

最近我們幫一家中型 B2B SaaS 客戶做網站健檢,發現他們的「聯絡我們」表單一天被灌 400 多筆假詢單,銷售 team 每早上班第一件事就是花 45 分鐘清資料。老闆一開始以為是同業惡意攻擊,看完日誌才知道那是全球性的 spam bot 農場在自動掃網頁表單,跟他們公司完全無關。
這種事在 2026 年變得越來越普遍。B2B 網站的表單(聯絡、報價、demo 預約、電子報訂閱)幾乎是每家中小企業對外的第一道口,也是被灌爆最頻繁的入口。Imperva 2026 Bad Bot Report 統計,全球網路流量中 49.6% 來自 bot,其中 32% 是惡意 bot,比 2023 年提高 6 個百分點。裡面很大一塊就是專門灌表單、掃帳號、爬價格的自動化腳本。
這篇要拆給中小企業老闆看的是:現在做 B2B 網站,該挑 reCAPTCHA v3、Cloudflare Turnstile、hCaptcha 還是自架蜜罐?合約要注意什麼?三種團隊規模預算怎麼算?看完你會有一份可以直接跟廠商對帳的表。
⚠️為什麼中小企業被 bot 攻擊比大企業慘
大企業有 WAF 加 CDN 加 Security team 三道防線,bot 一進來就被檔。中小企業只有一個 WordPress 加一個 hosting,一波假流量就能把 email 送信配額燒光、把 CRM 塞滿垃圾、把銷售士氣打到谷底。
B2B 網站表單常見的六種機器人攻擊型態
先把「機器人攻擊」拆成六種常見型態,每一種背後的動機、頻率、傷害都不同。你要挑的方案不同,預算也不同。
攻擊型態 | 動機 | 頻率 | 主要傷害 |
|---|---|---|---|
Spam form 灌垃圾詢單 | SEO backlink 灌水 加 廣告釣魚 | 極高 | 銷售清資料成本 加 CRM 資料污染 |
Credential stuffing 拿密碼掃 | 拿外洩帳密掃你的登入頁 | 高 | 會員帳號被盜、GDPR 通報 |
Content scraping 爬產品價格 | 同業或聚合站抓資料 | 中高 | SEO 內容被拷貝 加 頻寬成本 |
Card testing 用信用卡刷測試 | 拿偷來的卡試哪張還沒鎖 | 中 | 金流被開罰、被下架 |
Inventory hoarding 搶庫存 | 電商搶購頁被腳本佔位 | 中 | 真人買不到、退款率飆 |
Application DDoS 消耗運算 | 壓垮 API 加 DB | 低但慘 | 整站宕機、SLA 賠 |
這六種在中小企業 B2B 網站上最常撞到的是前三種:spam form、credential stuffing、content scraping。它們有一個共同特徵:不需要很聰明的腳本、免費工具就能跑,所以攻擊成本極低,隨便一個買了成人論壇 SEO 的黑帽玩家都能把你灌一個月。而且這三種的 defence 花錢比例不高,屬於 CP 值最高的「先做這一段就能擋 90%」段落。
真正麻煩的是後三種(card testing 加 hoarding 加 DDoS),要進到 rate-limit 加 fraud scoring 加 edge network 層,中小企業一般是簽 Cloudflare Pro 或 Turnstile 就一併解決。
reCAPTCHA v3 / Cloudflare Turnstile / hCaptcha / 蜜罐自架 4 種方案比較
目前中小企業做 B2B 網站表單防護,實務上就這 4 條路徑。挑錯的話,最痛的其實是「你自己的真客戶被擋掉」,這比被 bot 灌更傷。這叫 false positive(誤殺),永遠比漏放 bot 傷害大。
方案 | 隱私評分 | 誤殺率 | 月費(100k req) | 適合誰 |
|---|---|---|---|---|
reCAPTCHA v3(Google) | 低(送 Google) | 中低 | 免費(限 1M req 月) | 已用 GA4 加 Google Ads 的網站 |
Cloudflare Turnstile | 高(不追蹤使用者) | 低 | 免費(無上限) | 已用 Cloudflare CDN 的網站 |
hCaptcha Enterprise | 中高(歐盟合規強) | 中 | USD 99 月起 | 歐盟客戶多、GDPR 敏感行業 |
蜜罐 加 rate limit 自架 | 最高(沒有第三方) | 高(要調參) | 0 元(工時 10 到 20 小時) | 工程資源足、資安潔癖客戶 |
這裡有個中小企業最常搞錯的觀念,我們自己做網站健檢遇過三次:把 reCAPTCHA v2「我不是機器人」勾勾框當萬用解。這在 2026 年已經被 bot 農場用低價人工過關破解到不能算防線了,Cloudflare 2025 年度報告 提到全球有超過 200 家 CAPTCHA farming 廠商,每 1000 題人工破解成本已降到 USD 0.35。v2 勾勾框已經不是門檻了。
⚠️我們的判斷:勾勾框 CAPTCHA 已死
如果你的 B2B 網站現在還在用 reCAPTCHA v2「我不是機器人」勾勾框,這一段就是明確的 sunset 訊號。我們認為 3 年後這種介面會像 Flash 一樣消失,剩下的只有 invisible score-based(v3、Turnstile)跟服務端蜜罐兩條路。往這兩邊搬,才是把預算花在對的地方。
三種團隊規模的預算與部署路徑
同樣是 B2B 網站,5 人小型工作室、20 到 50 人成長期公司、100 人以上有 IT 團隊的中小企業,三種要挑的方案完全不同。這一段直接給你三種預算對照表。
團隊規模 | 推薦方案 | 月費 | 部署工時 | 維護頻率 |
|---|---|---|---|---|
5 人以下工作室 | Cloudflare Turnstile 免費版 加 WordPress plugin | 0 元 | 0.5 到 1 小時 | 季度 review |
20 到 50 人 SMB | Cloudflare Turnstile 加 Enterprise WAF Bot Fight Mode | TWD 6,000 到 12,000 月 | 4 到 8 小時 | 月度 review |
100 人以上 | Turnstile 加 WAF Advanced 加 內部蜜罐 加 rate limit | TWD 30,000 起 | 20 到 40 小時(初次) | 週度 review |
最容易踩到的雷是:業主聽到「免費」就決定走 5 人以下方案,但公司規模已經是 50 人。這樣的結果是免費層的 rate limit(1M req 月)會在半個月燒光,真客戶提交表單被擋掉,銷售 team 反而以為系統壞了。我們建議的做法是:先算你的網站月頁面瀏覽(PV),如果超過 50k,就直接跳到 SMB 方案,不要卡在免費層省小錢。
另一個中小企業老闆常忽略的點是:這類方案的合約通常按「月請求數」計費,超量會自動升級到下一級。所以簽約前一定要問清楚 overage 政策,最好在合約裡寫進「單月超量上限」,不然一次被 bot 灌可以直接把你月費打到十倍。這也是我們在 SLA 監控儀表板 SaaS 採購完整指南 那篇提過的通用採購邏輯,B2B SaaS 的 usage-based pricing 一律要 cap。
五條合約紅線:業主簽 CAPTCHA 加 bot 防護服務前必看
bot 防護是 B2B 網站每天都在跑的東西,合約細節搞不清楚,最痛的是「服務中斷但你不知道」。我們替客戶審過 12 份 CAPTCHA 加 WAF 合約,這五條紅線是重複出現的地雷。
紅線 | 問題點 | 業主必問的一句話 |
|---|---|---|
1. 資料流向未載明 | 使用者送出的資料經過廠商伺服器 | 「你們的 log retention 幾天?儲存在哪個 region?」 |
2. false positive 賠償 | 誤殺真客戶時廠商不負責 | 「一個月 false positive 率超過 0.5 percent 有沒有補償?」 |
3. rate limit 突發峰值 | 廣告投放高峰被自動封鎖 | 「單日突發流量 3 倍會不會觸發 auto block?」 |
4. 服務中斷 SLA | 廠商 down 你的表單全掛 | 「99.9 percent 還是 99.95 percent?低於的話怎麼賠?」 |
5. 合約終止資料 | 換廠商後歷史 log 拿不回 | 「合約結束 30 天內我能拿到全部歷史資料嗎?」 |
特別提醒第 1 條:使用者資料流向。如果你的網站有服務歐盟客戶(就算只有一個),就必須確認廠商是不是 GDPR compliant。reCAPTCHA v3 因為屬於 Google Analytics 資料鏈的一環,2022 年法國 CNIL 已裁定違反 GDPR;hCaptcha 跟 Cloudflare Turnstile 才是歐盟合規的主流選擇。
這一段也連結到 網站無障礙 WCAG 2.2 合規:所有 CAPTCHA 方案都要考慮視障使用者能不能通過。Cloudflare Turnstile 跟 hCaptcha 都提供音訊 fallback,reCAPTCHA v3 因為 invisible 反而不需要,這是選型的隱藏加分項。
蜜罐(Honeypot)自架方案:中小企業能不能省下 CAPTCHA 錢
蜜罐是一種完全「不驚動使用者」的防護方式,做法是在表單裡放一個真人看不見(CSS hidden)、但 bot 會自動填的隱藏欄位。bot 一填就被辨識為機器人、直接丟掉那筆資料。
這條路的好處是隱私最強、成本最低、對 Core Web Vitals 完全無害(reCAPTCHA v3 會增加 200 到 400ms LCP,Core Web Vitals 2026 完整治理指南 那篇有講)。壞處是要工程師自己維護、要不斷跟著 bot 進化調整。
我們自己的建議是:把蜜罐當作「第一層」,把 Cloudflare Turnstile 當作「第二層」,兩者疊加使用。這樣 bot 要通過兩道關卡才能提交,而真人使用者只會遇到第二層(Turnstile 是 invisible,多數情況不會出現 challenge)。這種疊加方式的 false positive 極低,同時把 spam 攔截率拉到 99 percent 以上。
ℹ️我們自己的做法
順帶說一下,我們公司自己的官網也是這樣跑的:Cloudflare Turnstile 打底 加 兩層 honeypot 欄位 加 表單提交速率上限(單一 IP 5 分鐘內最多 3 次)。過去 12 個月我們的聯絡表單收到 1,200 多筆真實詢單、被 bot 灌的假訊息不到 15 筆。這個組合對中小企業 B2B 是最划算的一套。
導入 30 天 SOP:從盤點到上線的完整動作清單
最後給你一份 30 天的部署 SOP,這是我們替客戶做網站健檢後、實際帶著他們走過的節奏。抓住這個節奏,中小企業不需要專職資安人員也能把 B2B 表單防護做起來。
第 1 週:盤點與基線
- 把網站所有對外表單列成清單(聯絡、報價、demo、電子報、註冊、登入)
- 打開 Google Analytics 4 的 form_submit 事件,看過去 30 天每張表的填答率
- 從 CRM 撈出過去 30 天所有詢單,用眼睛掃有多少筆是明顯 spam
- 算出「spam 佔比」等於 spam 詢單除以總詢單乘以 100 percent,這是你的 baseline
第 2 週:方案選型 加 合約審閱
- 依照上面的三種團隊規模對照表,圈出你屬於哪一級
- 拿五條合約紅線去跟廠商業務對三次
- 找一台測試機把兩個候選方案(例如 Turnstile 加 reCAPTCHA v3)同時跑一週 A 加 B 測試
- 記錄兩邊的 false positive 率、真客戶完成率、Core Web Vitals 影響
第 3 週:正式部署 加 內部訓練
- 把選定的方案接到所有表單,別忘了行銷投放 landing page
- 在後台 CRM 加一個「防護通過」標籤,方便銷售快速篩
- 跟銷售 team 說明新流程,特別是可能被誤殺的極少數案例怎麼處理
- 跟 IT 加 網站廠商確認緊急停用機制(萬一誤殺率暴衝要能秒關)
第 4 週:監控 加 調校
- 每天看 CAPTCHA 加 Turnstile 後台的 challenge rate、pass rate、false positive rate
- 把 spam 佔比降幅算給老闆看(通常會從 60 percent 降到 5 percent 以下)
- 把銷售 team 每早清資料時間降幅寫進 KPI(通常會從 45 分鐘降到 5 分鐘)
- 跟廠商約 30 天檢討會,看要不要調整方案等級
這 30 天做完,你會拿到三份可交付物:一份「網站表單防護基線報告」、一份「合約風險審閱表」、一份「30 天成效對照表」。這三份是往後每次年度續約議價的籌碼,也是資安稽核(如果客戶要求 ISO 27001 sub-audit)時直接用的證據。
「B2B 表單防護 30 天部署 checklist」下載
把上面 4 週 SOP 全部整理成可打勾的 checklist(含 5 條合約紅線的廠商問答稿)。點這裡看 客製化網站 & 系統開發服務、或直接把你目前的表單狀況丟給我們,我們陪你走一輪 baseline 盤點。
ℹ️我們怎麼看
Bot 攻擊在 2026 年已經變成「網站營運日常」的一部分,早就超出單純資安問題的範疇。我們的判斷是:3 年後所有 B2B 網站表單都會 default 掛 Turnstile 或同級 invisible challenge,reCAPTCHA v2 勾勾框會消失。對中小企業老闆而言,現在最值得動手的事就是把過去 3 年架站時 default 的「勾勾框式 CAPTCHA」升級到 score-based invisible 方案。這件事一天就能改完,換來一整年銷售 team 少花的 200 小時,是很划算的槓桿。
ℹ️我們做過這件事
順帶說一下這篇講的方法,我們公司自己每天都在跑:官網、SEO 客戶站、電商客戶站,總共 20 個以上 AI 流程都要跟 bot 防線一起管。我們的網站架設服務累計交付 10 件以上中小企業客製案,每一件的表單防護都是我們親自配的,不是塞個 plugin 就交件。看到這裡如果你也在想「我的網站到底該不該換掉現有 CAPTCHA」,我們很樂意 聽你聊聊現況,一起看看哪些做得起來。
QCloudflare Turnstile 真的完全免費嗎?有沒有隱藏費用?
Turnstile 是 Cloudflare 的產品,主計畫(無論免費或付費 Cloudflare 帳號都可以用)沒有請求數上限、也不收月費。但如果你要接進企業版 WAF 或 Bot Fight Mode 進階功能,就要買 Cloudflare Pro(USD 25 月起)或 Business(USD 200 月起)。純 Turnstile 表單防護,是真的免費。
Q用 reCAPTCHA v3 會不會被 Google 罰 SEO 分數?
不會,但會拖慢 Core Web Vitals 的 LCP 200 到 400 毫秒。這對 SEO 排名有間接影響(CWV 是 Google 排名訊號之一)。如果你的網站已經在 CWV 邊緣線,強烈建議改用 Turnstile 或蜜罐自架。
Q已經被 bot 灌了半年,資料庫裡有 5,000 筆假詢單怎麼清?
先做 spam pattern 標記:把明顯的 email 格式(隨機字母 加 數字 at 臨時 email domain)、電話格式(重複數字)、公司欄位(空白或亂碼)撈出來標記,通常一次能砍掉 80 percent。剩下的靠 CRM 標籤慢慢清。清完之後就把新的防護方案上線,避免再累積。
Q自架蜜罐真的能省錢嗎?工程師成本會不會反而更貴?
10 到 20 小時初次工時 加 每季 2 到 4 小時維護,換算下來一年約 40 小時。如果你的工程師時薪 TWD 1,500,等於 TWD 60,000 一年。同期間 Cloudflare Pro 是 USD 300 一年約等於 TWD 9,600。單看數字自架不划算,但如果你原本就有工程師、資料隱私要求特別高(例如金融、醫療、法律),自架才是唯一路徑。
QB2C 電商跟 B2B 網站的 bot 防護策略一樣嗎?
不一樣。B2C 電商還要多處理搶購、刷卡測試、爬價格三種類型,需要 fingerprinting 加 fraud scoring 更複雜的方案(如 DataDome、Kasada),月費會拉到 USD 500 起。B2B 網站因為單日流量規模小、攻擊向量單純,Turnstile 加 蜜罐已經覆蓋 95 percent 情境。
Q如果我的網站是 Wix / Shopify / WordPress,這些方案都能接嗎?
都可以。Shopify 內建 Cloudflare Bot Management、Wix 內建 reCAPTCHA v3、WordPress 有大量 plugin(推薦 CF7 Turnstile / Elementor Pro Turnstile addon)。中小企業實務上 90 percent 的網站都是這三家其中之一,接入時間都在 30 分鐘以內。
AUTHOR
恆遠數位編輯團隊
想了解更多?看看我們的相關服務
相關文章

網站搬家不掉排名 SOP:中小企業老闆換廠商前必做的 7 步驟 SEO 體檢與遷移路線圖

WebGL 是什麼?網頁 3D 物件能做到什麼程度?2026 技術現況與企業導入決策完整指南

網站重構 vs 重做完整決策框架:6 個訊號告訴你只要修補、5 個訊號該整個重做、4 條合約紅線——中小企業老闆 4-7 年舊網站升級不踩雷的最後一道關

企業官網設計外包採購完整指南:6 個關鍵決策、3 個報價區間(15-200 萬)、5 條合約紅線——中小企業老闆 12 個月不踩雷的選商框架

台中網站架設公司怎麼挑:7 個技術指標、4 種預算區間、4 條合約紅線

留言(0)
尚無留言,成為第一個留言的人吧!