Als website of webshop eigenaar vertrouw je vaak op gratis tools zoals Google reCAPTCHA om je formulieren, aanmeldingspagina’s of checkoutflows te beschermen tegen spam en bots. Maar de spelregels van Google zijn veranderd: Google heeft de gratis limiet van reCAPTCHA flink verlaagd. Waar je voorheen miljoenen verzoeken gratis kon draaien, ligt de grens nu op 10.000 verificaties per maand. Alles daarboven valt voortaan onder een betaald model binnen Google Cloud.
Dat lijkt misschien een klein detail, maar voor websites met veel formulierverkeer, webshops of loginpagina’s kan dit een stuk duurder uitpakken, zeker als er een botaanval plaatsvindt.
Plan een adviesgesprek inTot 10.000 assessments: gratis (Essentials)
Tussen 10.000 en 100.000 assessments is er een vaste prijs
Vanaf >100.000 assessments (Enterprise) betaal je per 1.000 assessments
Belangrijk: deze “assessments” zijn in feite metingen/verzoeken die het systeem maakt om een risicoscore te bepalen. Elke keer dat je reCAPTCHA gebruikt, telt dat mee.
Bij drukbezochte sites, of sites met veel bot attacks kan dat aantal snel oplopen.
De meeste websites gebruiken reCAPTCHA om spam en bots te weren. Maar zodra je over de gratis limiet heen gaat kunnen er meerdere dingen gebeuren.
Als je geen betaalaccount hebt ingesteld, kan reCAPTCHA stoppen met werken na 10.000 assessments.
Formulieren kunnen dan foutmeldingen geven of helemaal niet meer verzonden worden, zonder dat je het direct doorhebt.
Dat maakt je kwetsbaar: niet alleen voor spam, maar ook voor echte aanvallen waarbij duizenden bots tegelijk je site bestoken. Wanneer er gebruik wordt gemaakt van essentials, is ook de beveiliging lager.
Als je wel betaalaccount hebt ingesteld, kan reCAPTCHA hoge kosten incasseren.
Bij een botaanval van honderdduizenden verzoeken loopt het aantal verificaties razendsnel op. Omdat Google elke controle als een betaald verzoek telt, kan een enkele aanval al snel tientallen tot honderden euro’s extra kosten veroorzaken.
Een “typische” bot aanval kan dus variëren van duizenden requests tot miljoenen, afhankelijk van doel en schaal.
Een botaanval klinkt vaak als iets dat alleen grote bedrijven overkomt, maar in werkelijkheid krijgen ook kleine en middelgrote websites er regelmatig mee te maken. Bots zijn namelijk grotendeels geautomatiseerd: ze scannen continu het web op formulieren, loginpagina’s en webshops waar ze kunnen binnenkomen. Botaanvallen zijn geen zeldzaamheid meer, maar een vast onderdeel van het internetverkeer.
Een eenvoudige contactpagina met een reCAPTCHA kan in een paar uur tijd duizenden nepverzendingen ontvangen. En bij webshops met een aanmeldformulier kan een aanval zelfs binnen minuten honderden duizenden verzoeken veroorzaken. Dat betekent niet alleen een overbelaste server, maar ook dat elke poging wordt meegerekend in je reCAPTCHA-gebruik.
Het vervelende is dat je dit vaak pas merkt als het al te laat is, wanneer je mailbox volloopt met spam of de Google Cloud-factuur plots hoger uitvalt dan verwacht. Daarom is het belangrijk om niet alleen te vertrouwen op reCAPTCHA, maar om actief te monitoren hoeveel verificaties je site uitvoert en tijdig maatregelen te nemen.
Controleer je huidige gebruik
Kijk eerst hoeveel reCAPTCHA-verificaties jouw site maandelijks gebruikt. Dat kan via het Google Cloud Console-dashboard. Zo weet je of je in de gevarenzone zit of nog ruim binnen de limiet.
Zet een betaalprofiel klaar
Ook als je nu nog onder de limiet zit, is het verstandig om alvast een billing-account aan te maken. Daarmee voorkom je dat reCAPTCHA ineens stopt bij een piek in verkeer of een onverwachte spamgolf. Je betaalt dan alleen als je de gratis grens echt overschrijdt.
Zet meldingen aan bij overschrijdingen
In Google Cloud kun je waarschuwingen instellen die je automatisch een melding sturen zodra je de gratis limiet bijna bereikt. Zo krijg je op tijd een seintje voordat reCAPTCHA stopt of kosten begint te rekenen.
Je kunt dit instellen via het Billing-dashboard in Google Cloud. Maak daar een budget alert aan met een drempel, bijvoorbeeld bij 80% van je maandelijkse limiet. Zodra het verbruik die grens nadert, ontvang je een e-mail. Zo voorkom je verrassingen en kun je snel ingrijpen.
Overweeg alternatieven
Er zijn inmiddels goede alternatieven die minder afhankelijk zijn van Google Cloud:
Een combinatie van lichte beveiliging en beperkte inzet van reCAPTCHA werkt voor veel websites het best.
Bescherm jezelf tegen bot aanvallen
Als je webshop of platform gevoelig is voor bots (bijvoorbeeld bij productdrops of formulieren met kortingen), overweeg extra beveiligingslagen:
Rate limiting via je hostingpartij of CDN
Firewallregels die verdachte IP’s blokkeren.
Monitoring van verkeer om plotselinge pieken te herkennen.
Vaak merk je het niet direct. De signalen zijn subtiel: plotseling veel formulierinzendingen zonder inhoud, vreemde verkeerpieken in Analytics, of een hostingpartij die meldt dat de serverbelasting omhoogschiet.
Als je ziet dat reCAPTCHA-verificaties of Cloud-kosten ineens stijgen, is dat bijna altijd een teken van botactiviteit.
Indirect wel. Wanneer bots je formulieren of pagina’s overbelasten, kan dat invloed hebben op laadtijd en serverrespons. Een trage of tijdelijk onbereikbare website kan je crawlbudget en rankings schaden. Bovendien kan een toename aan spam-URL’s of fake-aanmeldingen in je data zorgen voor ruis in je analyses, waardoor je verkeerde beslissingen neemt over content of campagnes.
Ja, in sommige gevallen wel. Als bezoekers te vaak een puzzel of challenge moeten oplossen, haken ze sneller af. Zeker bij mobiele gebruikers is dat frustrerend.
Door over te stappen op reCAPTCHA v3 (onzichtbare score-versie) of een alternatief, beperk je de drempel voor echte bezoekers zonder aan veiligheid in te boeten.
Zorg dat niet alleen developers maar ook marketeers en projectmanagers weten wat de nieuwe limiet inhoudt. Leg vast wie de meldingen ontvangt bij overschrijdingen en wie de verantwoordelijkheid heeft om in te grijpen.
Zo voorkom je dat een plotselinge toename aan kosten of foutmeldingen wekenlang onopgemerkt blijft.
Plan vooruit. Stel voor de campagne tijdelijk een ruimere limiet of alert in, zodat reCAPTCHA niet ineens stopt. Een succesvolle campagne kan duizenden extra interacties veroorzaken, leuk voor je conversie, maar funest als formulieren opeens uitvallen.
Gebruik exclusie-filters in GA4 of Tag Manager om bekende bots en interne IP’s uit te sluiten. Combineer dit met server-side tracking of consent-management zodat alleen echte bezoekers gemeten worden. Zo behoud je betrouwbare data voor je marketingbeslissingen.
Wil je sparren over wat wij voor jouw bedrijf kunnen betekenen? Kom langs voor een kop koffie of plan een Teams-afspraak met onze solution specialist Joshua. We helpen je graag te voorkomen dat jouw volgende brainstorm in de zoekresultaten belandt.
