Les solutions de captcha antispam pour les formulaires WordPress sont nombreuses mais pas forcément pratiques pour vos utilisateurs, parfois franchement moches et souvent peu respectueuses des données privées des utilisateurs. Nos experts en développement WordPress analysent pour vous la solution ALTCHA pour protéger les formulaires WordPress : comment ça marche et est-ce efficace ?

Petite précision qui a son importance, nous ne sommes pas rémunérés pour cet article, nous n’avons aucun lien avec Altcha et aucun lien hypertexte n’est sponsorisé. Nous serions ravis de pouvoir échanger sur le sujet si des éléments vous semblent peu clairs ou erronés.

Principe de fonctionnement d’Altcha

ALTCHA est un système de protection contre les spams qui propose une alternative aux captcha traditionnelles. Elle est intéressante par son approche plus respectueuse des données personnelles des utilisateurs.

La captcha d’ALTCHA repose sur un système par preuve de travail (Proof of Work, PoW) : le terminal client doit résoudre un défi numérique.

ALTCHA édite une solution complète d’anti spam, une solution de  statistiques, de formulaires dont les captcha font partie. La solution est globalement présentée comme RGPD compatible mais seule la partie captcha est open source et peut être installée sur un serveur. Les parties Statistiques et Formulaires sont encore en Beta à ce jour et seront a priori payantes.

Un filtre antispam peut être ajouté au captcha via une API qui elle n’est pas open source et qui elle, est payante. Ce système est optionnel et induit un envoi des données postées par les utilisateurs sur vos formulaires vers un serveur tiers. ALTCHA promet que ces données sont traitées selon le RGPD mais les garanties sont floues. 

C’est donc uniquement le système de captcha open-source que nous testons ici et non le système de filtrage propriétaire et optionnel.

Nous signalons qu’un système d’obfuscation des mails et téléphones est disponible dans un package connexe également open-source.

ALTCHA revendique des clients internationaux rassurants comme la préfecture de police française, le ministère de la culture italien.

ALTCHA est basé en Europe, plus précisément en  Tchéquie. Le support de l’extension .org est enregistré en Tchéquie et ne semble pas être lié à une association à but non lucratif. Le code semble donc juste libéré pour la partie captcha sans support d’une entité administrative (d’une association ou fondation).

Le code du serveur est en licence MIT comme le plugin WordPress  mais les autres services sont payants. Le modèle économique est du genre freemimum.

Le filtre antispam est sur abonnement : 200 requêtes par jour gratuites puis 12 E / mois. (antispam non testé dans ce benchmark).

Prêts à résister aux robots de spams ?

Installation et réglage

La mise en place du captcha d’ALTCHA sur votre site WordPress ne nécessite pas d’installer un serveur. Seul un plugin WordPress est à installer à régler.

Vous pouvez utiliser le plugin avec 2 modes : 

  • juste le captcha
  • la captcha et l’analyse de la donnée par une API antispam fournie par Altcha. Cette API est payante et analyse les données de vos utilisateurs. 

Vous avez la possibilité d’activer le plugin sur les pages WordPress : connexion, inscription, commentaire  et mot de passe oublié.

La compatibilité avec les plugins de  formulaires WordPress est très large : Contact Form 7, Elementor Pro Form, Forminator, Gravity Form, HTML Forms, WP forms. Nous soulignons qu’il n’y a pas d’intégration avec les formulaire Ultimate Member mais on peut toujours intégrer manuellement le snippet (voir plus bas).

Pour intégrer Altcha sur DIVI, vous devez passer par un plugin de formulaire et l’intégrer dans DIVI (ce qui est payant dans DIVI) ou bien utiliser un autre plugin de formulaire et ajouter du code css pour la mise en forme (ce qui est gratuit mais nécessite un développeur).

<altcha-widget
    challengeurl="https://altcha.qodop.com/altcha"
    hidelogo
    auto="onfocus" 
    strings="{
&quot;label&quot;:&quot;Je ne suis pas un robot !&quot;,
&quot;error&quot;:&quot;La v&#233;rification a &#233;chou&#233;, merci de r&#233;-essayer.&quot;,
&quot;footer&quot;:&quot;Nous garantissons le traitement de ces donn&#233;es selon notre politique de confidentialité.&quot;,
&quot;verified&quot;:&quot;V&#233;rifi&#233; !&quot;,
&quot;verifying&quot;:&quot;En cours de v&#233;rification...&quot;,
&quot;waitAlert&quot;:&quot;Merci de patienter...&quot;
}"
  ></altcha-widget>

Le plugin WordPress permet de régler peu de paramètres mais on peut toujours passer par un widget pour régler plus finement les paramètres notamment les textes qui ne sont pas modifiables via le plugin. 

Quelques réglages possibles  : langue, UI, Délai, Cacher le footer “Powered by ALTCHA”, cacher le logo…

On a la possibilité d’écrire le snippet directement avec les textes mais un léger développement spécifique WordPress permettrait d’ajouter un shortcode simplement et de choisir les textes.

Le système de traduction est minime : pas de traduction du plugin et pour régler les textes du captcha, cela se passe dans  un fichier php donc difficile de le surcharger sans perdre les informations à la prochaine mise à jour.

Voici quelques informations sur le  plugin sur WordPress.org : 1000 installations actives (au 2/2/25), fréquemment mis à jour. 

Nous avons passé le code en revue, le javascript est optimisé mais assez volumineux (39k), il  est chargé ainsi qu’une css (300o). Pas de code en ligne. Il est possible d’ajouter un support pour un autre plugin de formulaire non supporté par défaut ou de développer son propre plugin à partir des bibliothèques php libérées.

Efficacité

Selon nos tests, la solution captcha d’ALTCHA est plutôt efficace. Les robots intelligents peuvent la contourner mais en ajoutant un honeypot et en désactivant la vérification au chargement de la page, le taux de spam baisse énormément. 

La solution captcha seule sans le filtre antispam ne protège pas contre le phishing. 

Les performances du site ne sont pas affectées et l’UX est bien mieux que les captcha qu’il faut recopier.

Notre avis : cette technologie de captcha ALTCHA respectueuse des données personnelles et de l’UX du site est une très bonne solution pour les petits sites avec son plugin très simple à configurer mais peut être aussi intégré à des solutions développées sur mesure sur WordPress. Dommage que le système de filtre ne soit pas également open-source et hébergeable sur un serveur autre que celui de l’éditeur.

Merci à Craig Sybert pour les illustrations