Geralmente, a abordagem para resolver esse tipo de problema é fazer as verificações no código do aplicativo no lado do servidor - um código captcha ausente ou inválido produz um erro de autorização. No entanto, neste caso, você provavelmente não quer modificar o Wordpress diretamente.
Você pode verificar os cabeçalhos no Nginx , mas não vejo nenhuma documentação sobre como verificar um campo de formulário - Eu acho que isso está fora do escopo do Nginx.
Mas mesmo se pudesse, isso seria seguro? Você pode rejeitar pedidos que não tenham a entrada captcha, mas como você saberia no Nginx se o captcha está ou não correto? Um invasor pode enviar mensagens sem sentido no campo e passar um cheque simples. Você precisa verificar se o captcha está correto, o que provavelmente significa executar código no Wordpress, e qualquer código de verificação captcha também deve verificar a presença do campo. Se você está adicionando captchas através de um plugin, eu esperaria que o plugin lidasse com este caso.