Come fermare lo spam dei moduli di contatto in WordPress

Lo spam nei moduli di contatto può far perdere tempo al tuo team, compromettere la reputazione di invio del tuo dominio ed esporre il tuo sito a link dannosi. Bloccarlo non richiede alcun intervento manuale.

Questa guida illustra 12 tecniche per bloccare lo spam nei moduli di contatto su WordPress, dall'attivazione delle protezioni integrate al blocco degli utenti recidivi in base all'indirizzo e-mail o all'IP.

Perché lo spam dei moduli di contatto è pericoloso

I moduli di contatto sono spesso bersaglio di programmi di spam dannosi. Ecco alcuni modi in cui gli spambot possono danneggiare il tuo sito abusando dei moduli di contatto:

• Segnalazione di link dannosi: gli spambot con intenti malevoli possono utilizzare il tuo modulo di contatto per inviare link che potrebbero contenere malware. Se un utente del tuo team clicca sul link, il malware potrebbe infettare l'intera organizzazione, compreso il tuo sito WordPress.
• Problemi di recapito delle e-mail: ogni invio di un modulo genera un'e-mail di notifica. Durante un attacco di spam, il tuo sito potrebbe finire per inviare un volume insolito di messaggi in un breve lasso di tempo. Ciò può causare errori relativi a e-mail indesiderate o inviate in massa e, dato che Gmail e altri principali provider ora respingono definitivamente i messaggi provenienti da mittenti segnalati anziché metterli in attesa, può causare danni permanenti alla reputazione di invio del tuo dominio.
• Attacchi Denial of Service (DoS): alcuni bot sono estremamente efficaci nel compilare ripetutamente i moduli fino al loro limite massimo. L'obiettivo dei bot DoS è quello di sovraccaricare il sito web con una mole enorme di richieste inviate in un breve lasso di tempo. Ciò può rallentare il sito, compromettere il corretto funzionamento dei moduli per gli utenti reali e persino causare un'interruzione del servizio.
• Hacking: i programmi automatizzati di attacchi di forza bruta possono prendere di mira siti che dispongono di moduli di registrazione e di accesso, con l'obiettivo di violare gli account degli utenti. Ciò è estremamente pericoloso perché può portare all'appropriazione indebita di account, alla fuga di informazioni e alla perdita di dati.
• Perdite di produttività: se il tuo team di assistenza deve setacciare una marea di messaggi di spam, la sua capacità di rispondere rapidamente agli utenti reali ne risente. L'impatto sulla produttività può danneggiare la reputazione del tuo marchio e tradursi in numerose opportunità di conversione perse.

Questi sono alcuni dei modi in cui lo spam può causare molti problemi al vostro sito.

I metodi descritti di seguito illustrano gli strumenti e le tecniche più efficaci per eliminare lo spam dai moduli di contatto. Negli ultimi anni, gli invii di spam generati dall'intelligenza artificiale sono aumentati in modo significativo, pertanto gli approcci più efficaci prevedono un sistema di rilevamento a più livelli piuttosto che una singola soluzione CAPTCHA.

Come fermare lo spam dei moduli di contatto in WordPress

Per combattere con successo lo spam dei moduli di contatto sul vostro sito WordPress, vi consigliamo quanto segue:

Approfondiamo l'argomento.

1. Ottenere un plugin per moduli WordPress con protezione antispam incorporata

Il passo più importante che si può fare per prevenire lo spam dei moduli di contatto in WordPress è utilizzare un plugin che abbia forti funzioni di protezione dallo spam integrate.

Esistono molti plugin per i moduli di WordPress, ma molti non supportano metodi anti-spam affidabili.

Per una protezione automatica contro lo spam integrata direttamente nel tuo modulo di contatto, ti consigliamo WPForms.

WPForms è un generatore di moduli dotato di potenti strumenti integrati per bloccare lo spam nei moduli di contatto, come vedremo di seguito. Offre inoltre una serie di altre utili funzionalità, di cui potrai scoprire di più nella nostra recensione di WPForms.

Dopo aver installato WPForms, aggiungete un modulo a una pagina di WordPress. A questo punto potete scegliere tra una serie di metodi anti-spam a vostra disposizione.

Inizieremo con l'opzione più affidabile.

2. Utilizzare la moderna protezione antispam di WPForms

WPForms utilizza un approccio integrato a più livelli per individuare e prevenire lo spam. Di default funziona in modo invisibile ed è l'alternativa a reCAPTCHA che consigliamo maggiormente.

La protezione antispam avanzata è abilitata di default in WPForms e opera in modo invisibile in background per contrastare lo spam. Puoi accedere alle relative impostazioni andando su Impostazioni » Protezione antispam e sicurezza dall'interfaccia visiva di WPForms.

Assicurati quindi che il pulsante di attivazione/disattivazione accanto alla voce "Abilita protezione antispam avanzata " sia attivato.

Quando questa impostazione è attivata, impedisce l'invio di un modulo quando un bot di spam attiva la protezione antispam.

È inoltre possibile memorizzare le voci di spam nel database di WordPress per rivedere gli invii e recuperare facilmente eventuali falsi positivi.

L'opzione "Abilita tempo minimo per l'invio " è anch'essa abilitata di default e impostata su 2 secondi. Tuttavia, è possibile modificare questo tempo minimo a proprio piacimento. Questa impostazione aiuta a impedire ai bot di inviare il modulo, poiché impedisce l'invio prima del tempo normalmente necessario a una persona per compilare il modulo.

La protezione antispam di WPForms rispetta maggiormente la privacy rispetto alle alternative basate sui CAPTCHA e funziona senza compromettere l'esperienza dell'utente.

3. Includere reCAPTCHA

WPForms supporta anche strumenti di prevenzione dello spam di terze parti, come reCAPTCHA di Google. Si tratta di un metodo efficace per proteggersi dallo spam, anche se la configurazione richiede qualche passaggio in più rispetto all'attivazione della protezione integrata descritta nel Metodo 2.

Potete guardare il video per vedere una dimostrazione del processo o continuare a leggere per le istruzioni passo-passo.

Attualmente esistono 3 diversi tipi di reCAPTCHA:

• Casella di controllo reCAPTCHA v2: questa versione di reCAPTCHA presenta una casella di controllo che l'utente deve selezionare per confermare di non essere un bot. Se l'attività dell'utente appare sospetta, potrebbe essere richiesto di eseguire un breve test di verifica tramite immagini per confermare che si tratti di un utente reale.
• Invisible reCAPTCHA v2: con Invisible reCAPTCHA, gli utenti non vedono alcuna casella di selezione. Questo servizio reCAPTCHA analizza invece il comportamento degli utenti per identificare e bloccare i bot.
• reCAPTCHA v3: sebbene entrambi i servizi sopra citati possano occasionalmente richiedere il completamento di un test con immagini, reCAPTCHA v3 opera in modo completamente silenzioso in background. Si tratta di uno strumento avanzato di prevenzione dello spam, ma a volte può risultare un po’ troppo sensibile e bloccare anche gli utenti umani.

Per aggiungere reCAPTCHA al vostro modulo, aprite l'area di amministrazione di WordPress e andate su WPForms " Impostazioni.

Fare clic sulla scheda CAPTCHA nella barra orizzontale sotto il logo di WPForms.

Questa pagina mostra le opzioni CAPTCHA disponibili in WPForms. Selezionate reCAPTCHA.

A questo punto, selezionate la versione di reCAPTCHA che desiderate impostare. Noi consigliamo Invisible reCAPTCHA v2 per la sua facilità d'uso, ma potete scegliere anche altre opzioni.

Per configurare reCAPTCHA, dovrete visitare il sito di reCAPTCHA in una nuova scheda del browser e cliccare su Admin Console.

Se richiesto, accedete subito al vostro account Google. Dopo aver effettuato l'accesso, dovrete fornire il nome di dominio del vostro sito per registrarlo e selezionare il reCAPTCHA che preferite nella sezione Tipo di reCAPTCHA.

Quindi, inserire il nome di dominio del proprio sito web alla voce Domini. Assicurarsi di digitare solo la parte successiva a https:// nell'URL.

Quindi, accettare i Termini di servizio di reCAPTCHA e selezionare gli avvisi se si desidera ricevere notifiche.

Clicca su "Invia " per salvare le impostazioni. Verrà visualizzato un messaggio che conferma la registrazione del dominio, con la chiave del sito e la chiave segreta riportate sotto.

Passate alla scheda del browser in cui avete aperto la pagina WPForms " Impostazioni e copiate e incollate il sito e le chiavi segrete reCAPTCHA nei campi corrispondenti.

Premere il pulsante Salva impostazioni per terminare la configurazione di reCAPTCHA.

Per aggiungere il campo reCAPTCHA al modulo, è sufficiente utilizzare l'interfaccia di trascinamento di WPForms per inserire il campo nel modulo.

Il modulo ora mostrerà un badge reCAPTCHA sul frontend, a indicare che è stata aggiunta con successo la prevenzione dello spam reCAPTCHA al modulo.

A seguire, analizzeremo un altro popolare servizio di prevenzione dello spam.

4. Utilizzare hCaptcha nel modulo

hCaptcha è molto simile a reCAPTCHA di Google, ma è un servizio di blocco dello spam più rispettoso della privacy. Potete guardare il video che vi guida attraverso il processo o continuare con le istruzioni scritte qui sotto.

Per collegare il servizio hCaptcha a WPForms, vai su WPForms » Impostazioni dalla tua dashboard di WordPress.

Nella pagina delle impostazioni, clicca sulla scheda CAPTCHA situata sulla barra orizzontale.

Selezionare hCaptcha tra le opzioni disponibili.

Come prima, passate a una nuova scheda del browser e visitate hCaptcha per iscrivervi al servizio.

Nella schermata successiva, scegli un piano hCaptcha. Il piano gratuito è perfetto per i siti di piccole dimensioni, quindi per questo tutorial useremo proprio quello.

Dopo aver selezionato il piano, compilate il modulo per creare il vostro account hCaptcha.

Una volta completata la procedura di registrazione ed effettuato l'accesso alla tua dashboard, clicca sul pulsante " Nuovo sito " per proseguire.

Nella parte superiore puoi inserire un nome per la tua chiave sito hCaptcha. Scorri poi verso il basso fino alla sezione "Informazioni generali" e inserisci il nome del tuo dominio. Una volta terminato, clicca su "Aggiungi nuovo dominio ".

Scorri verso il basso per visualizzare le modalità di funzionamento di hCaptcha. Puoi scegliere tra diverse modalità a seconda che tu voglia che agli utenti venga sempre presentata una sfida o che il tuo captcha rimanga più passivo.

Quindi, scorrere nuovamente verso il basso fino alla sezione Soglia di superamento. Qui è possibile impostare il livello di difficoltà delle sfide captcha.

Nella maggior parte dei casi, il livello di difficoltà Moderato è ragionevolmente efficace per prevenire lo spam senza compromettere l'esperienza dell'utente (si può sempre cambiare in seguito, se necessario).

Ora torna all'inizio della pagina e clicca su "Salva".

Verrete portati alla pagina successiva, dove troverete elencati i siti aggiunti. Fate clic sul pulsante Impostazioni accanto al dominio appena aggiunto.

All'interno delle impostazioni, scorrere fino alla Sitekey e copiarla.

Incollare la Sitekey in un editor di testo come Notepad per ora. Ne avremo presto bisogno.

Una volta fatto ciò, cliccate sull'icona del vostro profilo in alto a destra e selezionate Impostazioni.

Qui si trova la chiave segreta. Fare clic sul pulsante Copia chiave segreta.

Ora che disponi sia della chiave del sito che della chiave segreta, torna alla pagina delle impostazioni di hCaptcha in WPForms e incolla le chiavi nei campi corrispondenti.

Quindi, clicca su " Salva " per completare la configurazione di hCaptcha per WPForms.

Ora è possibile utilizzare il campo hCaptcha quando si costruisce un modulo con WPForms.

Quando il modulo è stato aggiunto con successo, si dovrebbe vedere il badge hCaptcha nella parte superiore del modulo.

Il tuo modulo è ora protetto dallo spam grazie a hCaptcha. Se desideri istruzioni più dettagliate, consulta la nostra guida su come aggiungere un CAPTCHA al tuo modulo di contatto utilizzando hCaptcha.

5. Utilizzare Cloudflare Turnstile

Cloudflare Turnstile è un'alternativa gratuita a Google reCAPTCHA e hCaptcha che mette al primo posto la privacy. Funziona in modo completamente invisibile, quindi i tuoi visitatori non dovranno mai risolvere alcun puzzle.

Guardate il video o seguite i passaggi qui sotto per aggiungerlo a qualsiasi modulo di WPForms:

Per iniziare, nella tua dashboard di WordPress vai su WPForms » Impostazioni » CAPTCHA e seleziona Turnstile dall'elenco dei fornitori.

Verranno visualizzati due campi di immissione dati vuoti. Ora apri una nuova scheda, accedi al tuo account Cloudflare e seleziona Turnstile » Aggiungi sito.

Inserite un nome e il dominio del vostro sito nei campi appropriati.

Scegli quindi un tipo di widget (l'opzione "Gestito " è adatta alla maggior parte dei siti).

Ora clicca su " Crea " per visualizzare la chiave del sito e la chiave segreta.

Copia la chiave del sito e la chiave segreta da Cloudflare nei campi corrispondenti nelle impostazioni di WPForms.

Se si desidera, è possibile modificare il messaggio di errore che viene visualizzato quando un utente tenta di inviare il modulo senza aver completato la sfida di verifica Turnstile di Cloudflare. Si può anche scegliere lo stile del widget (scegliere un tema Chiaro / Scuro / Automatico ) e facoltativamente attivare la Modalità senza conflitti se un altro plugin o tema carica anche Turnstile. Fare clic su Salva impostazioni.

Ora puoi attivare Cloudflare Turnstile su qualsiasi modulo. Apri un modulo qualsiasi nel generatore. Trascina il campo Turnstile sul modulo oppure vai su Impostazioni » Protezione antispam e sicurezza e attiva l'opzione Abilita Cloudflare Turnstile.

Un piccolo badge Turnstile nell'angolo conferma che è attivo.

6. Utilizzare un CAPTCHA personalizzato

Siamo grandi fan dei CAPTCHA personalizzati perché sono molto efficaci e non richiedono sfide basate su immagini che a volte possono essere un po' complicate per gli utenti reali.

Gli utenti di WPForms Pro possono ottenere l'addon Custom CAPTCHA per includere nei moduli semplici quiz matematici o domande e risposte personalizzate per la prevenzione dello spam.

Per impostare il CAPTCHA personalizzato, avviare l'interfaccia del costruttore di moduli.

Quindi, trovare il campo Custom CAPTCHA nella sezione Fancy Fields. Se non si dispone ancora dell'addon Custom CAPTCHA, questo campo sarà semi trasparente. Fare clic su di esso e verrà richiesto di installare il componente aggiuntivo.

Quando compare una finestra pop-up, clicca su «Sì, installa e attiva» per continuare.

L'installazione richiederà solo 2-5 secondi per essere completata. Una volta che l'addon Custom CAPTCHA è attivo, il popup visualizzerà un messaggio di successo. Fare clic su Sì, Salva e Aggiorna per continuare.

Ora, trascinare e rilasciare il campo CAPTCHA personalizzato nel modulo. Fare clic sul campo una volta aggiunto al modulo per accedere alle sue impostazioni.

Qui è possibile selezionare il tipo di CAPTCHA (domanda e risposta matematica o personalizzata) e aggiungere una descrizione.

Se scegli l'opzione "Matematica", WPForms genererà automaticamente una semplice domanda di aritmetica a cui gli utenti dovranno rispondere correttamente. Gli spambot non sono in grado di rispondere a queste domande di matematica, motivo per cui questo CAPTCHA personalizzato rappresenta una tecnica molto efficace per prevenire lo spam nei moduli di contatto.

In alternativa, è possibile scegliere Domanda e risposta come tipo di CAPTCHA. In questo modo è possibile creare una domanda e impostare la risposta corretta.

È possibile aggiungere più domande utilizzando l'icona blu (+) accanto al campo della domanda nelle impostazioni.

Assicurarsi di salvare il modulo al termine delle modifiche.

7. Abilitare i filtri antispam per paese e parole chiave

WPForms consente di bloccare gli invii provenienti da paesi specifici o di rifiutare qualsiasi voce che contenga parole di cui si conosce lo spam.

Per attivare questi filtri su un modulo qualsiasi, apri il modulo nel generatore e clicca su Impostazioni » Protezione antispam e sicurezza.

Spostarsi su Filtro e attivare Abilita filtro paese o Abilita filtro parola chiave.

Utilizzare il menu a tendina per scegliere Consenti o Rifiuta per i paesi selezionati o aggiungere le parole chiave bloccate riga per riga.

Ogni tentativo bloccato viene bloccato prima che raggiunga la posta in arrivo, in modo che gli utenti legittimi non vedano mai un messaggio di errore.

8. Bloccare gli URL all'interno dei campi di testo

Molti spambot sono progettati per distribuire link di phishing attraverso i moduli di contatto. A volte, potrebbe anche esserci una persona reale che invia link dannosi utilizzando i vostri moduli. Come sapete, i CAPTCHA e i token dei moduli non possono fermare un vero spammer umano.

Quindi, se si ricevono link sospetti attraverso il modulo, è meglio bloccare completamente l'invio di URL nei campi del modulo.

È possibile bloccare gli URL nei campi dei moduli aggiungendo uno script PHP. Se volete imparare ad aggiungere snippet di codice ai vostri moduli, consultate questo tutorial sull'aggiunta di PHP personalizzato per WPForms.

Utilizzate lo snippet di codice qui sotto per bloccare gli URL nei campi Testo a riga singola e Testo a paragrafo del vostro modulo.

Una volta aggiunto il codice di cui sopra al vostro modulo, WPForms visualizzerà un errore "Nessun URL consentito" se un utente tenta di inviare un link nei campi di testo.

9. Utilizzare i plugin antispam di WordPress

Esistono diversi potenti plugin antispam per WordPress. La maggior parte di questi plugin funziona analizzando i database di contenuti di spam noti, compresi i modelli di parole che appaiono ripetutamente nello spam, i link comuni, gli indirizzi e-mail e persino gli indirizzi IP di utenti e bot.

Alcuni dei più diffusi strumenti antispam per WordPress sono Akismet e Jetpack. Ricorda che questi plugin agiscono su tutto il sito, quindi non solo limiteranno lo spam nei moduli di contatto, ma ridurranno anche i commenti spam sul tuo blog.

Consigliamo in particolare Akismet, poiché WPForms offre un'integrazione nativa con questo servizio. Una volta attivata, questa integrazione rappresenta un ottimo modo per filtrare lo spam nei moduli di contatto su WordPress. Si noti che il piano gratuito di Akismet è riservato esclusivamente all'uso personale e non commerciale. I siti aziendali e commerciali necessitano invece di un piano Akismet a pagamento. Anche il filtro antispam di Jetpack è una funzionalità a pagamento, disponibile come componente aggiuntivo autonomo o come parte di un piano Jetpack a pagamento.

L'utilizzo di questi plugin WordPress per la prevenzione dello spam, insieme alle altre tecniche illustrate sopra, rafforza la sicurezza complessiva del tuo sito.

10. Bloccare gli indirizzi e-mail degli spammer abituali

Il campo dell'indirizzo e-mail può essere molto utile per filtrare gli spammer umani. Poiché gli spammer umani possono facilmente aggirare i CAPTCHA e i token dei moduli, è necessario disporre di ulteriori garanzie per bloccarli.

Nei casi in cui un sito web riceva frequentemente spam da indirizzi e-mail simili, è opportuno bloccare gli indirizzi e-mail sospetti.

Per bloccare un indirizzo e-mail, fare clic sul campo E-mail in WPForms. Quindi, selezionate la scheda Avanzate nel riquadro di sinistra.

Scorri verso il basso e clicca sul menu a tendina " Lista consentiti/Lista esclusi ", quindi seleziona " Lista esclusi".

Ora è possibile aggiungere gli indirizzi e-mail da cui si desidera bloccare gli invii nella casella sotto l'opzione Denylist. È possibile inserire più indirizzi e-mail separati da virgole.

È possibile utilizzare un asterisco * per bloccare gli indirizzi e-mail con una corrispondenza parziale.

Ad esempio, l'utilizzo di un asterisco prima di un dominio di posta elettronica (come ad esempio *@domain.com) impedirà a tutti gli indirizzi e-mail di quel dominio di inviare candidature.

Oppure è possibile bloccare un indirizzo e-mail che inizia con un determinato nome utente mettendo un asterisco dopo di esso (come ad esempio example*).

Queste regole sono ottime quando si riceve spam da indirizzi e-mail con lo stesso dominio o nome utente.

Assicurati di salvare il modulo dopo aver creato la lista nera.

11. Richiedere la verifica dell'e-mail per i nuovi utenti

Richiedere la verifica tramite e-mail scoraggia gli spammer dall'iscriversi con indirizzi falsi. Qualsiasi utente che non riesca ad accedere al link di verifica non potrà completare la registrazione.

WPForms consente di impostare la verifica dell'e-mail prima che un nuovo utente possa registrare il proprio account.

Per aggiungere la verifica tramite e-mail, clicca su Impostazioni » Registrazione utente nel pannello di sinistra dell'interfaccia di WPForms.

Nota: per accedere a queste impostazioni è necessario il plugin "User Registration " per WPForms. Se non lo possiedi, scopri come creare un modulo di registrazione utente.

Quindi, clicca su " Abilita registrazione utente".

Attivare il pulsante di attivazione dell'utente.

Si aprirà un nuovo menu in cui è possibile selezionare il tipo di attivazione come Email utente.

D'ora in poi, ogni volta che un utente cercherà di registrare il proprio account sul sito, dovrà fornire un indirizzo e-mail valido per ricevere il link di registrazione. In questo modo si eviterà lo spam da parte di utenti con indirizzi e-mail falsi!

12. Lista nera degli indirizzi IP di spam

Il blocco degli indirizzi IP degli spammer non è efficiente come gli altri metodi di questo elenco, perché è facile falsificare un indirizzo IP utilizzando proxy e servizi VPN.

Ma se notate uno schema di spammer ripetuti che ritornano sul vostro sito, potete bloccare il loro indirizzo IP per impedire loro l'accesso all'intero sito WordPress.

Per limitare l'accesso degli utenti in base all'indirizzo IP, vai su Impostazioni » Discussione dalla dashboard di WordPress e inserisci gli indirizzi IP che desideri bloccare nella casella " Chiavi di commento non consentite ". Se devi bloccare più indirizzi IP, assicurati di inserire ogni indirizzo IP su una riga nuova.

Ma come si fa a trovare gli indirizzi IP degli spammer? A tal fine, è necessario aggiungere l'opzione {user_ip} nel contenuto delle notifiche e-mail di WPForms.

Ora, quando si riceve una notifica via e-mail per l'invio di un modulo, il contenuto dell'e-mail includerà l'indirizzo IP dell'utente.

Se notate che le voci di spam provengono da indirizzi IP simili, annotateli e aggiungeteli alla lista di blocco degli IP di WordPress come mostrato sopra.

Nel caso in cui WPForms non vi invii le e-mail, abbiamo una guida dedicata con i passaggi per la risoluzione dei problemi.

Speriamo che questa guida ti abbia aiutato a trovare il metodo giusto per bloccare lo spam nei moduli di contatto sul tuo sito.

Successivamente, applicare le migliori pratiche per la reimpostazione della password via e-mail

Se avete un modulo di reimpostazione della password sul vostro sito, dovrete impostare un'e-mail di reimpostazione della password chiara e sicura. Consultate il nostro articolo sulle migliori pratiche per le e-mail di reimpostazione della password per apprendere importanti suggerimenti.

E se volete migliorare la vostra deliverability delle e-mail, consultate il nostro post sui sottodomini e-mail e sul perché dovreste usarne uno.

Correggete subito le vostre e-mail di WordPress

Siete pronti a sistemare le vostre e-mail? Iniziate oggi stesso con il miglior plugin SMTP per WordPress. Se non avete il tempo di sistemare le vostre e-mail, potete ottenere l'assistenza completa di White Glove Setup come acquisto aggiuntivo e c'è una garanzia di rimborso di 14 giorni per tutti i piani a pagamento.

Se questo articolo vi è stato utile, seguiteci su Facebook e Twitter per altri consigli e tutorial su WordPress.