Google reCAPTCHA и Analytics под запретом в РФ — что делать владельцу WordPress-сайта
Что именно запрещено и почему
С 1 июля 2025 года использование Google Analytics на сайтах с пользователями из РФ нарушает 152-ФЗ «О персональных данных». Причина: данные посетителей (IP, User-Agent, куки, поведенческие сигналы) передаются на серверы Google за рубеж — трансграничная передача без уведомления Роскомнадзора. Под раздачу попадают не только GA, но и Google Tag Manager, Google Ads, Google Optimize.
Штрафы по ст. 13.11 КоАП: для юрлиц до 700 000 ₽ за первичное нарушение, до 1,4 млн при повторном. РКН проводит массовые проверки через автоматические сканеры — видят ga.js или gtag на странице, выписывают предписание.
reCAPTCHA — та же проблема: передаёт Google отпечаток браузера, движения мыши, тайминги кликов, IP. С точки зрения закона это обработка ПДн с передачей за рубеж. В судебной практике уже есть дела, где наличие reCAPTCHA на сайте стало отягчающим фактором.
Google reCAPTCHA: альтернативы для WordPress
Разберём три варианта замены — от самого надёжного для РФ до компромиссного.
1. Yandex SmartCaptcha — основной вариант для РФ
Российский аналог от Яндекса. Подходит для 99% сайтов с российской аудиторией.
Скорость: невидимый режим, проверка за 200–400 мс. reCAPTCHA v3 в РФ — 3–5 секунд через DPI-туннели операторов, 1–2% таймаутов. На мобильном интернете и iOS Safari reCAPTCHA часто не срабатывает вообще. Разница в 10–20 раз.
Цена: бесплатно до 1000 проверок в день (~30 000/мес). Для типового лендинга хватает с запасом. Дальше — 50 ₽ за 1000 проверок. reCAPTCHA бесплатна до 1 млн, но если она не работает — какая разница?
Интеграция в WordPress: через плагин «Yandex SmartCaptcha for WP» из маркета или руками. На фронте:
<div id="captcha-box"></div>
<script src="https://smartcaptcha.yandexcloud.net/captcha.js" defer></script>
<script>
window.onSmartCaptchaLoaded = () => {
window.smartCaptcha.render('captcha-box', {
sitekey: 'ВАШ_КЛИЕНТСКИЙ_КЛЮЧ',
invisible: true,
callback: t => document.querySelector('[name=cap]').value = t
});
};
</script>Проверка на бэке (PHP):
$token = $_POST['cap'] ?? '';
$ch = curl_init('https://smartcaptcha.yandexcloud.net/validate');
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_POSTFIELDS, http_build_query([
'secret' => 'СЕРВЕРНЫЙ_КЛЮЧ',
'token' => $token,
]));
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
$resp = json_decode(curl_exec($ch), true);
if ($resp['status'] !== 'ok') { /* бот */ }
curl_close($ch);Документация на русском, поддержка через Яндекс.Облако. Ключи получаются в консоли Яндекс.Облака за 5 минут. Работает на любом хостинге из РФ — Beget, Timeweb, Reg.ru — без дополнительных настроек.
2. hCaptcha — для международной аудитории
hCaptcha — независимый сервис, основной конкурент reCAPTCHA. Не принадлежит Google, базируется на той же модели «картинки + поведенческий анализ». В РФ работает стабильнее reCAPTCHA, хотя уступает SmartCaptcha по скорости: ~1–2 секунды.
Плюсы: платит владельцам сайтов за разметку данных (как reCAPTCHA в прошлом); enterprise-поддержка; есть плагин «hCaptcha for WordPress» с простой настройкой — вставил site key + secret key и готово. Поддерживает невидимый режим, звуковые челленджи и WCAG 2.1.
Минусы: всё ещё иностранный сервис (США). Передаёт данные за рубеж — 152-ФЗ не закрыт. Для сайта, работающего только с РФ, не подходит. Оптимален для сайтов с аудиторией 50/50 РФ/мир.
3. Cloudflare Turnstile — для тех, кто уже на CF
Бесплатный аналог от Cloudflare. Лёгкий (300 JS-строк против 800+ у reCAPTCHA), невидимый по умолчанию, не показывает пользователю никаких виджетов. Если сайт уже стоит за Cloudflare — настраивается в панели за 2 клика. Для остальных — JS-виджет как у SmartCaptcha.
Минус: опять иностранный сервис. Cloudflare — американская компания, подпадает под те же ограничения 152-ФЗ.
Чем заменить Google Analytics
Яндекс.Метрика — прямая замена без потери функциональности. Бесплатно, даёт те же отчёты: визиты, цели, конверсии, источники трафика, карта кликов, вебвизор, когортный анализ. Плюс уникальные фичи: анализ форм, лента посетителей в реальном времени.
Интеграция в WordPress: через плагин «Yandex Metrica» или вставкой кода в header.php вашей темы:
<!-- Yandex.Metrika counter -->
<script>
(function(m,e,t,r,i,k,a){m[i]=m[i]||function(){(m[i].a=m[i].a||[]).push(arguments)};
m[i].l=1*new Date();
for (var j = 0; j < document.scripts.length; j++) {if (document.scripts[j].src === r) { return; }}
k=e.createElement(t),a=e.getElementsByTagName(t)[0],k.async=1,k.src=r,a.parentNode.insertBefore(k,a)})
(window,document,"script","https://mc.yandex.ru/metrika/tag.js","ym");
ym(12345678, "init", {
clickmap:true,
trackLinks:true,
accurateTrackBounce:true,
webvisor:true
});
</script>
<noscript><div><img src="https://mc.yandex.ru/watch/12345678" style="position:absolute; left:-9999px;" alt="" /></div></noscript>Что делать со старыми данными GA: экспортировать отчёты через панель GA → CSV/Excel, импортировать в Яндекс.Метрику (есть инструмент миграции). Исторические данные сохранить локально, с серверов Google удалить.
Что ещё под ударом
Помимо Analytics и reCAPTCHA, под 152-ФЗ попадают:
- Google Fonts — шрифты грузятся с fonts.googleapis.com, передавая User-Agent и IP. Суды в ЕС уже штрафовали за это. В РФ — вопрос времени. Решение: скачать шрифты на сервер, подключать локально через @font-face.
- Gravatar — аватарки грузятся с gravatar.com (принадлежит Automattic, США). Передаётся email-хэш. На WP-сайтах можно отключить через плагин или фильтр get_avatar.
- Embedded YouTube / Vimeo — плееры передают данные за рубеж. Альтернативы: Rutube, VK Video, Peertube. Есть плагины для замены embed-ссылок.
- Google Maps на сайте — если встроена карта через iframe, данные пользователей уходят на Google. Замена: Яндекс.Карты (бесплатный API до 25 000 запросов/сутки).
Все эти сервисы стоит проверить и заменить в рамках одной сессии — разово, не откладывая.
Когда способ не сработает
1. Сайт ориентирован на западную аудиторию. Если >50% посетителей не из РФ — Yandex SmartCaptcha и Яндекс.Метрика дадут неполную картину. Оставьте hCaptcha + GA4, но подготовьте уведомление в РКН о трансграничной передаче данных (сейчас это можно сделать через портал РКН, процедура 2–4 недели).
2. Форма с низким трафиком. Для 10–50 заявок в день капча вообще не нужна. Связка honeypot (скрытое поле, которое заполняют только боты) + rate limit по IP + временной токен на форму (CSRF с таймстампом) отсекает 95% спама без видимых элементов. На WordPress — плагин Anti-Spam Bee или OOPSPam.
3. Сайт-визитка на Tilda / Readymag. Конструкторы сами вставляют свои скрипты аналитики. Удалить GA оттуда можно в настройках проекта, но перекрыть все трекеры конструктора — почти невозможно. Выход: перенос на WordPress с чистой темой.
FAQ
Нужна помощь с заменой Google-сервисов на сайте?
Проверю сайт на скрытые скрипты Google, заменю reCAPTCHA на SmartCaptcha, подключу Яндекс.Метрику вместо GA. Без лишних плагинов и воды.
