Como impedir o spam de formulários de contato no WordPress

O spam nos formulários de contato pode desperdiçar o tempo da sua equipe, prejudicar a reputação de envio do seu domínio e expor o seu site a links maliciosos. Bloqueá-lo não exige nenhum esforço manual.

Este guia aborda 12 técnicas para impedir o spam em formulários de contato no WordPress, desde ativar a proteção integrada até bloquear usuários reincidentes por endereço de e-mail ou IP.

Por que o spam de formulários de contato é perigoso

Os formulários de contato são alvos comuns de programas de spam maliciosos. Aqui estão algumas maneiras pelas quais os spambots podem prejudicar seu site ao abusar dos formulários de contato:

• Envio de links maliciosos: robôs de spam com intenções maliciosas podem usar seu formulário de contato para enviar links que possam conter malware. Se algum usuário da sua equipe clicar no link, o malware poderá infectar toda a sua organização, incluindo o seu site WordPress.
• Problemas de entrega de e-mails: cada envio de formulário gera um e-mail de notificação. Durante um ataque de spam, seu site pode acabar enviando volumes incomuns de e-mails em um curto espaço de tempo. Isso pode gerar erros relacionados a e-mails indesejados ou em massa e, como o Gmail e outros grandes provedores agora rejeitam permanentemente as mensagens de remetentes sinalizados, em vez de adiá-las, pode causar danos duradouros à reputação de envio do seu domínio.
• Ataque de Negação de Serviço (DoS): Alguns bots são altamente eficientes em preencher repetidamente seus formulários até o limite. O objetivo dos bots DoS é sobrecarregar seu site com uma grande quantidade de solicitações feitas em um curto espaço de tempo. Isso pode tornar o site mais lento, afetar o funcionamento dos formulários para usuários reais e pode até mesmo causar uma interrupção no site.
• Hackeamento: Programas automatizados de ataque por força bruta podem ter como alvo sites que possuem formulários de cadastro e login, com o objetivo de invadir as contas dos usuários. Isso é extremamente perigoso, pois pode resultar em invasão de contas, vazamento de informações e perda de dados.
• Perdas de produtividade: se sua equipe de suporte precisa filtrar uma enorme quantidade de mensagens de spam, isso prejudica sua capacidade de responder rapidamente aos usuários reais. O impacto na produtividade pode prejudicar a reputação da sua marca e resultar em muitas oportunidades perdidas de conversão.

Essas são algumas das maneiras pelas quais o spam pode causar muitos problemas para seu site.

Os métodos abaixo apresentam as melhores ferramentas e técnicas para eliminar o spam em formulários de contato. As submissões de spam geradas por IA aumentaram significativamente nos últimos anos; por isso, as abordagens mais eficazes utilizam uma detecção em várias camadas, em vez de uma única solução de CAPTCHA.

Como impedir o spam de formulários de contato no WordPress

Para combater com êxito o spam de formulários de contato no seu site WordPress, recomendamos o seguinte:

Vamos nos aprofundar no assunto.

1. Obtenha um plug-in de formulário do WordPress com proteção contra spam incorporada

A medida mais importante que você pode tomar para evitar spam de formulário de contato no WordPress é usar um plug-in que tenha fortes recursos integrados de proteção contra spam.

Existem muitos plug-ins de formulário do WordPress, mas muitos não oferecem suporte a métodos anti-spam confiáveis.

Para uma proteção automática contra spam integrada diretamente ao seu formulário de contato, recomendamos o WPForms.

O WPForms é um criador de formulários com poderosas ferramentas integradas para bloquear spam em formulários de contato, como mostraremos a seguir. Ele também oferece uma variedade de outros recursos úteis, sobre os quais você pode saber mais em nossa análise do WPForms.

Depois de instalar o WPForms, vá em frente e adicione um formulário a uma página no WordPress. Em seguida, você pode escolher entre vários métodos anti-spam disponíveis.

Vamos começar pela opção mais confiável.

2. Use a moderna proteção anti-spam do WPForms

O WPForms utiliza uma abordagem integrada em várias camadas para detectar e prevenir spam. Por padrão, ele funciona em segundo plano e é a nossa principal alternativa recomendada ao reCAPTCHA.

A proteção antispam moderna está ativada por padrão no WPForms e funciona silenciosamente em segundo plano para combater o spam. Você pode acessar as configurações navegando até Configurações » Proteção contra spam e segurança na interface visual do WPForms.

Em seguida, certifique-se de que o botão de alternância ao lado da opção “Ativar proteção antispam moderna” esteja ativado.

Quando essa configuração estiver ativada, ela impedirá que um formulário seja enviado quando um bot de spam acionar a proteção contra spam.

Você também tem a opção de armazenar entradas de spam em seu banco de dados do WordPress para revisar os envios e recuperar facilmente quaisquer entradas falsas positivas.

A opção “Ativar tempo mínimo para envio” também está ativada por padrão e definida para 2 segundos. No entanto, você pode alterar esse tempo mínimo para qualquer valor que desejar. Essa configuração ajuda a impedir que bots enviem seu formulário, pois impede envios antes do tempo normal que um ser humano levaria para preenchê-lo.

A proteção antispam do WPForms respeita mais a privacidade do que as alternativas baseadas em CAPTCHA e funciona sem prejudicar a experiência do usuário.

3. Incluir o reCAPTCHA

O WPForms também é compatível com ferramentas de prevenção de spam de terceiros, como o reCAPTCHA do Google. Esse é um método eficaz de proteção contra spam, embora a configuração exija algumas etapas a mais do que ativar a proteção integrada no Método 2.

Você pode assistir ao vídeo para ver uma demonstração do processo ou continuar lendo para obter instruções passo a passo.

Atualmente, há três tipos diferentes de reCAPTCHA:

• Caixa de seleção reCAPTCHA v2: Esta versão do reCAPTCHA possui uma caixa de seleção que o usuário deve marcar para confirmar que não é um robô. Se a atividade do usuário parecer suspeita, pode ser solicitado que você realize um pequeno teste de verificação de imagem para confirmar que é um usuário real.
• reCAPTCHA invisível v2: Com o reCAPTCHA invisível, os usuários não veem nenhuma caixa de seleção. Em vez disso, esse serviço reCAPTCHA analisa o comportamento do usuário para identificar e bloquear bots.
• reCAPTCHA v3: Embora os dois serviços acima possam, ocasionalmente, exibir um desafio com imagem, o reCAPTCHA v3 funciona de forma totalmente silenciosa em segundo plano. Trata-se de uma ferramenta avançada de prevenção de spam, mas pode ser um pouco sensível demais e, às vezes, bloquear usuários humanos.

Para adicionar o reCAPTCHA ao seu formulário, abra a área de administração do WordPress e acesse WPForms " Settings.

Clique na guia CAPTCHA na barra horizontal abaixo do logotipo do WPForms.

Esta página mostrará as opções de CAPTCHA disponíveis no WPForms. Selecione reCAPTCHA.

Agora, selecione a versão do reCAPTCHA que você deseja configurar. Recomendamos o Invisible reCAPTCHA v2 por ser fácil de usar, mas você também pode escolher outras opções.

Para configurar o reCAPTCHA, você terá que visitar o site do reCAPTCHA em uma nova guia do navegador e clicar em Admin Console.

Se solicitado, faça login na sua conta do Google agora. Depois de fazer login, será necessário fornecer o nome de domínio do seu site para registrá-lo e selecionar o reCAPTCHA de sua preferência na seção Tipo de reCAPTCHA.

Em seguida, insira o nome de domínio de seu site em Domínios. Certifique-se de digitar somente a parte que vem depois de https:// em seu URL.

Em seguida, aceite os Termos de Serviço do reCAPTCHA e marque os alertas se quiser receber notificações.

Clique em “Enviar” para salvar as configurações. Agora você verá uma mensagem informando que seu domínio foi registrado, com uma chave do site e uma chave secreta logo abaixo.

Vá para a guia do navegador em que a página WPForms " Configurações está aberta e copie e cole o site reCAPTCHA e as chaves secretas nos campos correspondentes.

Pressione o botão Save Settings (Salvar configurações) para concluir a configuração do reCAPTCHA.

Para adicionar o campo reCAPTCHA ao seu formulário, basta usar a interface de arrastar e soltar do WPForms para colocar o campo em seu formulário.

Seu formulário agora exibirá um emblema reCAPTCHA no frontend, indicando que você adicionou com êxito a prevenção de spam reCAPTCHA ao formulário.

A seguir, examinaremos outro serviço popular de prevenção de spam.

4. Use o hCaptcha em seu formulário

O hCaptcha é muito semelhante ao reCAPTCHA do Google, mas é um serviço de bloqueio de spam mais favorável à privacidade. Você pode assistir ao vídeo que o orienta no processo ou continuar com as instruções escritas abaixo.

Para conectar o serviço hCaptcha ao WPForms, acesse WPForms » Configurações no painel do WordPress.

Na página de configurações, clique na guia CAPTCHA, localizada na barra horizontal.

Selecione hCaptcha entre as opções disponíveis.

Como antes, mude para uma nova guia do navegador e visite o hCaptcha para se inscrever no serviço.

Na próxima tela, escolha um plano do hCaptcha. O plano gratuito funciona perfeitamente para sites pequenos, por isso vamos usá-lo neste tutorial.

Depois de selecionar seu plano, preencha o formulário para criar sua conta hCaptcha.

Depois de concluir o processo de cadastro e fazer login no seu painel, clique no botão “Novo site ” para continuar.

Na parte superior, você pode inserir um nome para a sua chave de site do hCaptcha. Em seguida, role a página até a seção “Informações gerais” e insira o nome do seu domínio. Clique em “Adicionar novo domínio” quando terminar.

Role a página para baixo para ver os modos de funcionamento do hCaptcha. Você pode escolher entre diferentes modos, dependendo se deseja que os usuários sempre recebam um desafio ou se prefere manter seu captcha mais passivo.

Em seguida, role a tela para baixo novamente até a seção Passing Threshold (Limite de aprovação). Aqui, você pode definir o nível de dificuldade dos desafios de captcha.

Na maioria dos casos, o nível de dificuldade Moderado é razoavelmente eficaz na prevenção de spam sem comprometer a experiência do usuário (você sempre pode alterar isso posteriormente, se necessário).

Agora, volte ao topo da página e clique em “Salvar”.

Agora você será levado à próxima página, onde encontrará os sites adicionados listados. Clique no botão Settings (Configurações ) ao lado do domínio que você acabou de adicionar.

Nas configurações, role para baixo até a Sitekey e copie-a.

Por enquanto, cole sua Sitekey em um editor de texto como o Bloco de notas. Precisaremos disso em breve.

Depois de fazer isso, clique no ícone do seu perfil no canto superior direito e selecione Settings (Configurações).

Você encontrará sua chave secreta aqui. Clique no botão Copy Secret Key (Copiar chave secreta ).

Agora que você já tem a Chave do Site e a Chave Secreta, volte à página de configurações do hCaptcha no WPForms e cole suas chaves nos campos correspondentes.

Em seguida, clique em “Salvar” para concluir a configuração do hCaptcha para o WPForms.

Agora, você pode usar o campo hCaptcha ao criar seu formulário usando o WPForms.

Você verá o emblema do hCaptcha na parte superior do formulário quando ele for adicionado com êxito.

Seu formulário agora está protegido contra spam pelo hCaptcha. Se desejar instruções mais detalhadas, consulte nosso guia sobre como adicionar CAPTCHA ao seu formulário de contato usando o hCaptcha.

5. Use o Cloudflare Turnstile

O Cloudflare Turnstile é uma alternativa gratuita e que prioriza a privacidade ao Google reCAPTCHA e ao hCaptcha. Ele pode funcionar de forma totalmente invisível, de modo que seus visitantes nunca precisam resolver um quebra-cabeça.

Assista ao vídeo ou siga as etapas abaixo para adicioná-lo a qualquer formulário do WPForms:

Para começar, no painel do WordPress, acesse WPForms » Configurações » CAPTCHA e selecione Turnstile na lista de provedores.

Serão exibidos dois campos de texto em branco. Agora, abra uma nova guia, faça login na sua conta do Cloudflare e selecione Turnstile » Adicionar site.

Digite um nome e o domínio de seu site nos campos apropriados.

Em seguida, escolha um tipo de widget (o tipo“Gerenciado” funciona para a maioria dos sites).

Agora, clique em “Criar” para exibir sua Chave do Site e sua Chave Secreta.

Copie a Chave do Site e a Chave Secreta do Cloudflare nos campos correspondentes nas configurações do WPForms.

Se desejar, você pode alterar a mensagem de falha que é exibida quando um usuário tenta enviar o formulário sem concluir o desafio de verificação do Cloudflare Turnstile. Você também pode escolher o estilo do widget (escolha um tema Claro / Escuro / Automático ) e, opcionalmente, ativar o modo Sem conflito se outro plug-in ou tema também carregar o Turnstile. Clique em Save Settings (Salvar configurações).

Agora você pode ativar o Cloudflare Turnstile em qualquer formulário. Abra qualquer formulário no construtor. Arraste o campo Turnstile para o seu formulário ou acesse Configurações » Proteção contra spam e segurança e ative a opção Ativar Cloudflare Turnstile.

Um pequeno emblema de catraca no canto confirma que ele está ativo.

6. Use CAPTCHA personalizado

Somos grandes fãs do CAPTCHA personalizado porque ele é muito eficaz e não exige desafios baseados em imagens que, às vezes, podem ser um pouco complicados para usuários reais.

Os usuários do WPForms Pro podem obter o complemento Custom CAPTCHA para incluir questionários simples baseados em matemática ou uma pergunta e resposta personalizadas em seus formulários para prevenção de spam.

Para configurar o CAPTCHA personalizado, inicie a interface do criador de formulários.

Em seguida, localize o campo Custom CAPTCHA na seção Fancy Fields. Se você ainda não tiver o complemento Custom CAPTCHA, esse campo será semitransparente. Clique nele e você será solicitado a instalar o complemento.

Quando aparecer uma janela pop-up, clique em “Sim, instalar e ativar” para continuar.

A instalação levará apenas de 2 a 5 segundos para ser concluída. O pop-up exibirá uma mensagem de sucesso quando o complemento Custom CAPTCHA estiver ativo. Clique em Yes, Save and Refresh para continuar.

Agora, arraste e solte o campo Custom CAPTCHA em seu formulário. Clique no campo depois que ele for adicionado ao formulário para acessar suas configurações.

Aqui, você pode selecionar o tipo de CAPTCHA (pergunta e resposta matemática ou personalizada) e adicionar uma descrição.

Se você escolher a opção “Matemática”, o WPForms gerará automaticamente uma questão aritmética simples que os usuários deverão responder corretamente. Os robôs de spam não conseguem responder a essas questões matemáticas, e é por isso que esse CAPTCHA personalizado é uma técnica muito eficaz para prevenir spam em formulários de contato.

Como alternativa, você pode escolher Pergunta e resposta como seu tipo de CAPTCHA. Isso permite que você crie uma pergunta e defina sua resposta correta.

Você pode adicionar várias perguntas usando o ícone azul (+) ao lado do campo da pergunta nas configurações.

Não se esqueça de salvar o formulário quando terminar de fazer as alterações.

7. Ativar filtros de spam de país e palavra-chave

O WPForms permite que você bloqueie envios de países específicos ou rejeite qualquer entrada que contenha palavras que você sabe que são spam.

Para ativar esses filtros em qualquer formulário, abra o formulário no editor e clique em Configurações » Proteção contra spam e segurança.

Role até Filtering (Filtragem ) e ative Enable Country Filter (Ativar filtro de país ) ou Enable Keyword Filter (Ativar filtro de palavra-chave).

Use o menu suspenso para escolher Allow (Permitir ) ou Deny (Negar) para países selecionados ou adicione palavras-chave bloqueadas linha por linha.

Qualquer tentativa bloqueada é interrompida antes de chegar à sua caixa de entrada, para que os usuários legítimos nunca vejam uma mensagem de erro.

8. Bloqueio de URLs dentro de campos de texto

Muitos spambots são projetados para distribuir links de phishing por meio de formulários de contato. Às vezes, pode até haver uma pessoa real enviando links maliciosos usando seus formulários. Como você sabe, o CAPTCHA e os tokens de formulário não podem impedir um verdadeiro spammer humano.

Portanto, se estiver recebendo links suspeitos por meio do seu formulário, talvez seja melhor bloquear totalmente os envios de URL nos campos do formulário.

Você pode bloquear URLs em seus campos de formulário adicionando um script PHP. Se quiser saber mais sobre como adicionar trechos de código aos seus formulários, consulte este tutorial sobre como adicionar PHP personalizado ao WPForms.

Use o trecho de código abaixo para bloquear URLs nos campos Texto de linha única e Texto de parágrafo de seu formulário.

Depois de adicionar o código acima ao seu formulário, o WPForms exibirá um erro "Não são permitidos URLs" se um usuário tentar enviar um link nos campos de texto.

9. Use plug-ins antispam para WordPress

Há vários plugins antispam avançados disponíveis para o WordPress. A maioria desses plug-ins funciona por meio da varredura de bancos de dados de conteúdo de spam conhecido, incluindo padrões de palavras que aparecem repetidamente em spam, links comuns, endereços de e-mail e até mesmo endereços IP de usuários e bots.

Algumas ferramentas populares de combate ao spam para o WordPress são o Akismet e o Jetpack. Lembre-se de que esses plugins atuam em todo o seu site, portanto, além de limitarem o spam nos formulários de contato, também reduzem os comentários indesejados no seu blog.

Recomendamos especialmente o Akismet, já que o WPForms vem com integração nativa ao Akismet. Quando ativada, essa integração é uma excelente maneira de filtrar spam em formulários de contato no WordPress. Observe que o plano gratuito do Akismet cobre apenas uso pessoal e não comercial. Sites empresariais e comerciais precisam de um plano pago do Akismet. A filtragem de spam do Jetpack também é um recurso pago, disponível como um complemento independente ou como parte de um plano pago do Jetpack.

O uso desses plugins do WordPress para prevenção de spam, juntamente com as outras técnicas apresentadas acima, reforça a segurança geral do seu site.

10. Bloqueio de endereços de e-mail de spammers reincidentes

O campo de endereço de e-mail pode ser bastante útil quando se trata de filtrar spammers humanos. Como os remetentes de spam humanos podem facilmente ignorar o CAPTCHA e os tokens de formulário, você precisa de proteções adicionais para bloqueá-los.

Nos casos em que um site está recebendo spam com frequência de endereços de e-mail semelhantes, o bloqueio de endereços de e-mail suspeitos é o caminho a seguir.

Para bloquear um endereço de e-mail, clique no campo E-mail no WPForms. Em seguida, selecione a guia Advanced (Avançado ) no painel esquerdo.

Role a página para baixo e clique no menu suspenso “Lista de permissões/Lista de restrições ” e, em seguida, selecione “Lista de restrições”.

Agora você pode adicionar os endereços de e-mail dos quais deseja bloquear os envios na caixa abaixo da opção Denylist. Você pode inserir vários endereços de e-mail separados por vírgulas.

Você pode usar um asterisco * para bloquear endereços de e-mail com uma correspondência parcial.

Por exemplo, usar um asterisco antes de um domínio de e-mail (como *@domain.com) impedirá que todos os endereços de e-mail desse domínio enviem inscrições.

Ou você também pode bloquear um endereço de e-mail que comece com um nome de usuário específico, colocando um asterisco depois dele (como example*).

Essas regras são ótimas quando você está recebendo spam de endereços de e-mail do mesmo domínio ou nome de usuário.

Certifique-se de salvar seu formulário após criar sua lista de bloqueios.

11. Exigir verificação de e-mail para novos usuários

A exigência de verificação por e-mail desestimula os spammers a se cadastrarem com endereços falsos. Qualquer usuário que não consiga acessar o link de verificação não poderá concluir o cadastro.

O WPForms permite que você configure a verificação de e-mail antes que um novo usuário possa registrar sua conta.

Para ativar a verificação por e-mail, clique em Configurações » Registro de usuário no painel à esquerda da interface do WPForms.

Observação: você precisará do complemento de Registro de Usuários do WPForms para acessar essas configurações. Caso não o tenha, veja como criar um formulário de registro de usuários.

Em seguida, clique em “Ativar registro de usuário”.

Ative o botão de alternância Ativar ativação do usuário.

Isso expandirá um novo menu no qual você poderá selecionar o tipo de ativação como User Email.

Agora, sempre que um usuário tentar criar uma conta no site, ele terá que fornecer um endereço de e-mail válido para receber o link de cadastro. Isso significa que não haverá spam de usuários com endereços de e-mail falsos!

12. Lista negra de endereços IP com spam

O bloqueio dos endereços IP dos remetentes de spam não é tão eficiente quanto os outros métodos desta lista, pois é fácil falsificar um endereço IP usando proxies e serviços de VPN.

Mas se você notar um padrão de spammers repetidos que retornam ao seu site, poderá bloquear o endereço IP deles para impedir o acesso a todo o seu site WordPress.

Para restringir usuários por endereço IP, acesse Configurações » Discussão no painel do WordPress e insira os endereços IP que deseja bloquear na caixa “Chaves de comentários não permitidas ”. Se houver vários endereços IP a serem bloqueados, certifique-se de adicionar cada endereço IP em uma nova linha.

Mas, em primeiro lugar, como você vai encontrar os endereços IP dos remetentes de spam? Para isso, você precisará adicionar a opção {user_ip} em seu conteúdo de notificações de e-mail do WPForms.

Agora, quando você receber uma notificação por e-mail sobre o envio de um formulário, o endereço IP será incluído no conteúdo do e-mail.

Se você perceber que as entradas de spam estão vindo de endereços IP semelhantes, basta anotá-las e adicioná-las à lista de bloqueio de IPs do WordPress, conforme mostrado acima.

Caso o WPForms não esteja enviando e-mails para você, temos um guia dedicado com as etapas de solução de problemas.

Esperamos que este guia tenha ajudado você a encontrar a abordagem certa para impedir o spam nos formulários de contato do seu site.

Em seguida, aplique as práticas recomendadas de e-mail de redefinição de senha

Se você tiver um formulário de redefinição de senha em seu site, precisará configurar um e-mail de redefinição de senha claro e seguro com ele. Confira nosso artigo sobre práticas recomendadas de e-mail de redefinição de senha para obter dicas importantes.

E se você quiser melhorar a capacidade de entrega de seu e-mail, consulte nossa postagem sobre subdomínio de e-mail e por que você deve usar um.

Corrija seus e-mails do WordPress agora

Pronto para corrigir seus e-mails? Comece hoje mesmo a usar o melhor plugin SMTP para WordPress. Se você não tiver tempo para corrigir seus e-mails, poderá obter assistência completa da White Glove Setup como uma compra extra, e há uma garantia de reembolso de 14 dias para todos os planos pagos.

Se este artigo o ajudou, siga-nos no Facebook e no Twitter para obter mais dicas e tutoriais sobre o WordPress.