Como Parar Spam de Formulário de Contato no WordPress

Spam em formulários de contato pode desperdiçar o tempo da sua equipe, prejudicar a reputação de envio do seu domínio e expor seu site a links maliciosos. Bloqueá-lo não exige esforço manual.

Este guia cobre 12 técnicas para parar spam em formulários de contato no WordPress, desde habilitar proteção integrada até bloquear infratores recorrentes por e-mail ou IP.

Por que o Spam em Formulários de Contato é Perigoso

Formulários de contato são alvos comuns para programas de spam maliciosos. Veja algumas maneiras pelas quais spambots podem prejudicar seu site abusando de formulários de contato:

• Envie links prejudiciais: Spambots com intenção maliciosa podem usar seu formulário de contato para enviar links que podem conter malware. Se algum usuário da sua equipe clicar no link, o malware pode infectar toda a sua organização, incluindo seu site WordPress.
• Problemas de entregabilidade de e-mail: Cada envio de formulário gera um e-mail de notificação. Durante um ataque de spam, seu site pode acabar enviando volumes incomuns de e-mails em um curto período. Isso pode acionar erros de e-mail não solicitado ou em massa e, como o Gmail e outros provedores importantes agora rejeitam permanentemente e-mails de remetentes sinalizados em vez de adiá-los, pode causar danos duradouros à reputação de envio do seu domínio.
• Negação de Serviço (DoS): Alguns bots são altamente eficientes em preencher repetidamente seus formulários até o limite. O objetivo dos bots DoS é sobrecarregar seu site com toneladas de solicitações feitas em um curto período. Isso pode desacelerar seu site, afetar a funcionalidade do seu formulário para usuários reais e até mesmo causar uma interrupção do site.
• Hacking: Programas automatizados de ataque de força bruta podem ter como alvo sites com formulários de registro e login de usuários com o objetivo de hackear usuários. Isso é extremamente perigoso porque pode levar a tomadas de conta, vazamentos de informações e perdas de dados.
• Perdas de produtividade: Se sua equipe de suporte tiver que filtrar toneladas de entradas de spam, isso afeta a capacidade deles de responder rapidamente a usuários reais. O impacto na produtividade pode prejudicar a reputação da sua marca e se traduzir em muitas oportunidades perdidas de conversão.

Estas são algumas das maneiras pelas quais o spam pode causar muitos problemas para o seu site.

Os métodos abaixo cobrem as melhores ferramentas e técnicas para se livrar do spam em formulários de contato. Submissões de spam geradas por IA aumentaram significativamente nos últimos anos, portanto, as abordagens mais eficazes usam detecção em várias camadas em vez de uma única solução CAPTCHA.

Como Parar Spam de Formulário de Contato no WordPress

Para combater o spam em formulários de contato com sucesso em seu site WordPress, recomendamos o seguinte:

Vamos lá.

1. Obtenha um Plugin de Formulário WordPress com Proteção Integrada contra Spam

O passo mais importante que você pode tomar para prevenir spam em formulários de contato no WordPress é usar um plugin que tenha recursos robustos de proteção contra spam integrados.

Existem muitos plugins de formulário para WordPress por aí, mas muitos não suportam métodos confiáveis contra spam.

Para prevenção automatizada de spam integrada diretamente ao seu formulário de contato, recomendamos o WPForms.

WPForms é um construtor de formulários com ferramentas robustas integradas para bloquear spam em formulários de contato, como mostraremos abaixo. Ele também vem com uma variedade de outros recursos úteis sobre os quais você pode aprender mais em nossa análise do WPForms.

Depois de instalar o WPForms, prossiga e adicione um formulário a uma página no WordPress. Você pode então escolher entre vários métodos anti-spam disponíveis para você.

Começaremos com a opção mais confiável primeiro.

2. Use a Proteção Moderna contra Spam do WPForms

O WPForms usa uma abordagem multicamadas integrada para detectar e prevenir spam. Ele é executado silenciosamente por padrão e é nossa principal alternativa recomendada ao reCAPTCHA.

A proteção moderna contra spam está ativada por padrão no WPForms e é executada silenciosamente em segundo plano para combater o spam. Você pode acessar as configurações navegando para Configurações » Proteção contra Spam e Segurança na sua interface visual do WPForms.

Em seguida, certifique-se de que o botão de alternância ao lado de Ativar proteção moderna contra spam esteja ativado.

Quando esta configuração estiver ativada, ela impedirá o envio de um formulário quando um bot de spam acionar a proteção contra spam.

Você também tem a opção de armazenar entradas de spam em seu banco de dados do WordPress para revisar envios e recuperar facilmente quaisquer entradas de falsos positivos.

A opção Ativar tempo mínimo para envio também está ativada por padrão e definida como 2 segundos. Mas você pode alterar esse tempo mínimo para qualquer valor que desejar. Esta configuração ajuda a impedir que bots enviem seu formulário, pois evitará envios antes do tempo usual que um humano levaria para preencher o formulário.

A proteção contra spam do WPForms é mais amigável à privacidade do que alternativas baseadas em CAPTCHA e funciona sem interromper a experiência do usuário.

3. Inclua o reCAPTCHA

O WPForms também suporta ferramentas de prevenção de spam de terceiros como o reCAPTCHA do Google. Este é um método poderoso de proteção contra spam, embora a configuração leve mais algumas etapas do que ativar a proteção integrada no Método 2.

Você pode assistir ao vídeo para ver uma demonstração do processo ou continuar lendo para obter instruções passo a passo.

Atualmente, existem 3 tipos diferentes de reCAPTCHA:

• reCAPTCHA v2 de caixa de seleção: Esta versão do reCAPTCHA tem uma caixa de seleção que um usuário deve clicar para verificar se não é um bot. Se a atividade do usuário parecer suspeita, pode pedir para você fazer um pequeno teste de verificação de imagem para confirmar que você é um usuário real.
• reCAPTCHA v2 invisível: Com o reCAPTCHA invisível, os usuários não veem nenhuma caixa de seleção. Em vez disso, este serviço de reCAPTCHA analisa o comportamento do usuário para identificar e bloquear bots.
• reCAPTCHA v3: Embora ambos os serviços acima possam ocasionalmente mostrar um desafio de imagem, o reCAPTCHA v3 funciona completamente em silêncio em segundo plano. É uma ferramenta avançada de prevenção de spam, mas pode ser um pouco sensível demais e bloquear usuários humanos às vezes.

Para adicionar o reCAPTCHA ao seu formulário, abra sua área de administração do WordPress e vá para WPForms » Configurações.

Clique na guia CAPTCHA na barra horizontal abaixo do logotipo do WPForms.

Esta página mostrará as opções de CAPTCHA disponíveis no WPForms. Selecione reCAPTCHA.

Agora, selecione a versão do reCAPTCHA que você gostaria de configurar. Recomendamos o reCAPTCHA v2 Invisível por sua facilidade de uso, mas você também pode decidir sobre outras opções.

Para configurar o reCAPTCHA, você agora terá que visitar o site do reCAPTCHA em uma nova aba do navegador e clicar em Console do Administrador.

Se solicitado, faça login na sua conta do Google agora. Após o login, você terá que fornecer o nome de domínio do seu site para registrá-lo e selecionar seu reCAPTCHA preferido na seção Tipo de reCAPTCHA.

Em seguida, insira o nome de domínio do seu site em Domínios. Certifique-se de digitar apenas a parte que vem depois de https:// em seu URL.

Em seguida, aceite os Termos de Serviço do reCAPTCHA e marque os alertas se desejar receber notificações.

Clique em Enviar para salvar as configurações. Agora você verá uma mensagem dizendo que seu domínio foi registrado, com uma chave de site e uma chave secreta abaixo.

Mude para a aba do navegador onde você tem a página WPForms » Configurações aberta e copie e cole as chaves de site e secreta do reCAPTCHA nos campos correspondentes.

Pressione o botão Salvar Configurações para finalizar a configuração do seu reCAPTCHA.

Para adicionar o campo reCAPTCHA ao seu formulário, simplesmente use a interface de arrastar e soltar do WPForms para colocar o campo em seu formulário.

Seu formulário agora exibirá um selo reCAPTCHA no frontend, indicando que você adicionou com sucesso a prevenção de spam reCAPTCHA ao seu formulário.

Em seguida, veremos outro serviço popular de prevenção de spam.

4. Use hCaptcha em seu Formulário

O hCaptcha é muito semelhante ao reCAPTCHA do Google, mas é um serviço de bloqueio de spam mais amigável à privacidade. Você pode assistir ao vídeo para guiá-lo pelo processo ou continuar com as instruções escritas abaixo.

Para conectar o serviço hCaptcha ao WPForms, vá para WPForms » Configurações no seu painel do WordPress.

Na página de configurações, clique na guia CAPTCHA localizada na barra horizontal.

Selecione hCaptcha entre as opções disponíveis.

Como antes, mude para uma nova aba do navegador e visite o hCaptcha para se inscrever no serviço.

Na tela seguinte, escolha um plano hCaptcha. O plano gratuito funciona perfeitamente para sites pequenos, então vamos usá-lo neste tutorial.

Depois de selecionar seu plano, preencha o formulário para criar sua conta hCaptcha.

Quando terminar o processo de inscrição e fizer login no seu painel, clique no botão Novo Site para continuar.

Na parte superior, você pode inserir um nome para sua chave de site hCaptcha. Em seguida, role para baixo até a seção Informações Gerais e insira o nome do seu domínio. Pressione Adicionar Novo Domínio quando terminar.

Role para baixo para encontrar os modos de comportamento do hCaptcha. Você pode escolher entre diferentes modos, dependendo se deseja que os usuários sempre recebam um desafio ou mantenham seu captcha mais passivo.

Em seguida, role para baixo novamente até a seção Limiar de Aprovação. Aqui, você pode definir o nível de dificuldade dos desafios do captcha.

Na maioria dos casos, o nível de dificuldade Moderado é razoavelmente eficaz na prevenção de spam sem comprometer a experiência do usuário (você sempre pode alterar isso mais tarde, se necessário).

Agora, volte para o topo e pressione Salvar.

Agora você será levado para a próxima página, onde encontrará seus sites adicionados listados. Clique no botão Configurações ao lado do domínio que você acabou de adicionar.

Dentro das configurações, role para baixo até a Chave do Site e Copie-a.

Cole sua Chave do Site em um editor de texto como o Bloco de Notas por enquanto. Precisaremos disso em breve.

Quando tiver feito isso, clique no ícone do seu perfil no canto superior direito e selecione Configurações.

Você encontrará sua Chave Secreta aqui. Clique no botão Copiar Chave Secreta.

Agora que você tem sua Chave do Site e sua Chave Secreta, retorne à página de configurações do WPForms hCaptcha e cole suas chaves nos campos apropriados.

Em seguida, clique em Salvar para concluir a configuração do hCaptcha para o WPForms.

Agora, você pode usar o campo hCaptcha ao criar seu formulário usando o WPForms.

Você deverá ver o selo hCaptcha na parte superior do seu formulário quando ele for adicionado com sucesso a ele.

Seu formulário agora está protegido contra spam pelo hCaptcha. Se desejar instruções mais detalhadas, consulte nosso guia sobre como adicionar CAPTCHA ao seu formulário de contato usando hCaptcha.

5. Use o Cloudflare Turnstile

Cloudflare Turnstile é uma alternativa gratuita e focada em privacidade ao Google reCAPTCHA e hCaptcha. Ele pode ser executado de forma totalmente invisível, para que seus visitantes nunca precisem resolver um quebra-cabeça.

Assista ao vídeo ou siga as etapas abaixo para adicioná-lo a qualquer formulário WPForms:

Para começar, no seu painel do WordPress, vá para WPForms » Configurações » CAPTCHA e escolha Turnstile na lista de provedores.

Um par de campos de chave vazios aparecerá. Agora, abra uma nova aba, faça login na sua conta Cloudflare e selecione Turnstile » Adicionar site.

Insira um nome e o domínio do seu site nos campos apropriados.

Em seguida, escolha um tipo de widget (Gerenciado funciona para a maioria dos sites).

Agora, clique em Criar para revelar sua Chave do Site e Chave Secreta.

Copie a Chave do Site e a Chave Secreta do Cloudflare para os campos correspondentes de volta em Configurações do WPForms.

Se desejar, você pode alterar a mensagem de falha que é exibida quando um usuário tenta enviar o formulário sem completar o desafio de verificação do Cloudflare Turnstile. Você também pode escolher o estilo do widget (selecione um tema Claro / Escuro / Automático) e, opcionalmente, ativar o Modo Sem Conflitos se outro plugin ou tema também carregar o Turnstile. Clique em Salvar Configurações.

Agora você pode ativar o Cloudflare Turnstile em qualquer formulário. Abra qualquer formulário no construtor. Arraste o campo Turnstile para o seu formulário ou vá para Configurações » Proteção contra Spam e Segurança e ative Ativar Cloudflare Turnstile.

Um pequeno selo do Turnstile no canto confirma que ele está ativo.

6. Use CAPTCHA Personalizado

Somos grandes fãs do CAPTCHA Personalizado porque ele é muito eficaz e não requer desafios baseados em imagens que às vezes podem ser um pouco complicados para usuários reais.

Usuários do WPForms Pro podem obter o addon CAPTCHA Personalizado para incluir quizzes simples baseados em matemática ou uma pergunta e resposta personalizadas em seus formulários para prevenção de spam.

Para configurar o CAPTCHA Personalizado, inicie a interface do construtor de formulários.

Em seguida, encontre o campo CAPTCHA Personalizado na seção Campos Elegantes. Se você ainda não tem o addon CAPTCHA Personalizado, este campo ficará semitransparente. Clique nele e você será solicitado a instalar o addon.

Quando um pop-up aparecer, clique em Sim, Instalar e Ativar para prosseguir.

A instalação levará apenas 2-5 segundos para ser concluída. O pop-up exibirá uma mensagem de sucesso assim que o addon CAPTCHA Personalizado estiver ativo. Clique em Sim, Salvar e Atualizar para continuar.

Agora, arraste e solte o campo CAPTCHA Personalizado em seu formulário. Clique no campo assim que ele for adicionado ao seu formulário para acessar suas configurações.

Aqui, você pode selecionar o tipo de CAPTCHA (matemática ou pergunta e resposta personalizada) e adicionar uma descrição.

Se você escolher Matemática, o WPForms gerará automaticamente uma pergunta aritmética simples que os usuários devem responder corretamente. Spambots não conseguem responder a essas perguntas de matemática, é por isso que este CAPTCHA Personalizado é uma técnica muito eficaz de prevenção de spam em formulários de contato.

Alternativamente, você pode escolher Pergunta e Resposta como seu tipo de CAPTCHA. Isso permite que você crie uma pergunta e defina sua resposta correta.

Você pode adicionar várias perguntas usando o ícone azul (+) ao lado do campo de pergunta nas configurações.

Certifique-se de Salvar seu formulário após terminar de fazer alterações.

7. Habilite Filtros de Spam por País e Palavra-chave

O WPForms permite que você bloqueie envios de países específicos ou rejeite qualquer entrada que contenha palavras que você sabe que são spam.

Para ativar esses filtros em qualquer formulário, abra seu formulário no construtor e clique em Configurações » Proteção contra Spam e Segurança.

Role até Filtragem e ative Ativar Filtro de País ou Ativar Filtro de Palavras-chave.

Use o menu suspenso para escolher Permitir ou Negar para países selecionados ou adicione palavras-chave bloqueadas linha por linha.

Qualquer tentativa bloqueada é interrompida antes de chegar à sua caixa de entrada, portanto, usuários legítimos nunca veem uma mensagem de erro.

8. Bloqueie URLs em Campos de Texto

Muitos spambots são projetados para distribuir links de phishing através de formulários de contato. Às vezes, pode haver até mesmo uma pessoa real enviando links maliciosos usando seus formulários. Como você sabe, CAPTCHA e tokens de formulário não podem impedir um spammer humano real.

Portanto, se você estiver recebendo links suspeitos através do seu formulário, talvez queira bloquear completamente o envio de URLs nos campos do seu formulário.

Você pode bloquear URLs em seus campos de formulário adicionando um script PHP. Se você quiser saber como adicionar trechos de código aos seus formulários, consulte este tutorial sobre como adicionar PHP personalizado para WPForms.

Use o trecho de código abaixo para bloquear URLs nos campos Texto de Linha Única e Texto de Parágrafo do seu formulário.

Quando você adicionou o código acima ao seu formulário, o WPForms exibirá um erro "Nenhuma URL permitida" se um usuário tentar enviar um link para seus campos de texto.

9. Use Plugins Antispam para WordPress

Existem vários plugins antispam poderosos disponíveis para WordPress. A maioria desses plugins funciona escaneando bancos de dados de conteúdo de spam conhecido, incluindo padrões de palavras que aparecem repetidamente em spam, links comuns, endereços de e-mail e até mesmo endereços IP de usuários e bots.

Algumas ferramentas populares de antispam para WordPress são Akismet e Jetpack. Lembre-se de que esses plugins operam em todo o seu site, portanto, eles não apenas limitarão o spam em formulários de contato, mas também reduzirão o spam de comentários em seu blog.

Recomendamos particularmente o Akismet, pois o WPForms vem com uma integração nativa do Akismet. Quando ativada, essa integração é uma excelente maneira de filtrar spam de formulários de contato no WordPress. Observe que o plano gratuito do Akismet cobre apenas uso pessoal e não comercial. Sites comerciais e de negócios precisam de um plano pago do Akismet. A filtragem de spam do Jetpack também é um recurso pago, disponível como um complemento autônomo ou como parte de um plano pago do Jetpack.

Usar esses plugins de prevenção de spam do WordPress junto com as outras técnicas mostradas acima fortalece a segurança geral do seu site.

10. Bloqueie Endereços de E-mail de Spammers Recorrentes

O campo de endereço de e-mail pode ser bastante útil quando se trata de filtrar spammers humanos. Como spammers humanos podem facilmente contornar CAPTCHA e tokens de formulário, você precisa de salvaguardas extras para bloqueá-los.

Em casos onde um site está recebendo spam com frequência de endereços de e-mail semelhantes, bloquear endereços de e-mail suspeitos é o caminho a seguir.

Para bloquear um endereço de e-mail, clique no campo Email no WPForms. Em seguida, selecione a aba Avançado no painel esquerdo.

Role para baixo e clique no menu suspenso Lista de permissões / Lista de bloqueio, em seguida, selecione Lista de bloqueio.

Agora você pode adicionar endereços de e-mail dos quais deseja bloquear envios na caixa abaixo da opção Lista de bloqueio. Você pode inserir vários endereços de e-mail separados por vírgulas.

Você pode usar um asterisco * para bloquear endereços de e-mail com correspondência parcial.

Por exemplo, usar um asterisco antes de um domínio de e-mail (como *@dominio.com) restringirá todos os endereços de e-mail desse domínio de enviar entradas.

Ou você também pode bloquear um endereço de e-mail que comece com um nome de usuário específico, colocando um asterisco depois dele (como exemplo*).

Essas regras são ótimas quando você está recebendo spam de endereços de e-mail no mesmo domínio ou nome de usuário.

Certifique-se de Salvar seu formulário após criar sua lista de bloqueio.

11. Exija Verificação de E-mail para Novos Usuários

Exigir verificação de e-mail desencoraja os spammers de se inscreverem com endereços falsos. Qualquer usuário que não consiga acessar o link de verificação não poderá concluir o registro.

O WPForms permite que você configure a verificação de e-mail antes que um novo usuário possa registrar sua conta.

Para adicionar a verificação de e-mail, clique em Configurações » Registro de Usuário no painel esquerdo dentro da interface do WPForms.

Observação: Você precisará do addon de Registro de Usuário para o WPForms para acessar essas configurações. Se você não o tiver, consulte como criar um formulário de registro de usuário.

Em seguida, clique em Ativar Registro de Usuário.

Ative o botão de alternância Ativar Ativação de Usuário.

Isso expandirá um novo menu onde você pode selecionar seu tipo de ativação como E-mail do Usuário.

Agora, sempre que um usuário tentar registrar sua conta em seu site, ele terá que fornecer um endereço de e-mail válido para receber um link de registro. Ou seja, sem spam de usuários com e-mails falsos!

12. Coloque Endereços IP de Spam na Lista Negra

Bloquear os endereços IP de spammers não é tão eficiente quanto outros métodos nesta lista, pois é fácil falsificar um endereço IP usando proxies e serviços de VPN.

Mas se você notar um padrão de spammers repetidos retornando ao seu site, você pode bloquear o endereço IP deles para negar o acesso a todo o seu site WordPress.

Para restringir usuários por endereço IP, vá para Configurações » Discussão no seu painel do WordPress e insira os endereços IP que você deseja bloquear na caixa Chaves de Comentários Desautorizados. Se você tiver vários endereços IP para bloquear, certifique-se de adicionar cada endereço IP em uma nova linha.

Mas como você vai encontrar os endereços IP de spammers em primeiro lugar? Para isso, você precisará adicionar a tag inteligente {user_ip} no conteúdo das suas notificações por e-mail do WPForms.

Agora, quando você receber uma notificação por e-mail para o envio de um formulário, ela incluirá o endereço IP deles no conteúdo do e-mail.

Se você notar que as entradas de spam vêm de endereços IP semelhantes, simplesmente anote-os e adicione-os à lista de bloqueio de IP do WordPress, como mostrado acima.

Caso o WPForms não esteja enviando e-mails para você, temos um guia dedicado com etapas de solução de problemas.

Esperamos que este guia tenha ajudado você a encontrar a abordagem certa para parar o spam de formulários de contato em seu site.

Em seguida, Aplique as Melhores Práticas de E-mail de Redefinição de Senha

Se você tem um formulário de redefinição de senha em seu site, precisará configurar um e-mail de redefinição de senha claro e seguro com ele. Confira nosso artigo sobre melhores práticas de e-mail de redefinição de senha para aprender dicas importantes.

E se você quiser melhorar a entrega dos seus e-mails, veja nosso post sobre subdomínio de e-mail e por que você deve usar um.

Corrija seus e-mails do WordPress agora

Pronto para corrigir seus e-mails? Comece hoje mesmo com o melhor plugin SMTP para WordPress. Se você não tem tempo para corrigir seus e-mails, pode obter assistência completa de Configuração White Glove como uma compra adicional, e há uma garantia de devolução do dinheiro em 14 dias para todos os planos pagos.

Se este artigo ajudou você, por favor, siga-nos no Facebook e Twitter para mais dicas e tutoriais do WordPress.