B2B 網站表單機器人防護採購完整指南封面

B2B 網站表單機器人防護採購完整指南:reCAPTCHA v3 / Cloudflare Turnstile / hCaptcha / 蜜罐自架 4 條路徑、5 條合約紅線、3 種團隊規模預算

恆遠數位編輯團隊10 分鐘閱讀
複製引文
B2B 網站表單機器人防護採購完整指南封面
B2B 網站表單機器人防護採購完整指南封面

最近我們幫一家中型 B2B SaaS 客戶做網站健檢,發現他們的「聯絡我們」表單一天被灌 400 多筆假詢單,銷售 team 每早上班第一件事就是花 45 分鐘清資料。老闆一開始以為是同業惡意攻擊,看完日誌才知道那是全球性的 spam bot 農場在自動掃網頁表單,跟他們公司完全無關。

這種事在 2026 年變得越來越普遍。B2B 網站的表單(聯絡、報價、demo 預約、電子報訂閱)幾乎是每家中小企業對外的第一道口,也是被灌爆最頻繁的入口。Imperva 2026 Bad Bot Report 統計,全球網路流量中 49.6% 來自 bot,其中 32% 是惡意 bot,比 2023 年提高 6 個百分點。裡面很大一塊就是專門灌表單、掃帳號、爬價格的自動化腳本。

這篇要拆給中小企業老闆看的是:現在做 B2B 網站,該挑 reCAPTCHA v3、Cloudflare Turnstile、hCaptcha 還是自架蜜罐?合約要注意什麼?三種團隊規模預算怎麼算?看完你會有一份可以直接跟廠商對帳的表。

⚠️為什麼中小企業被 bot 攻擊比大企業慘

大企業有 WAF 加 CDN 加 Security team 三道防線,bot 一進來就被檔。中小企業只有一個 WordPress 加一個 hosting,一波假流量就能把 email 送信配額燒光、把 CRM 塞滿垃圾、把銷售士氣打到谷底。

B2B 網站表單常見的六種機器人攻擊型態

先把「機器人攻擊」拆成六種常見型態,每一種背後的動機、頻率、傷害都不同。你要挑的方案不同,預算也不同。

攻擊型態

動機

頻率

主要傷害

Spam form 灌垃圾詢單

SEO backlink 灌水 加 廣告釣魚

極高

銷售清資料成本 加 CRM 資料污染

Credential stuffing 拿密碼掃

拿外洩帳密掃你的登入頁

會員帳號被盜、GDPR 通報

Content scraping 爬產品價格

同業或聚合站抓資料

中高

SEO 內容被拷貝 加 頻寬成本

Card testing 用信用卡刷測試

拿偷來的卡試哪張還沒鎖

金流被開罰、被下架

Inventory hoarding 搶庫存

電商搶購頁被腳本佔位

真人買不到、退款率飆

Application DDoS 消耗運算

壓垮 API 加 DB

低但慘

整站宕機、SLA 賠

這六種在中小企業 B2B 網站上最常撞到的是前三種:spam form、credential stuffing、content scraping。它們有一個共同特徵:不需要很聰明的腳本、免費工具就能跑,所以攻擊成本極低,隨便一個買了成人論壇 SEO 的黑帽玩家都能把你灌一個月。而且這三種的 defence 花錢比例不高,屬於 CP 值最高的「先做這一段就能擋 90%」段落。

真正麻煩的是後三種(card testing 加 hoarding 加 DDoS),要進到 rate-limit 加 fraud scoring 加 edge network 層,中小企業一般是簽 Cloudflare Pro 或 Turnstile 就一併解決。

reCAPTCHA v3 / Cloudflare Turnstile / hCaptcha / 蜜罐自架 4 種方案比較

目前中小企業做 B2B 網站表單防護,實務上就這 4 條路徑。挑錯的話,最痛的其實是「你自己的真客戶被擋掉」,這比被 bot 灌更傷。這叫 false positive(誤殺),永遠比漏放 bot 傷害大。

方案

隱私評分

誤殺率

月費(100k req)

適合誰

reCAPTCHA v3(Google)

低(送 Google)

中低

免費(限 1M req 月)

已用 GA4 加 Google Ads 的網站

Cloudflare Turnstile

高(不追蹤使用者)

免費(無上限)

已用 Cloudflare CDN 的網站

hCaptcha Enterprise

中高(歐盟合規強)

USD 99 月起

歐盟客戶多、GDPR 敏感行業

蜜罐 加 rate limit 自架

最高(沒有第三方)

高(要調參)

0 元(工時 10 到 20 小時)

工程資源足、資安潔癖客戶

這裡有個中小企業最常搞錯的觀念,我們自己做網站健檢遇過三次:把 reCAPTCHA v2「我不是機器人」勾勾框當萬用解。這在 2026 年已經被 bot 農場用低價人工過關破解到不能算防線了,Cloudflare 2025 年度報告 提到全球有超過 200 家 CAPTCHA farming 廠商,每 1000 題人工破解成本已降到 USD 0.35。v2 勾勾框已經不是門檻了。

⚠️我們的判斷:勾勾框 CAPTCHA 已死

如果你的 B2B 網站現在還在用 reCAPTCHA v2「我不是機器人」勾勾框,這一段就是明確的 sunset 訊號。我們認為 3 年後這種介面會像 Flash 一樣消失,剩下的只有 invisible score-based(v3、Turnstile)跟服務端蜜罐兩條路。往這兩邊搬,才是把預算花在對的地方。

三種團隊規模的預算與部署路徑

同樣是 B2B 網站,5 人小型工作室、20 到 50 人成長期公司、100 人以上有 IT 團隊的中小企業,三種要挑的方案完全不同。這一段直接給你三種預算對照表。

團隊規模

推薦方案

月費

部署工時

維護頻率

5 人以下工作室

Cloudflare Turnstile 免費版 加 WordPress plugin

0 元

0.5 到 1 小時

季度 review

20 到 50 人 SMB

Cloudflare Turnstile 加 Enterprise WAF Bot Fight Mode

TWD 6,000 到 12,000 月

4 到 8 小時

月度 review

100 人以上

Turnstile 加 WAF Advanced 加 內部蜜罐 加 rate limit

TWD 30,000 起

20 到 40 小時(初次)

週度 review

最容易踩到的雷是:業主聽到「免費」就決定走 5 人以下方案,但公司規模已經是 50 人。這樣的結果是免費層的 rate limit(1M req 月)會在半個月燒光,真客戶提交表單被擋掉,銷售 team 反而以為系統壞了。我們建議的做法是:先算你的網站月頁面瀏覽(PV),如果超過 50k,就直接跳到 SMB 方案,不要卡在免費層省小錢。

另一個中小企業老闆常忽略的點是:這類方案的合約通常按「月請求數」計費,超量會自動升級到下一級。所以簽約前一定要問清楚 overage 政策,最好在合約裡寫進「單月超量上限」,不然一次被 bot 灌可以直接把你月費打到十倍。這也是我們在 SLA 監控儀表板 SaaS 採購完整指南 那篇提過的通用採購邏輯,B2B SaaS 的 usage-based pricing 一律要 cap。

五條合約紅線:業主簽 CAPTCHA 加 bot 防護服務前必看

bot 防護是 B2B 網站每天都在跑的東西,合約細節搞不清楚,最痛的是「服務中斷但你不知道」。我們替客戶審過 12 份 CAPTCHA 加 WAF 合約,這五條紅線是重複出現的地雷。

紅線

問題點

業主必問的一句話

1. 資料流向未載明

使用者送出的資料經過廠商伺服器

「你們的 log retention 幾天?儲存在哪個 region?」

2. false positive 賠償

誤殺真客戶時廠商不負責

「一個月 false positive 率超過 0.5 percent 有沒有補償?」

3. rate limit 突發峰值

廣告投放高峰被自動封鎖

「單日突發流量 3 倍會不會觸發 auto block?」

4. 服務中斷 SLA

廠商 down 你的表單全掛

「99.9 percent 還是 99.95 percent?低於的話怎麼賠?」

5. 合約終止資料

換廠商後歷史 log 拿不回

「合約結束 30 天內我能拿到全部歷史資料嗎?」

特別提醒第 1 條:使用者資料流向。如果你的網站有服務歐盟客戶(就算只有一個),就必須確認廠商是不是 GDPR compliant。reCAPTCHA v3 因為屬於 Google Analytics 資料鏈的一環,2022 年法國 CNIL 已裁定違反 GDPR;hCaptcha 跟 Cloudflare Turnstile 才是歐盟合規的主流選擇。

這一段也連結到 網站無障礙 WCAG 2.2 合規:所有 CAPTCHA 方案都要考慮視障使用者能不能通過。Cloudflare Turnstile 跟 hCaptcha 都提供音訊 fallback,reCAPTCHA v3 因為 invisible 反而不需要,這是選型的隱藏加分項。

蜜罐(Honeypot)自架方案:中小企業能不能省下 CAPTCHA 錢

蜜罐是一種完全「不驚動使用者」的防護方式,做法是在表單裡放一個真人看不見(CSS hidden)、但 bot 會自動填的隱藏欄位。bot 一填就被辨識為機器人、直接丟掉那筆資料。

這條路的好處是隱私最強、成本最低、對 Core Web Vitals 完全無害(reCAPTCHA v3 會增加 200 到 400ms LCP,Core Web Vitals 2026 完整治理指南 那篇有講)。壞處是要工程師自己維護、要不斷跟著 bot 進化調整。

我們自己的建議是:把蜜罐當作「第一層」,把 Cloudflare Turnstile 當作「第二層」,兩者疊加使用。這樣 bot 要通過兩道關卡才能提交,而真人使用者只會遇到第二層(Turnstile 是 invisible,多數情況不會出現 challenge)。這種疊加方式的 false positive 極低,同時把 spam 攔截率拉到 99 percent 以上。

ℹ️我們自己的做法

順帶說一下,我們公司自己的官網也是這樣跑的:Cloudflare Turnstile 打底 加 兩層 honeypot 欄位 加 表單提交速率上限(單一 IP 5 分鐘內最多 3 次)。過去 12 個月我們的聯絡表單收到 1,200 多筆真實詢單、被 bot 灌的假訊息不到 15 筆。這個組合對中小企業 B2B 是最划算的一套。

導入 30 天 SOP:從盤點到上線的完整動作清單

最後給你一份 30 天的部署 SOP,這是我們替客戶做網站健檢後、實際帶著他們走過的節奏。抓住這個節奏,中小企業不需要專職資安人員也能把 B2B 表單防護做起來。

第 1 週:盤點與基線

  • 把網站所有對外表單列成清單(聯絡、報價、demo、電子報、註冊、登入)
  • 打開 Google Analytics 4 的 form_submit 事件,看過去 30 天每張表的填答率
  • 從 CRM 撈出過去 30 天所有詢單,用眼睛掃有多少筆是明顯 spam
  • 算出「spam 佔比」等於 spam 詢單除以總詢單乘以 100 percent,這是你的 baseline

第 2 週:方案選型 加 合約審閱

  • 依照上面的三種團隊規模對照表,圈出你屬於哪一級
  • 拿五條合約紅線去跟廠商業務對三次
  • 找一台測試機把兩個候選方案(例如 Turnstile 加 reCAPTCHA v3)同時跑一週 A 加 B 測試
  • 記錄兩邊的 false positive 率、真客戶完成率、Core Web Vitals 影響

第 3 週:正式部署 加 內部訓練

  • 把選定的方案接到所有表單,別忘了行銷投放 landing page
  • 在後台 CRM 加一個「防護通過」標籤,方便銷售快速篩
  • 跟銷售 team 說明新流程,特別是可能被誤殺的極少數案例怎麼處理
  • 跟 IT 加 網站廠商確認緊急停用機制(萬一誤殺率暴衝要能秒關)

第 4 週:監控 加 調校

  • 每天看 CAPTCHA 加 Turnstile 後台的 challenge rate、pass rate、false positive rate
  • 把 spam 佔比降幅算給老闆看(通常會從 60 percent 降到 5 percent 以下)
  • 把銷售 team 每早清資料時間降幅寫進 KPI(通常會從 45 分鐘降到 5 分鐘)
  • 跟廠商約 30 天檢討會,看要不要調整方案等級

這 30 天做完,你會拿到三份可交付物:一份「網站表單防護基線報告」、一份「合約風險審閱表」、一份「30 天成效對照表」。這三份是往後每次年度續約議價的籌碼,也是資安稽核(如果客戶要求 ISO 27001 sub-audit)時直接用的證據。

「B2B 表單防護 30 天部署 checklist」下載

把上面 4 週 SOP 全部整理成可打勾的 checklist(含 5 條合約紅線的廠商問答稿)。點這裡看 客製化網站 & 系統開發服務、或直接把你目前的表單狀況丟給我們,我們陪你走一輪 baseline 盤點。

ℹ️我們怎麼看

Bot 攻擊在 2026 年已經變成「網站營運日常」的一部分,早就超出單純資安問題的範疇。我們的判斷是:3 年後所有 B2B 網站表單都會 default 掛 Turnstile 或同級 invisible challenge,reCAPTCHA v2 勾勾框會消失。對中小企業老闆而言,現在最值得動手的事就是把過去 3 年架站時 default 的「勾勾框式 CAPTCHA」升級到 score-based invisible 方案。這件事一天就能改完,換來一整年銷售 team 少花的 200 小時,是很划算的槓桿。

ℹ️我們做過這件事

順帶說一下這篇講的方法,我們公司自己每天都在跑:官網、SEO 客戶站、電商客戶站,總共 20 個以上 AI 流程都要跟 bot 防線一起管。我們的網站架設服務累計交付 10 件以上中小企業客製案,每一件的表單防護都是我們親自配的,不是塞個 plugin 就交件。看到這裡如果你也在想「我的網站到底該不該換掉現有 CAPTCHA」,我們很樂意 聽你聊聊現況,一起看看哪些做得起來。

QCloudflare Turnstile 真的完全免費嗎?有沒有隱藏費用?

Turnstile 是 Cloudflare 的產品,主計畫(無論免費或付費 Cloudflare 帳號都可以用)沒有請求數上限、也不收月費。但如果你要接進企業版 WAF 或 Bot Fight Mode 進階功能,就要買 Cloudflare Pro(USD 25 月起)或 Business(USD 200 月起)。純 Turnstile 表單防護,是真的免費。

Q用 reCAPTCHA v3 會不會被 Google 罰 SEO 分數?

不會,但會拖慢 Core Web Vitals 的 LCP 200 到 400 毫秒。這對 SEO 排名有間接影響(CWV 是 Google 排名訊號之一)。如果你的網站已經在 CWV 邊緣線,強烈建議改用 Turnstile 或蜜罐自架。

Q已經被 bot 灌了半年,資料庫裡有 5,000 筆假詢單怎麼清?

先做 spam pattern 標記:把明顯的 email 格式(隨機字母 加 數字 at 臨時 email domain)、電話格式(重複數字)、公司欄位(空白或亂碼)撈出來標記,通常一次能砍掉 80 percent。剩下的靠 CRM 標籤慢慢清。清完之後就把新的防護方案上線,避免再累積。

Q自架蜜罐真的能省錢嗎?工程師成本會不會反而更貴?

10 到 20 小時初次工時 加 每季 2 到 4 小時維護,換算下來一年約 40 小時。如果你的工程師時薪 TWD 1,500,等於 TWD 60,000 一年。同期間 Cloudflare Pro 是 USD 300 一年約等於 TWD 9,600。單看數字自架不划算,但如果你原本就有工程師、資料隱私要求特別高(例如金融、醫療、法律),自架才是唯一路徑。

QB2C 電商跟 B2B 網站的 bot 防護策略一樣嗎?

不一樣。B2C 電商還要多處理搶購、刷卡測試、爬價格三種類型,需要 fingerprinting 加 fraud scoring 更複雜的方案(如 DataDome、Kasada),月費會拉到 USD 500 起。B2B 網站因為單日流量規模小、攻擊向量單純,Turnstile 加 蜜罐已經覆蓋 95 percent 情境。

Q如果我的網站是 Wix / Shopify / WordPress,這些方案都能接嗎?

都可以。Shopify 內建 Cloudflare Bot Management、Wix 內建 reCAPTCHA v3、WordPress 有大量 plugin(推薦 CF7 Turnstile / Elementor Pro Turnstile addon)。中小企業實務上 90 percent 的網站都是這三家其中之一,接入時間都在 30 分鐘以內。

分享文章

AUTHOR

恆遠數位編輯團隊

查看作者頁

留言(0)

尚無留言,成為第一個留言的人吧!

需要網站系統架設或軟體開發?

無論是品牌官網、客製化系統還是應用程式,我們的團隊擁有豐富經驗,歡迎聯繫我們,讓專業為您的事業加分。