Como Impedir Spam em Formulários de Contacto no WordPress

O spam em formulários de contacto pode desperdiçar o tempo da sua equipa, prejudicar a reputação de envio do seu domínio e expor o seu site a links maliciosos. Bloqueá-lo não requer esforço manual.

Este guia abrange 12 técnicas para impedir spam em formulários de contacto no WordPress, desde ativar a proteção integrada até bloquear infratores recorrentes por endereço de e-mail ou IP.

Por Que o Spam em Formulários de Contacto é Perigoso

Os formulários de contacto são alvos comuns para programas de spam maliciosos. Eis algumas formas como os spambots podem prejudicar o seu site abusando dos formulários de contacto:

• Submeter links prejudiciais: Spambots com intenções maliciosas podem usar o seu formulário de contacto para submeter links que podem conter malware. Se algum membro da sua equipa clicar no link, o malware poderá infetar toda a sua organização, incluindo o seu site WordPress.
• Problemas de entregabilidade de e-mail: Cada submissão de formulário gera um e-mail de notificação. Durante um ataque de spam, o seu site pode acabar por enviar volumes invulgares de correio num curto espaço de tempo. Isto pode desencadear erros de e-mail não solicitado ou em massa e, como o Gmail e outros grandes fornecedores agora rejeitam permanentemente o correio de remetentes sinalizados em vez de o adiar, pode causar danos duradouros à reputação de envio do seu domínio.
• Negação de Serviço (DoS): Alguns bots são altamente eficientes a preencher repetidamente os seus formulários até ao limite. O objetivo dos bots DoS é sobrecarregar o seu site com toneladas de pedidos feitos num curto espaço de tempo. Isto pode abrandar o seu site, afetar a funcionalidade do seu formulário para utilizadores reais e até mesmo causar uma interrupção do site.
• Hacking: Programas automatizados de ataque de força bruta podem visar sites com formulários de registo e login de utilizadores com o objetivo de fazer hacking de utilizadores. Isto é extremamente perigoso porque pode levar a tomadas de conta, fugas de informação e perdas de dados.
• Perdas de produtividade: Se a sua equipa de suporte tiver de filtrar toneladas de entradas de spam, isso afeta a sua capacidade de responder rapidamente a utilizadores reais. O impacto na produtividade pode prejudicar a reputação da sua marca e traduzir-se em muitas oportunidades perdidas de conversão.

Estas são algumas das formas como o spam pode causar muitos problemas ao seu site.

Os métodos abaixo cobrem as melhores ferramentas e técnicas para se livrar do spam em formulários de contacto. As submissões de spam geradas por IA aumentaram significativamente nos últimos anos, pelo que as abordagens mais eficazes utilizam deteção em várias camadas em vez de uma única solução CAPTCHA.

Como Impedir Spam em Formulários de Contacto no WordPress

Para combater com sucesso o spam em formulários de contacto no seu site WordPress, recomendamos o seguinte:

Vamos a isso.

1. Obtenha um Plugin de Formulários WordPress com Proteção Contra Spam Integrada

O passo mais importante que pode dar para prevenir spam em formulários de contacto no WordPress é usar um plugin que tenha funcionalidades robustas de proteção contra spam incorporadas.

Existem muitos plugins de formulários para WordPress, mas muitos não suportam métodos fiáveis anti-spam.

Para prevenção de spam automatizada integrada diretamente no seu formulário de contacto, recomendamos o WPForms.

WPForms é um construtor de formulários com ferramentas robustas integradas para bloquear spam em formulários de contacto, como demonstraremos abaixo. Também vem com uma variedade de outras funcionalidades úteis sobre as quais pode saber mais na nossa análise do WPForms.

Depois de instalar o WPForms, prossiga e adicione um formulário a uma página no WordPress. Poderá então escolher entre vários métodos anti-spam disponíveis.

Começaremos pela opção mais fiável.

2. Utilize a Proteção Moderna Contra Spam do WPForms

O WPForms utiliza uma abordagem multicamadas integrada para detetar e prevenir spam. Funciona silenciosamente por defeito e é a nossa principal alternativa recomendada ao reCAPTCHA.

A proteção moderna contra spam está ativada por defeito no WPForms e funciona silenciosamente em segundo plano para combater o spam. Pode aceder às definições navegando para Definições » Proteção contra Spam e Segurança na sua interface visual do WPForms.

Em seguida, certifique-se de que o botão de alternância ao lado de Ativar proteção moderna contra spam está ativado.

Quando esta definição estiver ativada, impedirá o envio de um formulário quando um bot de spam acionar a proteção contra spam.

Tem também a opção de armazenar entradas de spam na sua base de dados WordPress para rever submissões e recuperar facilmente quaisquer entradas de falsos positivos.

A opção Ativar tempo mínimo para submeter também está ativada por defeito e definida para 2 segundos. Mas pode alterar este tempo mínimo para qualquer valor que desejar. Esta definição ajuda a impedir que bots enviem o seu formulário, pois evitará submissões antes do tempo habitual que um humano levaria para preencher o formulário.

A proteção contra spam do WPForms é mais amiga da privacidade do que alternativas baseadas em CAPTCHA e funciona sem interromper a experiência do utilizador.

3. Inclua reCAPTCHA

O WPForms também suporta ferramentas de prevenção de spam de terceiros como o reCAPTCHA do Google. Este é um método poderoso de proteção contra spam, embora a configuração exija alguns passos adicionais em comparação com a ativação da proteção integrada no Método 2.

Pode ver o vídeo para uma demonstração do processo ou continuar a ler para instruções passo a passo.

Atualmente, existem 3 tipos diferentes de reCAPTCHA:

• reCAPTCHA v2 de caixa de verificação: Esta versão do reCAPTCHA tem uma caixa de verificação que um utilizador deve clicar para verificar que não é um bot. Se a atividade do utilizador parecer suspeita, pode pedir-lhe para realizar um pequeno teste de verificação de imagem para confirmar que é um utilizador real.
• reCAPTCHA v2 invisível: Com o reCAPTCHA invisível, os utilizadores não veem qualquer caixa de verificação. Em vez disso, este serviço reCAPTCHA analisa o comportamento do utilizador para identificar e bloquear bots.
• reCAPTCHA v3: Embora ambos os serviços acima possam ocasionalmente apresentar um desafio de imagem, o reCAPTCHA v3 funciona completamente em silêncio em segundo plano. É uma ferramenta avançada de prevenção de spam, mas pode ser um pouco sensível demais e bloquear utilizadores humanos às vezes.

Para adicionar o reCAPTCHA ao seu formulário, abra a sua área de administração do WordPress e vá para WPForms » Definições.

Clique no separador CAPTCHA na barra horizontal abaixo do logótipo do WPForms.

Esta página mostrará as opções de CAPTCHA disponíveis no WPForms. Selecione reCAPTCHA.

Agora, selecione a versão do reCAPTCHA que gostaria de configurar. Recomendamos o reCAPTCHA v2 Invisível pela sua facilidade de uso, mas pode optar por outras opções também.

Para configurar o reCAPTCHA, terá agora de visitar o site do reCAPTCHA num novo separador do navegador e clicar em Console de Administração.

Se solicitado, inicie sessão na sua conta Google agora. Após o início de sessão, terá de fornecer o nome de domínio do seu site para o registar e selecionar o seu reCAPTCHA preferido na secção Tipo de reCAPTCHA.

Em seguida, introduza o nome de domínio do seu site em Domínios. Certifique-se de que digita apenas a parte que vem depois de https:// no seu URL.

Depois, aceite os Termos de Serviço do reCAPTCHA e marque os alertas se desejar receber notificações.

Clique em Submeter para guardar as definições. Verá agora uma mensagem a dizer que o seu domínio foi registado, com uma chave de site e uma chave secreta por baixo.

Mude para o separador do navegador onde tem a página WPForms » Definições aberta e copie e cole as chaves de site e secreta do reCAPTCHA nos campos correspondentes.

Pressione o botão Guardar Definições para finalizar a configuração do seu reCAPTCHA.

Para adicionar o campo reCAPTCHA ao seu formulário, basta usar a interface de arrastar e soltar do WPForms para colocar o campo no seu formulário.

O seu formulário exibirá agora um distintivo reCAPTCHA no frontend, indicando que adicionou com sucesso a prevenção de spam reCAPTCHA ao seu formulário.

Em seguida, analisaremos outro serviço popular de prevenção de spam.

4. Utilize hCaptcha no Seu Formulário

O hCaptcha é muito semelhante ao reCAPTCHA do Google, mas é um serviço de bloqueio de spam mais amigo da privacidade. Pode ver o vídeo para o guiar através do processo ou continuar com as instruções escritas abaixo.

Para conectar o serviço hCaptcha ao WPForms, dirija-se a WPForms » Definições a partir do seu painel WordPress.

Na página de definições, clique no separador CAPTCHA localizado na barra horizontal.

Selecione hCaptcha das opções disponíveis.

Como antes, mude para um novo separador do navegador e visite o hCaptcha para se inscrever no serviço.

No ecrã seguinte, escolha um plano hCaptcha. O plano gratuito funciona perfeitamente para sites pequenos, por isso vamos usá-lo para este tutorial.

Depois de ter selecionado o seu plano, prossiga e preencha o formulário para criar a sua conta hCaptcha.

Quando terminar o processo de registo e iniciar sessão no seu painel, clique no botão Novo Site para continuar.

No topo, pode introduzir um nome para a sua chave de site hCaptcha. Em seguida, navegue para baixo até à secção Informações Gerais e introduza o nome do seu domínio. Pressione Adicionar Novo Domínio quando terminar.

Navegue para baixo para encontrar os modos de comportamento do hCaptcha. Pode escolher entre diferentes modos, dependendo se pretende que os utilizadores sejam sempre apresentados com um desafio ou se prefere que o seu captcha seja mais passivo.

Em seguida, navegue novamente para baixo até à secção Limiar de Aprovação. Aqui, pode definir o nível de dificuldade dos desafios do captcha.

Na maioria dos casos, o nível de dificuldade Moderado é razoavelmente eficaz na prevenção de spam sem comprometer a experiência do utilizador (pode sempre alterá-lo mais tarde, se necessário).

Agora, volte ao topo e pressione Guardar.

Será levado para a página seguinte, onde encontrará os seus sites adicionados listados. Clique no botão Definições ao lado do domínio que acabou de adicionar.

Dentro das definições, navegue para baixo até à Chave do Site e Copie-a.

Cole a sua Chave do Site num editor de texto como o Bloco de Notas por agora. Precisaremos dela em breve.

Quando tiver feito isso, clique no ícone do seu perfil no canto superior direito e selecione Definições.

Encontrará a sua Chave Secreta aqui. Clique no botão Copiar Chave Secreta.

Agora que tem a sua Chave do Site e a sua Chave Secreta, regresse à página de definições hCaptcha do WPForms e cole as suas chaves nos campos apropriados.

Em seguida, clique em Guardar para concluir a configuração do hCaptcha para o WPForms.

Agora, pode usar o campo hCaptcha ao construir o seu formulário usando o WPForms.

Deverá ver o distintivo hCaptcha no topo do seu formulário quando este for adicionado com sucesso.

O seu formulário está agora protegido contra spam pelo hCaptcha. Se desejar instruções mais detalhadas, consulte o nosso guia sobre adicionar CAPTCHA ao seu formulário de contacto usando hCaptcha.

5. Utilize o Cloudflare Turnstile

O Cloudflare Turnstile é uma alternativa gratuita e focada na privacidade ao Google reCAPTCHA e hCaptcha. Pode funcionar de forma totalmente invisível, para que os seus visitantes nunca tenham de resolver um puzzle.

Veja o vídeo ou siga os passos abaixo para o adicionar a qualquer formulário WPForms:

Para começar, no seu painel WordPress vá a WPForms » Definições » CAPTCHA e escolha Turnstile na lista de fornecedores.

Aparecerá um par de campos de chave vazios. Agora, abra um novo separador, inicie sessão na sua conta Cloudflare e selecione Turnstile » Adicionar site.

Introduza um nome e o domínio do seu site nos campos apropriados.

Em seguida, escolha um tipo de widget (Gerido funciona para a maioria dos sites).

Agora, clique em Criar para revelar a sua Chave do Site e Chave Secreta.

Copie a Chave do Site e a Chave Secreta do Cloudflare para os campos correspondentes de volta nas Definições do WPForms.

Se desejar, pode alterar a mensagem de falha que é exibida quando um utilizador tenta submeter o formulário sem completar o desafio de verificação do Cloudflare Turnstile. Pode também escolher o estilo do widget (selecione um tema Claro / Escuro / Automático) e, opcionalmente, ativar o Modo Sem Conflitos se outro plugin ou tema também carregar o Turnstile. Clique em Guardar Definições.

Pode agora ativar o Cloudflare Turnstile em qualquer formulário. Abra qualquer formulário no construtor. Arraste o campo Turnstile para o seu formulário ou vá a Definições » Proteção contra Spam e Segurança e ative Ativar Cloudflare Turnstile.

Um pequeno distintivo do Turnstile num canto confirma que está ativo.

6. Utilize CAPTCHA Personalizado

Somos grandes fãs do CAPTCHA Personalizado porque é muito eficaz e não requer desafios baseados em imagens que, por vezes, podem ser um pouco complicados para utilizadores reais.

Os utilizadores do WPForms Pro podem obter o addon CAPTCHA Personalizado para incluir quizzes simples baseados em matemática ou uma pergunta e resposta personalizadas nos seus formulários para prevenção de spam.

Para configurar o CAPTCHA Personalizado, inicie a interface do construtor de formulários.

Em seguida, localize o campo CAPTCHA Personalizado na secção Campos Elaborados. Se ainda não tem o addon CAPTCHA Personalizado, este campo estará semitransparente. Clique nele e ser-lhe-á pedido para instalar o addon.

Quando aparecer uma janela pop-up, clique em Sim, Instalar e Ativar para prosseguir.

A instalação demorará apenas 2-5 segundos a concluir. A janela pop-up exibirá uma mensagem de sucesso assim que o addon CAPTCHA Personalizado estiver ativo. Clique em Sim, Guardar e Atualizar para continuar.

Agora, arraste e solte o campo CAPTCHA Personalizado no seu formulário. Clique no campo assim que for adicionado ao seu formulário para aceder às suas definições.

Aqui, pode selecionar o tipo de CAPTCHA (matemática ou pergunta e resposta personalizadas) e adicionar uma descrição.

Se escolher Matemática, o WPForms gerará automaticamente uma questão aritmética simples à qual os utilizadores devem responder corretamente. Os spambots não conseguem responder a estas questões de matemática, razão pela qual este CAPTCHA Personalizado é uma técnica muito eficaz de prevenção de spam em formulários de contacto.

Alternativamente, pode escolher Pergunta e Resposta como o seu tipo de CAPTCHA. Isto permite-lhe criar uma pergunta e definir a sua resposta correta.

Pode adicionar várias perguntas utilizando o ícone azul (+) ao lado do campo de pergunta nas definições.

Certifique-se de que Guarda o seu formulário depois de terminar de fazer alterações.

7. Ative Filtros de Spam por País e Palavra-chave

O WPForms permite-lhe bloquear submissões de países específicos ou rejeitar qualquer entrada que contenha palavras que saiba serem spam.

Para ativar estes filtros em qualquer formulário, abra o seu formulário no construtor e clique em Definições » Proteção contra Spam e Segurança.

Desloque-se até Filtragem e ative Ativar Filtro de País ou Ativar Filtro de Palavras-chave.

Use o menu suspenso para escolher Permitir ou Negar para países selecionados ou adicione palavras-chave bloqueadas linha a linha.

Qualquer tentativa bloqueada é interrompida antes de chegar à sua caixa de entrada, pelo que os utilizadores legítimos nunca veem uma mensagem de erro.

8. Bloqueie URLs em Campos de Texto

Muitos spambots são concebidos para distribuir links de phishing através de formulários de contacto. Por vezes, pode haver até uma pessoa real a submeter links maliciosos usando os seus formulários. Como sabe, CAPTCHA e tokens de formulário não conseguem impedir um spammer humano real.

Portanto, se está a receber links suspeitos através do seu formulário, pode querer bloquear totalmente as submissões de URLs nos campos do seu formulário.

Pode bloquear URLs nos seus campos de formulário adicionando um script PHP. Se quiser saber mais sobre como adicionar snippets de código aos seus formulários, consulte este tutorial sobre como adicionar PHP personalizado para WPForms.

Use o snippet de código abaixo para bloquear URLs nos campos Texto de Linha Única e Texto de Parágrafo do seu formulário.

Quando tiver adicionado o código acima ao seu formulário, o WPForms exibirá um erro "Não são permitidos URLs" se um utilizador tentar submeter um link nos seus campos de texto.

9. Utilize Plugins Antispam para WordPress

Existem vários plugins antispam poderosos disponíveis para WordPress. A maioria destes plugins funciona através da análise de bases de dados de conteúdo de spam conhecido, incluindo padrões de palavras que aparecem repetidamente em spam, links comuns, endereços de e-mail e até endereços IP de utilizadores e bots.

Algumas ferramentas populares de antispam para WordPress são Akismet e Jetpack. Lembre-se que estes plugins operam em todo o seu site, pelo que não só limitarão o spam nos formulários de contacto, como também reduzirão os comentários de spam no seu blog.

Recomendamos particularmente o Akismet, pois o WPForms vem com uma integração nativa do Akismet. Quando ativada, esta integração é uma excelente forma de filtrar spam de formulários de contacto no WordPress. Note que o plano gratuito do Akismet cobre apenas uso pessoal e não comercial. Sites empresariais e comerciais necessitam de um plano pago do Akismet. A filtragem de spam do Jetpack é também uma funcionalidade paga, disponível como um add-on autónomo ou como parte de um plano pago do Jetpack.

Utilizar estes plugins de prevenção de spam para WordPress juntamente com as outras técnicas mostradas acima fortalece a segurança geral do seu site.

10. Bloqueie Endereços de E-mail de Spammers Recorrentes

O campo de endereço de e-mail pode ser bastante útil quando se trata de filtrar spammers humanos. Como os spammers humanos podem facilmente contornar CAPTCHA e tokens de formulário, necessita de salvaguardas adicionais para os bloquear.

Em casos onde um website está frequentemente a receber spam de endereços de e-mail semelhantes, bloquear endereços de e-mail suspeitos é o caminho a seguir.

Para bloquear um endereço de e-mail, clique no campo E-mail no WPForms. Em seguida, selecione o separador Avançado no painel esquerdo.

Desloque-se para baixo e clique no menu suspenso Lista de Permissões / Lista Negra, depois selecione Lista Negra.

Agora pode adicionar endereços de e-mail dos quais deseja bloquear submissões na caixa abaixo da opção Lista Negra. Pode introduzir múltiplos endereços de e-mail separados por vírgulas.

Pode usar um asterisco * para bloquear endereços de e-mail com uma correspondência parcial.

Por exemplo, usar um asterisco antes de um domínio de e-mail (como *@domain.com) restringirá todos os endereços de e-mail desse domínio de submeter entradas.

Ou pode também bloquear um endereço de e-mail que comece com um nome de utilizador específico, colocando um asterisco depois dele (como exemplo*).

Estas regras são ótimas quando recebe spam de endereços de e-mail do mesmo domínio ou nome de utilizador.

Certifique-se de que Guarda o seu formulário depois de criar a sua lista de bloqueio.

11. Exija Verificação de E-mail para Novos Utilizadores

Exigir a verificação de e-mail desencoraja os spammers de se inscreverem com endereços falsos. Qualquer utilizador que não consiga aceder à ligação de verificação não poderá concluir o registo.

O WPForms permite-lhe configurar a verificação de e-mail antes que um novo utilizador possa registar a sua conta.

Para adicionar a verificação de e-mail, clique em Definições » Registo de Utilizador no painel esquerdo da interface do WPForms.

Nota: Precisará do Add-on de Registo de Utilizador para o WPForms para aceder a estas definições. Se não o tiver, consulte como criar um formulário de registo de utilizador.

Em seguida, clique em Ativar Registo de Utilizador.

Ative o botão de alternância Ativar Ativação de Utilizador.

Isto expandirá um novo menu onde pode selecionar o seu tipo de ativação como E-mail do Utilizador.

Agora, sempre que um utilizador tentar registar a sua conta no seu site, terá de fornecer um endereço de e-mail válido para receber uma ligação de registo. Ou seja, sem spam de utilizadores com e-mails falsos!

12. Coloque Endereços IP Spam na Lista Negra

Bloquear os endereços IP de spammers não é tão eficiente como outros métodos nesta lista, porque é fácil falsificar um endereço IP usando serviços de proxy e VPN.

Mas se notar um padrão de spammers repetidos a regressar ao seu site, pode bloquear o endereço IP deles para lhes negar o acesso a todo o seu site WordPress.

Para restringir utilizadores por endereço IP, vá a Definições » Discussão no seu painel WordPress e introduza os endereços IP que deseja bloquear na caixa Chaves de Comentários Não Permitidos. Se tiver vários endereços IP para bloquear, certifique-se de adicionar cada endereço IP numa nova linha.

Mas como vai encontrar os endereços IP de spammers em primeiro lugar? Para isso, precisará de adicionar a tag inteligente {user_ip} no conteúdo das suas notificações de e-mail do WPForms.

Agora, quando receber uma notificação por e-mail para o envio de um formulário, esta incluirá o endereço IP deles no conteúdo do e-mail.

Se notar que as entradas de spam vêm de endereços IP semelhantes, anote-os simplesmente e adicione-os à lista de bloqueio de IP do WordPress, como mostrado acima.

Caso o WPForms não esteja a enviar e-mails para si, temos um guia dedicado com passos de resolução de problemas.

Esperamos que este guia o tenha ajudado a encontrar a abordagem certa para parar o spam de formulários de contacto no seu site.

Em seguida, Aplique as Melhores Práticas de E-mail de Redefinição de Palavra-passe

Se tiver um formulário de redefinição de palavra-passe no seu site, terá de configurar um e-mail de redefinição de palavra-passe claro e seguro com ele. Consulte o nosso artigo sobre melhores práticas de e-mail de redefinição de palavra-passe para aprender dicas importantes.

E se desejar melhorar a sua entregabilidade de e-mail, consulte a nossa publicação sobre subdomínio de e-mail e porque deve usar um.

Corrija os Seus Emails do WordPress Agora

Pronto para corrigir os seus emails? Comece hoje mesmo com o melhor plugin SMTP para WordPress. Se não tem tempo para corrigir os seus emails, pode obter assistência completa de Configuração White Glove como compra adicional, e existe uma garantia de reembolso de 14 dias para todos os planos pagos.

Se este artigo o ajudou, por favor siga-nos no Facebook e Twitter para mais dicas e tutoriais do WordPress.