Siete alle prese con un sacco di spam di moduli di contatto in WordPress?
Una delle maggiori minacce per qualsiasi sito web che utilizzi moduli di contatto è la possibilità di abuso dei moduli e di spam.
Fortunatamente, esistono modi per combattere efficacemente lo spam dei moduli di contatto in WordPress che non richiedono una gestione manuale.
In questo post spiegheremo come utilizzare diverse tecniche per bloccare lo spam dei moduli di contatto in WordPress.
Perché lo spam dei moduli di contatto è pericoloso
I moduli di contatto su WordPress sono sempre stati un facile bersaglio per i programmi di spam dannosi. Ecco alcuni modi in cui gli spambot possono danneggiare il vostro sito abusando dei moduli di contatto:
- Invio di link dannosi: Gli spambot con intenti malevoli possono utilizzare il vostro modulo di contatto per inviare link che potrebbero contenere malware. Se un utente del vostro team clicca sul link, il malware potrebbe infettare l'intera organizzazione, compreso il vostro sito WordPress.
- Problemi di deliverability delle e-mail: Ogni invio di un modulo genera un'e-mail di notifica, quindi il vostro sito può iniziare a inviare un volume insolitamente elevato di e-mail se i vostri moduli sono sotto attacco. Questo può causare errori di invio di e-mail non richieste o di massa sul vostro sito.
- Negazione del servizio (DoS): Alcuni bot sono molto efficienti nel riempire ripetutamente i vostri moduli fino al loro limite. L'obiettivo dei bot DoS è quello di sovraccaricare il vostro sito web con tonnellate di richieste effettuate in un breve lasso di tempo. Questo può rallentare il sito, compromettere la funzionalità dei moduli per gli utenti reali e causare persino un'interruzione del sito.
- Hacking: I programmi di attacco automatico a forza bruta possono prendere di mira i siti con moduli di registrazione e login degli utenti con l'obiettivo di violarli. Si tratta di un'azione estremamente pericolosa perché può portare all'acquisizione di account, alla fuga di informazioni e alla perdita di dati.
- Perdita di produttività: Se il personale di assistenza deve filtrare tonnellate di messaggi di spam, la capacità di rispondere rapidamente agli utenti reali ne risente. L'impatto sulla produttività può danneggiare la reputazione del vostro marchio e tradursi in molte opportunità di conversione perse.
Questi sono alcuni dei modi in cui lo spam può causare molti problemi al vostro sito.
Ma la buona notizia è che bloccare lo spam dei moduli di contatto è estremamente facile. Di seguito, vi mostreremo i migliori strumenti e tecniche che potete utilizzare per sbarazzarvi dello spam dei moduli di contatto una volta per tutte.
Come fermare lo spam dei moduli di contatto in WordPress
Per combattere con successo lo spam dei moduli di contatto sul vostro sito WordPress, vi consigliamo quanto segue:
- 1. Ottenere un plugin per moduli WordPress con protezione antispam incorporata
- 2. Utilizzare la moderna protezione antispam di WPForms
- 3. Includere reCAPTCHA
- 4. Utilizzare hCaptcha nel modulo
- 5. Utilizzare Cloudflare Turnstile
- 6. Utilizzare un CAPTCHA personalizzato
- 7. Abilitare i filtri antispam per paese e parole chiave
- 8. Bloccare gli URL all'interno dei campi di testo
- 9. Utilizzare i plugin antispam di WordPress
- 10. Bloccare gli indirizzi e-mail degli spammer abituali
- 11. Richiedere la verifica dell'e-mail per i nuovi utenti
- 12. Lista nera degli indirizzi IP di spam
Approfondiamo l'argomento.
1. Ottenere un plugin per moduli WordPress con protezione antispam incorporata
Il passo più importante che si può fare per prevenire lo spam dei moduli di contatto in WordPress è utilizzare un plugin che abbia forti funzioni di protezione dallo spam integrate.
Esistono molti plugin per i moduli di WordPress, ma molti non supportano metodi anti-spam affidabili.
Per ottenere la più semplice prevenzione automatica dello spam integrata nel vostro modulo di contatto, vi consigliamo di utilizzare WPForms.
WPForms è un costruttore di moduli estremamente ben equipaggiato per gestire lo spam dei moduli di contatto, come mostreremo di seguito. È inoltre dotato di una serie di altre utili funzioni che potete approfondire nella nostra recensione di WPForms.
Dopo aver installato WPForms, aggiungete un modulo a una pagina di WordPress. A questo punto potete scegliere tra una serie di metodi anti-spam a vostra disposizione.
Inizieremo con l'opzione più semplice ma altamente affidabile.
2. Utilizzare la moderna protezione antispam di WPForms
WPForms utilizza un approccio integrato a più livelli per rilevare e prevenire lo spam. È il modo più semplice per bloccare lo spam dei moduli di contatto ed è la nostra alternativa reCAPTCHA più consigliata.
La moderna protezione antispam è attivata di default in WPForms e funziona silenziosamente in background per combattere lo spam. È possibile accedere alle impostazioni navigando su Impostazioni " Protezione antispam e sicurezza dall'interfaccia visuale di WPForms.
Quindi, assicurarsi che il pulsante a levetta accanto a Abilita la moderna protezione antispam sia attivato.
Quando questa impostazione è attivata, impedisce l'invio di un modulo quando un bot di spam attiva la protezione antispam.
È inoltre possibile memorizzare le voci di spam nel database di WordPress per rivedere gli invii e recuperare facilmente eventuali falsi positivi.
Anche l'opzione Abilita tempo minimo per l'invio è attivata per impostazione predefinita e impostata su 2 secondi. Ma è possibile modificare questo tempo minimo con un valore a piacere. Questa impostazione aiuta a prevenire l'invio del modulo da parte dei bot, in quanto impedisce l'invio prima del tempo normalmente impiegato da un essere umano per compilare il modulo.
La protezione antispam di WPForms è di gran lunga la migliore tecnica di blocco dello spam, perché è più rispettosa della privacy e offre la migliore esperienza all'utente.
3. Includere reCAPTCHA
WPForms supporta anche strumenti di prevenzione dello spam di terze parti, come reCAPTCHA di Google. Si tratta di un metodo molto potente di protezione dallo spam, ma la sua impostazione richiede un po' più di tempo rispetto alla semplice abilitazione della moderna protezione anti-spam, come mostrato nel passo precedente.
Potete guardare il video per vedere una dimostrazione del processo o continuare a leggere per le istruzioni passo-passo.
Attualmente esistono 3 diversi tipi di reCAPTCHA:
- Checkbox reCAPTCHA v2: Questa versione di reCAPTCHA presenta una casella di controllo che l'utente deve cliccare per verificare che non si tratti di un bot. Se l'attività dell'utente sembra sospetta, potrebbe chiedere all'utente di eseguire un piccolo test di verifica dell'immagine per confermare che si tratta di un utente reale.
- ReCAPTCHA invisibile v2: Con reCAPTCHA invisibile, gli utenti non vedono affatto una casella di controllo. Al contrario, questo servizio reCAPTCHA analizza il comportamento degli utenti per identificare e bloccare i bot.
- reCAPTCHA v3: Sebbene entrambi i servizi di cui sopra possano occasionalmente mostrare un'immagine di sfida, reCAPTCHA v3 funziona in modo completamente silenzioso in background. È uno strumento avanzato di prevenzione dello spam, ma a volte può essere un po' troppo sensibile e bloccare gli utenti umani.
Per aggiungere reCAPTCHA al vostro modulo, aprite l'area di amministrazione di WordPress e andate su WPForms " Impostazioni.
Fare clic sulla scheda CAPTCHA nella barra orizzontale sotto il logo di WPForms.
Questa pagina mostra le opzioni CAPTCHA disponibili in WPForms. Selezionate reCAPTCHA.
A questo punto, selezionate la versione di reCAPTCHA che desiderate impostare. Noi consigliamo Invisible reCAPTCHA v2 per la sua facilità d'uso, ma potete scegliere anche altre opzioni.
Per configurare reCAPTCHA, dovrete visitare il sito di reCAPTCHA in una nuova scheda del browser e cliccare su Admin Console.
Se richiesto, accedete subito al vostro account Google. Dopo aver effettuato l'accesso, dovrete fornire il nome di dominio del vostro sito per registrarlo e selezionare il reCAPTCHA che preferite nella sezione Tipo di reCAPTCHA.
Quindi, inserire il nome di dominio del proprio sito web alla voce Domini. Assicurarsi di digitare solo la parte successiva a https:// nell'URL.
Quindi, accettare i Termini di servizio di reCAPTCHA e selezionare gli avvisi se si desidera ricevere notifiche.
Fare clic su Invia per salvare le impostazioni. A questo punto verrà visualizzato un messaggio che indica che il dominio è stato registrato, con una chiave del sito e una chiave segreta sotto di esso.
Passate alla scheda del browser in cui avete aperto la pagina WPForms " Impostazioni e copiate e incollate il sito e le chiavi segrete reCAPTCHA nei campi corrispondenti.
Premere il pulsante Salva impostazioni per terminare la configurazione di reCAPTCHA.
Per aggiungere il campo reCAPTCHA al modulo, è sufficiente utilizzare l'interfaccia di trascinamento di WPForms per inserire il campo nel modulo.
Il modulo ora mostrerà un badge reCAPTCHA sul frontend, a indicare che è stata aggiunta con successo la prevenzione dello spam reCAPTCHA al modulo.
A seguire, analizzeremo un altro popolare servizio di prevenzione dello spam.
4. Utilizzare hCaptcha nel modulo
hCaptcha è molto simile a reCAPTCHA di Google, ma è un servizio di blocco dello spam più rispettoso della privacy. Potete guardare il video che vi guida attraverso il processo o continuare con le istruzioni scritte qui sotto.
Per collegare il servizio hCaptcha a WPForms, andate su WPForms " Impostazioni dalla vostra dashboard di WordPress.
Nella pagina delle impostazioni, fare clic sulla scheda CAPTCHA situata nella barra orizzontale.
Selezionare hCaptcha tra le opzioni disponibili.
Come prima, passate a una nuova scheda del browser e visitate hCaptcha per iscrivervi al servizio.
Nella schermata successiva, scegliere un piano hCaptcha. Il piano gratuito funziona perfettamente per i siti di piccole dimensioni, quindi lavoreremo con quello per questo tutorial.
Dopo aver selezionato il piano, compilate il modulo per creare il vostro account hCaptcha.
Una volta terminata la procedura di registrazione e aver effettuato l'accesso alla propria dashboard, fare clic sul pulsante Nuovo sito per procedere.
In alto, è possibile inserire un nome per la propria sitekey hCpatcha. Quindi scorrere fino alla sezione Informazioni generali e inserire il nome del dominio. Al termine, premere Aggiungi nuovo dominio.
Scorrere in basso per trovare le modalità di comportamento di hCaptchab. È possibile scegliere tra diverse modalità, a seconda che si desideri che agli utenti venga sempre presentata una sfida o che il captcha rimanga più passivo.
Quindi, scorrere nuovamente verso il basso fino alla sezione Soglia di superamento. Qui è possibile impostare il livello di difficoltà delle sfide captcha.
Nella maggior parte dei casi, il livello di difficoltà Moderato è ragionevolmente efficace per prevenire lo spam senza compromettere l'esperienza dell'utente (si può sempre cambiare in seguito, se necessario).
A questo punto, scorrere di nuovo verso l'alto e premere Salva.
Verrete portati alla pagina successiva, dove troverete elencati i siti aggiunti. Fate clic sul pulsante Impostazioni accanto al dominio appena aggiunto.
All'interno delle impostazioni, scorrere fino alla Sitekey e copiarla.
Incollare la Sitekey in un editor di testo come Notepad per ora. Ne avremo presto bisogno.
Una volta fatto ciò, cliccate sull'icona del vostro profilo in alto a destra e selezionate Impostazioni.
Qui si trova la chiave segreta. Fare clic sul pulsante Copia chiave segreta.
Ottimo! Ora che avete sia la chiave del sito che la chiave segreta, tornate alla pagina delle impostazioni di WPForms hCpatcha e incollate le chiavi nei campi appropriati.
Quindi, fare clic su Salva per completare l'impostazione di hCaptcha per WPForms.
Ora è possibile utilizzare il campo hCaptcha quando si costruisce un modulo con WPForms.
Quando il modulo è stato aggiunto con successo, si dovrebbe vedere il badge hCaptcha nella parte superiore del modulo.
Congratulazioni! Il vostro modulo è ora protetto dallo spam grazie a hCaptcha. Se desiderate istruzioni più dettagliate, consultate la nostra guida all'aggiunta di CAPTCHA al vostro modulo di contatto utilizzando hCaptcha.
5. Utilizzare Cloudflare Turnstile
Cloudflare Turnstile è un'alternativa gratuita e rispettosa della privacy a Google reCAPTCHA e hCaptcha. Può funzionare in modo completamente invisibile, in modo che i vostri visitatori non debbano mai risolvere un puzzle.
Guardate il video o seguite i passaggi qui sotto per aggiungerlo a qualsiasi modulo di WPForms:
Per iniziare, nella vostra dashboard di WordPress andate su WPForms " Impostazioni " CAPTCHA e scegliete Turnstile dall'elenco dei fornitori.
Appariranno due campi chiave vuoti. Ora, aprite una nuova scheda, accedete al vostro account Cloudflare e selezionate Turnstile " Add site.
Inserite un nome e il dominio del vostro sito nei campi appropriati.
Quindi, scegliere un tipo di widget ( Managed funziona per la maggior parte dei siti).
A questo punto, fare clic su Crea per visualizzare la chiave del sito e la chiave segreta.
Copiare la chiave del sito e la chiave segreta da Cloudflare nei campi corrispondenti nelle impostazioni di WPForms.
Se si desidera, è possibile modificare il messaggio di errore che viene visualizzato quando un utente tenta di inviare il modulo senza aver completato la sfida di verifica Turnstile di Cloudflare. Si può anche scegliere lo stile del widget (scegliere un tema Chiaro / Scuro / Automatico ) e facoltativamente attivare la Modalità senza conflitti se un altro plugin o tema carica anche Turnstile. Fare clic su Salva impostazioni.
È ora possibile abilitare Cloudflare Turnstile su qualsiasi modulo. Aprire un modulo qualsiasi nel costruttore. Trascinare il campo Turnstile sul modulo o andare in Impostazioni " Protezione antispam e sicurezza e selezionare Abilita Cloudflare Turnstile.
Un piccolo badge Turnstile nell'angolo conferma che è attivo.
6. Utilizzare un CAPTCHA personalizzato
Siamo grandi fan dei CAPTCHA personalizzati perché sono molto efficaci e non richiedono sfide basate su immagini che a volte possono essere un po' complicate per gli utenti reali.
Gli utenti di WPForms Pro possono ottenere l'addon Custom CAPTCHA per includere nei moduli semplici quiz matematici o domande e risposte personalizzate per la prevenzione dello spam.
Per impostare il CAPTCHA personalizzato, avviare l'interfaccia del costruttore di moduli.
Quindi, trovare il campo Custom CAPTCHA nella sezione Fancy Fields. Se non si dispone ancora dell'addon Custom CAPTCHA, questo campo sarà semi trasparente. Fare clic su di esso e verrà richiesto di installare il componente aggiuntivo.
Quando appare un popup, fare clic suSì, Installa e Attiva per procedere.
L'installazione richiederà solo 2-5 secondi per essere completata. Una volta che l'addon Custom CAPTCHA è attivo, il popup visualizzerà un messaggio di successo. Fare clic su Sì, Salva e Aggiorna per continuare.
Ora, trascinare e rilasciare il campo CAPTCHA personalizzato nel modulo. Fare clic sul campo una volta aggiunto al modulo per accedere alle sue impostazioni.
Qui è possibile selezionare il tipo di CAPTCHA (domanda e risposta matematica o personalizzata) e aggiungere una descrizione.
Se si sceglie Matematica, WPForms genererà automaticamente una semplice domanda aritmetica a cui gli utenti dovranno rispondere correttamente. Gli spammer non sono in grado di rispondere a queste domande matematiche, per cui il CAPTCHA personalizzato è una tecnica di prevenzione dello spam nei moduli di contatto molto efficace.
In alternativa, è possibile scegliere Domanda e risposta come tipo di CAPTCHA. In questo modo è possibile creare una domanda e impostare la risposta corretta.
È possibile aggiungere più domande utilizzando l'icona blu (+) accanto al campo della domanda nelle impostazioni.
Assicurarsi di salvare il modulo al termine delle modifiche.
7. Abilitare i filtri antispam per paese e parole chiave
WPForms consente di bloccare gli invii provenienti da paesi specifici o di rifiutare qualsiasi voce che contenga parole di cui si conosce lo spam.
Per attivare questi filtri per qualsiasi modulo, aprire il modulo nel costruttore e fare clic su Impostazioni " Protezione antispam e sicurezza.
Spostarsi su Filtro e attivare Abilita filtro paese o Abilita filtro parola chiave.
Utilizzare il menu a tendina per scegliere Consenti o Rifiuta per i paesi selezionati o aggiungere le parole chiave bloccate riga per riga.
Ogni tentativo bloccato viene bloccato prima che raggiunga la posta in arrivo, in modo che gli utenti legittimi non vedano mai un messaggio di errore.
8. Bloccare gli URL all'interno dei campi di testo
Molti spambot sono progettati per distribuire link di phishing attraverso i moduli di contatto. A volte, potrebbe anche esserci una persona reale che invia link dannosi utilizzando i vostri moduli. Come sapete, i CAPTCHA e i token dei moduli non possono fermare un vero spammer umano.
Quindi, se si ricevono link sospetti attraverso il modulo, è meglio bloccare completamente l'invio di URL nei campi del modulo.
È possibile bloccare gli URL nei campi dei moduli aggiungendo uno script PHP. Se volete imparare ad aggiungere snippet di codice ai vostri moduli, consultate questo tutorial sull'aggiunta di PHP personalizzato per WPForms.
Utilizzate lo snippet di codice qui sotto per bloccare gli URL nei campi Testo a riga singola e Testo a paragrafo del vostro modulo.
Una volta aggiunto il codice di cui sopra al vostro modulo, WPForms visualizzerà un errore "Nessun URL consentito" se un utente tenta di inviare un link nei campi di testo.
9. Utilizzare i plugin antispam di WordPress
Esistono diversi potenti plugin antispam per WordPress. La maggior parte di questi plugin funziona analizzando i database di contenuti di spam noti, compresi i modelli di parole che appaiono ripetutamente nello spam, i link comuni, gli indirizzi e-mail e persino gli indirizzi IP di utenti e bot.
Alcuni popolari strumenti antispam per WordPress sono Akismet e Jetpack. Ricordate che questi plugin operano su tutto il vostro sito, quindi non solo limiteranno lo spam dei moduli di contatto, ma ridurranno anche i commenti spam sul vostro blog.
Raccomandiamo in particolare Akismet, poiché WPForms è dotato di un'integrazione nativa con Akismet. Se attivata, questa integrazione è un modo eccellente per filtrare lo spam dei moduli di contatto in WordPress.
L'utilizzo di questi plugin WordPress per la prevenzione dello spam, insieme alle altre tecniche che abbiamo illustrato in precedenza, è un'ottima combinazione per migliorare la sicurezza generale del vostro sito.
10. Bloccare gli indirizzi e-mail degli spammer abituali
Il campo dell'indirizzo e-mail può essere molto utile per filtrare gli spammer umani. Poiché gli spammer umani possono facilmente aggirare i CAPTCHA e i token dei moduli, è necessario disporre di ulteriori garanzie per bloccarli.
Nei casi in cui un sito web riceva frequentemente spam da indirizzi e-mail simili, è opportuno bloccare gli indirizzi e-mail sospetti.
Per bloccare un indirizzo e-mail, fare clic sul campo E-mail in WPForms. Quindi, selezionate la scheda Avanzate nel riquadro di sinistra.
Scorrere verso il basso e fare clic sul menu a tendina Allowlist / Denylist , quindi selezionare Denylist.
Ora è possibile aggiungere gli indirizzi e-mail da cui si desidera bloccare gli invii nella casella sotto l'opzione Denylist. È possibile inserire più indirizzi e-mail separati da virgole.
È possibile utilizzare un asterisco * per bloccare gli indirizzi e-mail con una corrispondenza parziale.
Ad esempio, l'utilizzo di un asterisco prima di un dominio di posta elettronica (come ad esempio *@domain.com) limiterà l'invio di iscrizioni a tutti gli indirizzi e-mail di quel dominio.
Oppure è possibile bloccare un indirizzo e-mail che inizia con un determinato nome utente mettendo un asterisco dopo di esso (come ad esempio example*).
Queste regole sono ottime quando si riceve spam da indirizzi e-mail con lo stesso dominio o nome utente.
Assicurarsi di salvare il modulo dopo aver creato la blocklist.
11. Richiedere la verifica dell'e-mail per i nuovi utenti
I veri spammer e i bot possono usare email false per cercare di iscriversi al vostro sito (ammesso che permettiate agli utenti di registrarsi). Un modo semplice per scoraggiare gli spammer dall'iscriversi con e-mail false è quello di richiedere la verifica dell'e-mail, un passaggio in più che gli spammer non hanno la pazienza di fare.
WPForms consente di impostare la verifica dell'e-mail prima che un nuovo utente possa registrare il proprio account.
Per aggiungere la verifica dell'e-mail, fare clic su Impostazioni " Registrazione utente dal pannello di sinistra dell'interfaccia di WPForms.
Nota: per accedere a queste impostazioni è necessario il componente aggiuntivo Registrazione utente per WPForms. Se non lo si possiede, vedere come creare un modulo di registrazione utente.
Quindi, fare clic su Abilita registrazione utente.
Attivare il pulsante di attivazione dell'utente.
Si aprirà un nuovo menu in cui è possibile selezionare il tipo di attivazione come Email utente.
Ora, ogni volta che un utente tenta di registrare il proprio account sul sito, dovrà fornire un indirizzo e-mail valido per ricevere un link di registrazione. In altre parole, niente spam da parte di utenti con e-mail false!
12. Lista nera degli indirizzi IP di spam
Il blocco degli indirizzi IP degli spammer non è efficiente come gli altri metodi di questo elenco, perché è facile falsificare un indirizzo IP utilizzando proxy e servizi VPN.
Ma se notate uno schema di spammer ripetuti che ritornano sul vostro sito, potete bloccare il loro indirizzo IP per impedire loro l'accesso all'intero sito WordPress.
Per limitare gli utenti in base all'indirizzo IP, andate su Impostazioni " Discussione dalla vostra dashboard di WordPress e inserite gli indirizzi IP che volete bloccare nella casella Tasti di commento non consentiti. Se avete più indirizzi IP da bloccare, assicuratevi di aggiungere ogni indirizzo IP in una nuova riga.
Ma come si fa a trovare gli indirizzi IP degli spammer? A tal fine, è necessario aggiungere l'opzione {user_ip} nel contenuto delle notifiche e-mail di WPForms.
Ora, quando si riceve una notifica via e-mail per l'invio di un modulo, il contenuto dell'e-mail includerà l'indirizzo IP dell'utente.
Se notate che le voci di spam provengono da indirizzi IP simili, annotateli e aggiungeteli alla lista di blocco degli IP di WordPress come mostrato sopra.
Nel caso in cui WPForms non vi invii le e-mail, abbiamo una guida dedicata con i passaggi per la risoluzione dei problemi.
E questo è tutto quello che abbiamo per voi oggi! Speriamo che questa guida vi abbia aiutato ad apprendere consigli utili per bloccare i contatti dallo spam in WordPress.
Successivamente, applicare le migliori pratiche per la reimpostazione della password via e-mail
Se avete un modulo di reimpostazione della password sul vostro sito, dovrete impostare un'e-mail di reimpostazione della password chiara e sicura. Consultate il nostro articolo sulle migliori pratiche per le e-mail di reimpostazione della password per apprendere importanti suggerimenti.
E se volete migliorare la vostra deliverability delle e-mail, consultate il nostro post sui sottodomini e-mail e sul perché dovreste usarne uno.
Correggete subito le vostre e-mail di WordPress
Siete pronti a sistemare le vostre e-mail? Iniziate oggi stesso con il miglior plugin SMTP per WordPress. Se non avete il tempo di sistemare le vostre e-mail, potete ottenere l'assistenza completa di White Glove Setup come acquisto aggiuntivo e c'è una garanzia di rimborso di 14 giorni per tutti i piani a pagamento.
Se questo articolo vi è stato utile, seguiteci su Facebook e Twitter per altri consigli e tutorial su WordPress.
