Come bloccare lo spam dai moduli di contatto in WordPress

Lo spam dai moduli di contatto può far perdere tempo al tuo team, danneggiare la reputazione di invio del tuo dominio ed esporre il tuo sito a link dannosi. Bloccarlo non richiede sforzi manuali.

Questa guida copre 12 tecniche per bloccare lo spam dai moduli di contatto in WordPress, dall'abilitazione della protezione integrata al blocco dei trasgressori abituali per indirizzo email o IP.

Perché lo spam dai moduli di contatto è pericoloso

I moduli di contatto sono bersagli comuni per i programmi di spam dannosi. Ecco alcuni modi in cui gli spambot possono danneggiare il tuo sito abusando dei moduli di contatto:

• Inviare link dannosi: Gli spambot con intenti dannosi possono utilizzare il tuo modulo di contatto per inviare link che potrebbero contenere malware. Se un utente del tuo team clicca sul link, il malware potrebbe infettare l'intera organizzazione, incluso il tuo sito WordPress.
• Problemi di recapito delle email: Ogni invio di modulo genera un'email di notifica. Durante un attacco di spam, il tuo sito può finire per inviare volumi insoliti di posta in breve tempo. Questo può attivare errori di posta indesiderata o di massa e, poiché Gmail e altri provider principali ora rifiutano permanentemente la posta dai mittenti segnalati anziché differirla, può causare danni duraturi alla reputazione di invio del tuo dominio.
• Denial of Service (DoS): Alcuni bot sono molto efficienti nel riempire ripetutamente i tuoi moduli fino al limite. L'obiettivo dei bot DoS è sopraffare il tuo sito web con tonnellate di richieste effettuate in un breve lasso di tempo. Ciò può rallentare il tuo sito, influire sulla funzionalità dei tuoi moduli per gli utenti reali e persino causare un'interruzione del sito.
• Hacking: I programmi automatizzati di attacco brute force possono prendere di mira i siti con moduli di registrazione e accesso utente con l'obiettivo di hackerare gli utenti. Questo è estremamente pericoloso perché può portare a takeover di account, fughe di informazioni e perdite di dati.
• Perdite di produttività: Se il tuo personale di supporto deve filtrare tonnellate di voci di spam, ciò influisce sulla loro capacità di rispondere rapidamente agli utenti reali. L'impatto sulla produttività può danneggiare la reputazione del tuo marchio e tradursi in molte opportunità di conversione perse.

Questi sono alcuni dei modi in cui lo spam può causare molti problemi al tuo sito.

I metodi seguenti coprono i migliori strumenti e tecniche per eliminare lo spam dai moduli di contatto. Lo spam generato dall'IA è aumentato in modo significativo negli ultimi anni, quindi gli approcci più efficaci utilizzano il rilevamento multistrato piuttosto che una singola soluzione CAPTCHA.

Come bloccare lo spam dai moduli di contatto in WordPress

Per combattere con successo lo spam dai moduli di contatto sul tuo sito WordPress, ti consigliamo quanto segue:

Iniziamo.

1. Ottieni un plugin per moduli WordPress con protezione antispam integrata

Il passo più importante che puoi fare per prevenire lo spam dai moduli di contatto in WordPress è utilizzare un plugin che disponga di solide funzionalità integrate di protezione dallo spam.

Ci sono molti plugin per moduli WordPress, ma molti non supportano metodi affidabili anti-spam.

Per la prevenzione automatica dello spam integrata direttamente nel tuo modulo di contatto, consigliamo WPForms.

WPForms è un costruttore di moduli con potenti strumenti integrati per bloccare lo spam dai moduli di contatto, come mostreremo di seguito. Viene inoltre fornito con una varietà di altre utili funzionalità di cui puoi saperne di più nella nostra recensione di WPForms.

Dopo aver installato WPForms, procedi e aggiungi un modulo a una pagina in WordPress. Potrai quindi scegliere tra diversi metodi anti-spam disponibili.

Inizieremo prima con l'opzione più affidabile.

2. Utilizza la moderna protezione antispam di WPForms

WPForms utilizza un approccio multistrato integrato per rilevare e prevenire lo spam. Funziona silenziosamente per impostazione predefinita ed è la nostra migliore alternativa a reCAPTCHA consigliata.

La moderna protezione anti-spam è abilitata per impostazione predefinita in WPForms e funziona silenziosamente in background per combattere lo spam. Puoi accedere alle impostazioni navigando su Impostazioni » Protezione Spam e Sicurezza dalla tua interfaccia visiva di WPForms.

Quindi, assicurati che il pulsante di attivazione accanto a Abilita moderna protezione anti-spam sia attivato.

Quando questa impostazione è attivata, impedirà l'invio di un modulo quando un bot di spam attiva la protezione dallo spam.

Hai anche l'opzione di archiviare le voci di spam nel tuo database WordPress per esaminare le sottomissioni e recuperare facilmente eventuali voci false positive.

L'opzione Abilita tempo minimo per l'invio è anch'essa abilitata per impostazione predefinita e impostata su 2 secondi. Ma puoi cambiare questo tempo minimo a qualsiasi valore desideri. Questa impostazione aiuta a impedire ai bot di inviare il tuo modulo, poiché impedirà le sottomissioni prima del tempo usuale che impiegherebbe un umano per compilare il modulo.

La protezione anti-spam di WPForms è più rispettosa della privacy rispetto alle alternative basate su CAPTCHA e funziona senza interrompere l'esperienza utente.

3. Includi reCAPTCHA

WPForms supporta anche strumenti di prevenzione dello spam di terze parti come reCAPTCHA di Google. Questo è un metodo potente di protezione dallo spam, sebbene la configurazione richieda qualche passaggio in più rispetto all'abilitazione della protezione integrata nel Metodo 2.

Puoi guardare il video per vedere una demo del processo o continuare a leggere per le istruzioni passo passo.

Attualmente, ci sono 3 diversi tipi di reCAPTCHA:

• reCAPTCHA v2 con casella di controllo: Questa versione di reCAPTCHA ha una casella di controllo che un utente deve selezionare per verificare di non essere un bot. Se l'attività dell'utente sembra sospetta, potrebbe chiederti di eseguire un piccolo test di verifica dell'immagine per confermare che sei un utente reale.
• reCAPTCHA v2 invisibile: Con reCAPTCHA invisibile, gli utenti non vedono affatto una casella di controllo. Piuttosto, questo servizio reCAPTCHA analizza il comportamento dell'utente per identificare e bloccare i bot.
• reCAPTCHA v3: Sebbene entrambi i servizi sopra menzionati possano occasionalmente mostrare una sfida immagine, reCAPTCHA v3 funziona completamente in silenzio in background. È uno strumento avanzato di prevenzione dello spam, ma può essere un po' troppo sensibile e bloccare a volte gli utenti umani.

Per aggiungere reCAPTCHA al tuo modulo, apri la tua area di amministrazione di WordPress e vai su WPForms » Impostazioni.

Fai clic sulla scheda CAPTCHA sulla barra orizzontale sotto il logo WPForms.

Questa pagina mostrerà le opzioni CAPTCHA disponibili in WPForms. Seleziona reCAPTCHA.

Ora, seleziona la versione di reCAPTCHA che desideri configurare. Consigliamo Invisible reCAPTCHA v2 per la sua facilità d'uso, ma puoi decidere anche altre opzioni.

Per configurare reCAPTCHA, dovrai ora visitare il sito reCAPTCHA in una nuova scheda del browser e fare clic su Console di amministrazione.

Se richiesto, accedi ora al tuo account Google. Dopo aver effettuato l'accesso, dovrai fornire il nome del dominio del tuo sito per registrarlo e selezionare il tuo reCAPTCHA preferito nella sezione Tipo di reCAPTCHA.

Successivamente, inserisci il nome del dominio del tuo sito web nella sezione Domini. Assicurati di digitare solo la parte che segue https:// nel tuo URL.

Quindi, accetta i Termini di servizio di reCAPTCHA e seleziona le notifiche se desideri ricevere avvisi.

Fai clic su Invia per salvare le impostazioni. Ora vedrai un messaggio che indica che il tuo dominio è stato registrato, con una chiave del sito e una chiave segreta sottostanti.

Passa alla scheda del browser in cui hai aperta la pagina WPForms » Impostazioni e copia e incolla le chiavi del sito e segreta di reCAPTCHA nei campi corrispondenti.

Premi il pulsante Salva impostazioni per completare la configurazione di reCAPTCHA.

Per aggiungere il campo reCAPTCHA al tuo modulo, utilizza semplicemente l'interfaccia drag and drop di WPForms per posizionare il campo sul tuo modulo.

Il tuo modulo mostrerà ora un badge reCAPTCHA nel frontend, indicando che hai aggiunto con successo la prevenzione dello spam reCAPTCHA al tuo modulo.

Successivamente, esamineremo un altro popolare servizio di prevenzione dello spam.

4. Utilizza hCaptcha nel tuo modulo

hCaptcha è molto simile al reCAPTCHA di Google, ma è un servizio di blocco dello spam più rispettoso della privacy. Puoi guardare il video che ti guiderà attraverso il processo o continuare con le istruzioni scritte qui sotto.

Per collegare il servizio hCaptcha con WPForms, vai su WPForms » Impostazioni dalla tua dashboard di WordPress.

Nella pagina delle impostazioni, fai clic sulla scheda CAPTCHA situata sulla barra orizzontale.

Seleziona hCaptcha dalle opzioni disponibili.

Come prima, passa a una nuova scheda del browser e visita hCaptcha per registrarti al servizio.

Nella schermata successiva, scegli un piano hCaptcha. Il piano gratuito funziona perfettamente per i siti piccoli, quindi utilizzeremo quello per questo tutorial.

Dopo aver selezionato il tuo piano, procedi e compila il modulo per creare il tuo account hCaptcha.

Una volta completato il processo di registrazione e effettuato l'accesso alla tua dashboard, fai clic sul pulsante Nuovo sito per procedere.

In alto, puoi inserire un nome per la tua chiave del sito hCaptcha. Quindi scorri verso il basso fino alla sezione Informazioni generali e inserisci il nome del tuo dominio. Premi Aggiungi nuovo dominio quando hai finito.

Scorri verso il basso per trovare le modalità di comportamento di hCaptcha. Puoi scegliere tra diverse modalità a seconda che tu voglia che agli utenti venga sempre presentata una sfida o che il tuo captcha rimanga più passivo.

Successivamente, scorri di nuovo verso il basso fino alla sezione Soglia di superamento. Qui puoi impostare il livello di difficoltà delle sfide captcha.

Nella maggior parte dei casi, il livello di difficoltà Moderato è ragionevolmente efficace nella prevenzione dello spam senza compromettere l'esperienza utente (puoi sempre cambiarlo in seguito, se necessario).

Ora, scorri di nuovo verso l'alto e premi Salva.

Verrai ora portato alla pagina successiva, dove troverai elencati i tuoi siti aggiunti. Fai clic sul pulsante Impostazioni accanto al dominio che hai appena aggiunto.

All'interno delle impostazioni, scorri verso il basso fino alla Chiave del sito e copiala.

Incolla la tua Chiave del sito in un editor di testo come Blocco note per ora. Ne avremo bisogno presto.

Una volta fatto ciò, fai clic sull'icona del tuo profilo in alto a destra e seleziona Impostazioni.

Troverai qui la tua Chiave segreta. Fai clic sul pulsante Copia chiave segreta.

Ora che hai sia la tua Chiave del sito sia la tua Chiave segreta, torna alla pagina delle impostazioni hCaptcha di WPForms e incolla le tue chiavi nei campi appropriati.

Quindi, fai clic su Salva per completare la configurazione di hCaptcha per WPForms.

Ora puoi utilizzare il campo hCaptcha quando crei il tuo modulo utilizzando WPForms.

Dovresti vedere il badge hCaptcha in cima al tuo modulo quando è stato aggiunto con successo.

Il tuo modulo è ora protetto dallo spam da hCaptcha. Se desideri istruzioni più dettagliate, dai un'occhiata alla nostra guida su come aggiungere CAPTCHA al tuo modulo di contatto utilizzando hCaptcha.

5. Utilizza Cloudflare Turnstile

Cloudflare Turnstile è un'alternativa gratuita e rispettosa della privacy a Google reCAPTCHA e hCaptcha. Può funzionare in modo completamente invisibile, quindi i tuoi visitatori non dovranno mai risolvere un puzzle.

Guarda il video o segui i passaggi seguenti per aggiungerlo a qualsiasi modulo WPForms:

Per iniziare, nella tua bacheca di WordPress vai su WPForms » Impostazioni » CAPTCHA e scegli Turnstile dall'elenco dei provider.

Apparirà una coppia di campi chiave vuoti. Ora, apri una nuova scheda, accedi al tuo account Cloudflare e seleziona Turnstile » Aggiungi sito.

Inserisci un nome e il dominio del tuo sito nei campi appropriati.

Successivamente, scegli un tipo di widget (Gestito funziona per la maggior parte dei siti).

Ora, fai clic su Crea per visualizzare la tua Chiave del sito e la tua Chiave segreta.

Copia la Chiave del sito e la Chiave segreta da Cloudflare nei campi corrispondenti di nuovo in Impostazioni WPForms.

Se vuoi, puoi cambiare il messaggio di errore che viene visualizzato quando un utente tenta di inviare il modulo senza completare la sfida di verifica di Cloudflare Turnstile. Puoi anche scegliere lo stile del widget (scegli un tema Chiaro / Scuro / Automatico) e abilitare facoltativamente la Modalità No-Conflict se un altro plugin o tema carica anche Turnstile. Fai clic su Salva Impostazioni.

Ora puoi abilitare Cloudflare Turnstile su qualsiasi modulo. Apri qualsiasi modulo nell'editor. Trascina il campo Turnstile sul tuo modulo oppure vai su Impostazioni » Protezione Antispam e Sicurezza e attiva Abilita Cloudflare Turnstile.

Un piccolo badge Turnstile nell'angolo conferma che è attivo.

6. Utilizza CAPTCHA personalizzato

Siamo grandi fan dei CAPTCHA personalizzati perché sono molto efficaci e non richiedono sfide basate su immagini che a volte possono essere un po' complicate per gli utenti reali.

Gli utenti di WPForms Pro possono ottenere il componente aggiuntivo CAPTCHA personalizzato per includere semplici quiz basati sulla matematica o una domanda e risposta personalizzata nei tuoi moduli per la prevenzione dello spam.

Per configurare il CAPTCHA personalizzato, avvia l'interfaccia di creazione moduli.

Quindi, trova il campo CAPTCHA personalizzato nella sezione Campi Fantasia. Se non hai ancora il componente aggiuntivo CAPTCHA personalizzato, questo campo sarà semi trasparente. Fai clic su di esso e ti verrà richiesto di installare il componente aggiuntivo.

Quando appare un popup, fai clic su Sì, Installa e Attiva per procedere.

L'installazione richiederà solo 2-5 secondi per completarsi. Il popup visualizzerà un messaggio di successo una volta che il componente aggiuntivo CAPTCHA personalizzato è attivo. Fai clic su Sì, Salva e Aggiorna per continuare.

Ora, trascina e rilascia il campo CAPTCHA personalizzato nel tuo modulo. Fai clic sul campo una volta aggiunto al tuo modulo per accedere alle sue impostazioni.

Qui puoi selezionare il tipo di CAPTCHA (matematica o domanda e risposta personalizzata) e aggiungere una descrizione.

Se scegli Matematica, WPForms genererà automaticamente una semplice domanda aritmetica a cui gli utenti dovranno rispondere correttamente. Gli spambot non possono rispondere a queste domande di matematica, motivo per cui questo CAPTCHA personalizzato è una tecnica molto efficace per la prevenzione dello spam nei moduli di contatto.

In alternativa, puoi scegliere Domanda e Risposta come tipo di CAPTCHA. Questo ti consente di creare una domanda e impostare la sua risposta corretta.

Puoi aggiungere più domande utilizzando l'icona blu (+) accanto al campo della domanda nelle impostazioni.

Assicurati di Salvare il tuo modulo dopo aver apportato le modifiche.

7. Abilita filtri antispam per paese e parole chiave

WPForms ti consente di bloccare le richieste provenienti da paesi specifici o di rifiutare qualsiasi voce che contenga parole che sai essere spam.

Per attivare questi filtri per qualsiasi modulo, apri il tuo modulo nell'editor e fai clic su Impostazioni » Protezione Antispam e Sicurezza.

Scorri fino a Filtri e attiva Abilita Filtro Paese o Abilita Filtro Parole Chiave.

Usa il menu a discesa per scegliere Consenti o Nega per i paesi selezionati o aggiungi parole chiave bloccate riga per riga.

Qualsiasi tentativo bloccato viene interrotto prima che raggiunga la tua casella di posta, quindi gli utenti legittimi non vedono mai un messaggio di errore.

8. Blocca URL nei campi di testo

Molti spambot sono progettati per distribuire link di phishing tramite moduli di contatto. A volte, potrebbe esserci persino una persona reale che invia link dannosi utilizzando i tuoi moduli. Come sai, CAPTCHA e token del modulo non possono fermare uno spammer umano reale.

Quindi, se stai ricevendo link sospetti tramite il tuo modulo, potresti voler bloccare completamente l'invio di URL nei campi del tuo modulo.

Puoi bloccare gli URL nei campi del tuo modulo aggiungendo uno script PHP. Se vuoi saperne di più sull'aggiunta di snippet di codice ai tuoi moduli, consulta questo tutorial sull'aggiunta di PHP personalizzato per WPForms.

Utilizza lo snippet di codice seguente per bloccare gli URL nei campi Testo a riga singola e Testo paragrafo del tuo modulo.

Quando hai aggiunto il codice sopra al tuo modulo, WPForms visualizzerà un errore "Nessun URL consentito" se un utente tenta di inviare un link nei tuoi campi di testo.

9. Utilizza plugin antispam per WordPress

Esistono diversi potenti plugin antispam disponibili per WordPress. La maggior parte di questi plugin funziona scansionando database di contenuti spam noti, inclusi modelli di parole che appaiono ripetutamente nello spam, collegamenti comuni, indirizzi email e persino indirizzi IP di utenti e bot.

Alcuni strumenti antispam popolari per WordPress sono Akismet e Jetpack. Ricorda che questi plugin operano su tutto il tuo sito, quindi non solo limiteranno lo spam dei moduli di contatto, ma ridurranno anche i commenti di spam sul tuo blog.

Consigliamo in particolare Akismet, poiché WPForms viene fornito con un'integrazione nativa di Akismet. Quando abilitata, questa integrazione è un ottimo modo per filtrare lo spam dei moduli di contatto in WordPress. Nota che il piano gratuito di Akismet copre solo l'uso personale e non commerciale. Siti aziendali e commerciali necessitano di un piano Akismet a pagamento. Anche il filtro antispam di Jetpack è una funzionalità a pagamento, disponibile come componente aggiuntivo autonomo o come parte di un piano Jetpack a pagamento.

L'utilizzo di questi plugin WordPress per la prevenzione dello spam insieme alle altre tecniche mostrate sopra rafforza la sicurezza generale del tuo sito.

10. Blocca gli indirizzi email dei mittenti di spam abituali

Il campo dell'indirizzo email può essere molto utile quando si tratta di filtrare gli spammer umani. Poiché gli spammer umani possono facilmente aggirare CAPTCHA e token del modulo, sono necessarie ulteriori misure di sicurezza per bloccarli.

Nei casi in cui un sito web riceve frequentemente spam da indirizzi email simili, bloccare gli indirizzi email sospetti è la soluzione.

Per bloccare un indirizzo email, fai clic sul campo Email in WPForms. Quindi, seleziona la scheda Avanzate nel riquadro di sinistra.

Scorri verso il basso e fai clic sul menu a discesa Allowlist / Denylist, quindi seleziona Denylist.

Ora puoi aggiungere gli indirizzi email da cui desideri bloccare le richieste nella casella sotto l'opzione Denylist. Puoi inserire più indirizzi email separati da virgole.

Puoi usare un asterisco * per bloccare indirizzi email con una corrispondenza parziale.

Ad esempio, utilizzando un asterisco prima di un dominio email (come *@dominio.com) limiterà tutti gli indirizzi email di quel dominio dall'invio di voci.

Oppure puoi anche bloccare un indirizzo email che inizia con un nome utente specifico, inserendo un asterisco dopo di esso (come example*).

Queste regole sono ottime quando ricevi spam da indirizzi email dello stesso dominio o nome utente.

Assicurati di Salvare il tuo modulo dopo aver creato la tua blocklist.

11. Richiedi la verifica dell'email per i nuovi utenti

Richiedere la verifica dell'email scoraggia gli spammer dall'iscriversi con indirizzi falsi. Qualsiasi utente che non può accedere al link di verifica non sarà in grado di completare la registrazione.

WPForms ti consente di impostare la verifica dell'email prima che un nuovo utente possa registrare il proprio account.

Per aggiungere la verifica dell'email, fai clic su Impostazioni » Registrazione utente dal pannello di sinistra nell'interfaccia di WPForms.

Nota: Avrai bisogno dell'addon Registrazione utente per WPForms per accedere a queste impostazioni. Se non lo hai, consulta come creare un modulo di registrazione utente.

Quindi, fai clic su Abilita registrazione utente.

Attiva il pulsante di attivazione Abilita attivazione utente.

Questo espanderà un nuovo menu in cui puoi selezionare il tuo tipo di attivazione come Email utente.

Ora, ogni volta che un utente tenta di registrare il proprio account sul tuo sito, dovrà fornire un indirizzo email valido per ricevere un link di registrazione. Ciò significa niente spam da utenti con email false!

12. Metti nell'elenco di blocco gli indirizzi IP di spam

Bloccare gli indirizzi IP degli spammer non è efficiente come altri metodi in questo elenco perché è facile falsificare un indirizzo IP utilizzando servizi proxy e VPN.

Ma se noti un modello di spammer ripetuti che tornano sul tuo sito, puoi bloccare il loro indirizzo IP per negare loro l'accesso all'intero sito WordPress.

Per limitare gli utenti per indirizzo IP, vai su Impostazioni » Discussione dalla tua dashboard di WordPress e inserisci gli indirizzi IP che desideri bloccare nella casella Chiavi commenti non consentiti. Se hai più indirizzi IP da bloccare, assicurati di aggiungere ogni indirizzo IP su una nuova riga.

Ma come farai a trovare gli indirizzi IP degli spammer in primo luogo? Per questo, dovrai aggiungere il tag intelligente {user_ip} nel contenuto delle notifiche email di WPForms.

Ora, quando ricevi una notifica email per l'invio di un modulo, includerà il loro indirizzo IP nel contenuto dell'email.

Se noti che le voci di spam provengono da indirizzi IP simili, annotale semplicemente e aggiungile alla blocklist IP di WordPress come mostrato sopra.

Nel caso in cui WPForms non invii email, abbiamo una guida dedicata con passaggi per la risoluzione dei problemi.

Speriamo che questa guida ti abbia aiutato a trovare l'approccio giusto per fermare lo spam dei moduli di contatto sul tuo sito.

Successivamente, Applica le migliori pratiche per le email di reimpostazione password

Se hai un modulo di reimpostazione password sul tuo sito, dovrai impostare un'email di reimpostazione password chiara e sicura. Dai un'occhiata al nostro articolo sulle migliori pratiche per le email di reimpostazione password per imparare suggerimenti importanti.

E se desideri migliorare la tua deliverability delle email, consulta il nostro post su sottodomini email e perché dovresti usarne uno.

Correggi subito le tue email WordPress

Pronto a risolvere i tuoi problemi di posta elettronica? Inizia oggi stesso con il miglior plugin SMTP per WordPress. Se non hai tempo per risolvere i tuoi problemi di posta elettronica, puoi ottenere assistenza completa per la configurazione White Glove come acquisto aggiuntivo, e c'è una garanzia di rimborso di 14 giorni per tutti i piani a pagamento.

Se questo articolo ti è stato d'aiuto, seguici su Facebook e Twitter per altri suggerimenti e tutorial su WordPress.