Отказ от Google reCAPTCHA — Yandex SmartCaptcha и honeypot

Google reCAPTCHA в 2026 в России — это проблема: грузится 3-5 секунд (если грузится), периодически блокируется, выдаёт «пройдите проверку ещё раз» обычным пользователям. На лендинге студии reCAPTCHA — стабильный минус 5-15% к конверсии формы.

Замена есть, и работает лучше.

Yandex SmartCaptcha

Прямой аналог reCAPTCHA от Яндекс.Облако. Преимущества:

• Бесплатно до 1000 проверок в день.
• Грузится с яндексовых серверов — быстро, надёжно из РФ.
• «Невидимый» режим — пользователь обычно не видит капчу, она проверяется по сигналам поведения.
• Если поведение подозрительное — показывается челлендж (выбрать картинки).
• Документация на русском.

Подключение за 10 минут

1. Зарегистрировать сайт в консоли Yandex.Cloud SmartCaptcha → получить client_key и server_key.

2. В HTML:

<div id="captcha-container"></div>
<script src="https://smartcaptcha.yandexcloud.net/captcha.js" defer></script>
<script>
window.onSmartCaptchaLoaded = () => {
  window.smartCaptcha.render('captcha-container', {
    sitekey: 'YOUR_CLIENT_KEY',
    invisible: true,
    callback: token => document.querySelector('[name=captcha_token]').value = token
  });
};
</script>

3. На сервере проверить токен:

POST https://smartcaptcha.yandexcloud.net/validate
Content-Type: application/x-www-form-urlencoded

secret=YOUR_SERVER_KEY&token=<token-from-form>

Ответ JSON со статусом ok или failed.

Honeypot — невидимая защита

Самый дешёвый и удивительно эффективный метод: добавить в форму поле, которое не видит человек, но видит бот.

<input type="text" name="website" tabindex="-1"
       autocomplete="off"
       style="position:absolute;left:-9999px;opacity:0;height:0">

Бот заполняет все поля включая website. Человек — нет (поле невидимое, не в Tab-навигации). На сервере: если website заполнен — это бот, тихо игнорируйте отправку (отвечайте 200 OK, но не обрабатывайте).

Ловит 80-95% автоматических спам-ботов, не показывая капчу никому. Минус — продвинутые боты обходят (визуальный анализ полей).

Rate limit

Простое ограничение: один IP не может слать форму чаще раз в 30 секунд. Большинство спам-ботов не нацелены на конкретный сайт, отсекаются автоматом.

В PHP на простой файловой блокировке или в Redis:

$ip = $_SERVER['REMOTE_ADDR'];
$key = "form_lock_$ip";
if (apcu_exists($key)) {
    http_response_code(429);
    exit('Too many requests');
}
apcu_store($key, 1, 30); // 30 секунд

Минимальная связка для лендинга

1. Honeypot-поле в форме.
2. Rate limit на сервере (30 секунд между отправками с одного IP).
3. Проверка на правдоподобность данных (телефон похож на телефон, email — на email).
4. SmartCaptcha (невидимая) только если спам всё равно проходит.

Эта связка ловит 99% спама и не раздражает реальных пользователей.

Зачем убирать reCAPTCHA

• −5-15% к конверсии формы.
• +2-5 секунд к загрузке страницы.
• Несовместимо с whitelist — это зарубежный CDN.
• Передаёт данные о пользователях Google (раздражает осознанных).
• Иногда вообще не загружается.

Вывод

В 2026 reCAPTCHA в РФ — устаревший выбор. Замена: honeypot + rate limit для большинства сайтов, SmartCaptcha от Яндекса для тяжёлого спама. Конверсия растёт, скорость загрузки растёт, зависимость от Google уходит.