affectées et l’UX est bien mieux que les captcha qu’il faut recopier.
Notre avis : cette technologie de captcha ALTCHA respectueuse des données personnelles et de l’UX du site est une très bonne solution pour les petits sites avec son plugin très simple à configurer mais peut être aussi intégré à des solutions développées sur mesure sur WordPress. Dommage que le système de filtre ne soit pas également open-source et hébergeable sur un serveur autre que celui de l’éditeur.
Et la version 2 alors ? – mise à jour avril 2026
Vous avez sûrement remarqué le petit lien appelant à passer à la version 2 dans la gestion des plugins de votre site WordPress.
Depuis la rédaction de cet article, ALTCHA a publié une version 2 du plugin WordPress (altcha-wordpress-next sur GitHub). Après analyse, nous déconseillons la migration vers cette nouvelle version pour les sites web associatifs ou TPE/PME soucieux du RGPD et de la maîtrise de leurs outils. Plusieurs éléments ont changé en profondeur par rapport à la v1 :
- Le plugin n’est plus open source. La licence GPL-2.0 a été remplacée par une licence propriétaire (BAU Software s.r.o., République tchèque) qui interdit la redistribution, la modification pour la production et la rétro-ingénierie. Une partie du code (les fichiers JavaScript dans /public/vendor/) est livrée uniquement sous forme minifiée et n’est tout simplement pas auditable, ce qui est rédhibitoire pour valider une conformité RGPD sérieuse.
- Le plugin n’est plus distribué via WordPress.org. Précisément parce qu’il n’est plus compatible avec les règles open-source du répertoire officiel. Il faut le télécharger manuellement depuis altcha.org ou GitHub, et les mises à jour passent désormais par un mécanisme propriétaire (includes/updater.php) qui interroge des serveurs distants pour vérifier les nouvelles versions. Ce n’est pas une fuite de données utilisateurs, mais c’est une dépendance externe que la v1 n’avait pas.
- Des vulnérabilités de sécurité importantes ont été identifiées et ne semblent pas corrigées. En décembre 2025, Julio Potier (SecuPress), expert reconnu de la sécurité WordPress, a publié l’analyse de plusieurs failles dans la v2 <= 2.2, dont une CSRF notée 9.5/10 en CVSS (très haute) permettant à un attaquant de modifier les paramètres du plugin à l’insu de l’administrateur. Julio Potier indique avoir signalé ces failles aux développeurs sans réponse satisfaisante et on ne voit pas de trace de rectification de ces erreurs dans les logs des releases.
- L’interception est globale et silencieuse. La v2 abandonne l’intégration explicite par formulaire (le shortcode et le widget que vous placiez vous-même) au profit d’un Request Interceptor qui s’injecte automatiquement sur l’ensemble du site. Cette solution nous parait beaucoup mon flexible.
Notre recommandation : si vous utilisez actuellement la v1 (open source, GPL, 100 % auto-hébergée, sans communication externe en mode self-hosted), conservez-la tant qu’elle reçoit des correctifs de sécurité. La dernière version 1.26.3 date du 14 décembre 2025. Si la v1 venait à être abandonnée par l’éditeur — ce qui est un risque réel vu la stratégie commerciale autour de la v2 — il sera alors préférable de basculer vers une alternative réellement open source comme Mosparo, éventuellement combinée avec un honeypot, plutôt que de passer à la v2 d’ALTCHA.
Si vous cherchez une alternative en 2026
Le paysage des captchas open source et auto-hébergés a peu évolué depuis 2025, malgré quelques projets prometteurs. Mosparo reste à ce jour la solution la plus mature qui coche toutes les cases (open source MIT, auto-hébergeable, plugin WordPress officiellement maintenu — dernière mise à jour février 2026, association suisse à but non lucratif). Côté nouveautés, le projet Cap (sous licence Apache 2.0, créé en 2025) est techniquement très intéressant (proof-of-work SHA-256 couplé à des défis d’instrumentation JavaScript, certifié OpenSSF Best Practices au niveau gold) mais il ne dispose pas encore de plugin WordPress officiel, ce qui le réserve aux projets dans lesquels du développement sur mesure est envisageable. Les solutions SaaS européennes comme CAPTCHA.eu (Autriche) ou Friendly Captcha (Allemagne) sont plus simples à déployer mais restent propriétaires et payantes, et impliquent toujours un transfert de données vers un tiers, ce qui ne correspond pas à la même promesse RGPD.
Merci à Craig Sybert pour les illustrations