Indice

Antispam WordPress

Gestire correttamente lo spam su WordPress è fondamentale non solo per garantire una buona User Experience, aumentare i livelli di sicurezza del sito, evitare di ritrovarsi con la casella di posta elettronica intasata e evitare penalizzazioni da parte dei motori di ricerca.Le pratiche che possono essere messe in atto sono numerose e vanno dall’utilizzo delle funzioni di base presenti nella dashboard del CMS all’installazione di plugin antispam. Di grande utilità risultano inoltre i CAPTCHA, in particolare nella loro più attuale versione invisible reCAPTCHA, e i Turnstile.Di seguito verranno presentati i principali metodi per gestire adeguatamente lo spam, con particolare attenzione all’integrazione su WordPress di reCAPTCHA e Turnstile.

WordPress e la gestione dello spam: i primi passi

Per gestire lo spam su WordPress è necessario, in primo luogo, mantenere sempre aggiornati alle versioni più recenti il CMS, i temi e i plugin. Il passo successivo consiste nella gestione dello spam nei commenti attraverso alcune funzioni già incluse nella dashboard di WP.Per accedere a queste funzioni, effettuare il login, quindi fare click su “Impostazioni / Discussione”. Si aprirà la seguente schermata:

Le impostazioni più utili per controllare lo spam sono le seguenti:

“Gli utenti devono essere registrati e collegati per commentare”: la limitazione dei privilegi di commento ai soli utenti registrati riduce lo spam proveniente da utenti non autorizzati:
“Il commento deve essere approvato manualmente”: offre un controllo diretto su tutti i commenti, in quanto, prima di essere pubblicati, devono essere approvati da un moderatore;
“Moderazione commenti”: questa sezione consente di limitare il numero di link che possono essere inseriti nei commenti e di creare una blacklist di parole proibite o indirizzi IP. I commenti che non rispettano le regole stabilite vengono inseriti nella coda di moderazione:
“Parole non ammesse nei commenti”: anche in questo caso si crea una blacklist di termini e indirizzi IP, ma i commenti che li contengono, anziché essere inviati alla coda di moderazione, vengono cestinati.

Laddove lo si ritenesse opportuno, sarebbe inoltre possibile bloccare i commenti:

per tutti gli articoli: deselezionare l’opzione “Permetti l’invio di commenti per i nuovi articoli”
per singoli articoli: in questo caso, è necessario agire direttamente nella pagina dell’articolo per il quale non si vogliono ricevere commenti, cliccando su “Articolo / Discussione” ed eliminando la spunta di fianco a “Permetti di commentare”.

Ulteriori limitazioni possono essere inserite direttamente nel file .htaccess. Per fare questo, aprire il file tramite FTP o Pannello di Controllo, e digitare quanto segue:

Inserire, al posto di “TuoDominio” il nome del proprio dominio, quindi salvare e chiudere.

Bloccare lo spam con Akismet o altri plugin antispam

In molti casi, le funzioni di base fornite da WP non sono sufficienti per gestire in modo ottimale e completo lo spam. Per avere a disposizione funzioni e opzioni aggiuntive, che consentano di gestire non solo lo spam dei commenti, ma anche quello derivante da altre tipologie di form, è necessario installare dei plugin.Tra i plugin antispam più noti e utilizzati rientrano Antispam Bee – personalizzabile, gratuito, non necessita di chiave API – e Antispam Protection di CleanTalk - a pagamento, consente di tenere sotto controllo lo spam di commenti, registrazioni, contatti e-mail, prenotazioni, widget e altro ancora.Il più utilizzato in assoluto è però Akismet, già presente nelle installazioni WordPress e pronto per essere attivato.

Il suo funzionamento è molto semplice e non interrompe l’attività degli utenti, in quanto si occupa di:

analizzare tutti i commenti e i moduli di contatto inviati dagli utenti
confrontarli con quelli presenti in un grande database
contrassegnare come spam quelli sospetti.

I commenti segnalati non vengono pubblicati, ma nemmeno cestinati; i moderatori possono controllarli e approvarli manualmente in qualsiasi momento.Per utilizzare questo antispam, andare nella sezione plugin della dashboard di WordPress per attivarlo. Dopo l’attivazione, compare questa schermata:

Akismet, per funzionare, richiede una API key, gratuita per siti a uso personale e a pagamento, con diverse fasce di prezzo, per siti aziendali e commerciali. La chiave può essere creata sul sito ufficiale di Akismet.

Utilizzare i CAPTCHA per tenere sotto controllo lo spam

L’integrazione dei CAPTCHA - “Completely Automated Public Turing test to tell Computers and Humans Apart” - nei moduli online destinati alla registrazione sul sito o all’invio di email, commenti, risposte a sondaggi eccetera permette di evitare i tentativi di spam e di hackeraggio che fanno uso di bot, proteggendo dunque non solo dallo spam nei commenti o nelle email, ma anche da attacchi ransomware, DDoS e di dizionario, e concorrenza sleale.Il primo CAPTCHA propriamente detto è stato creato nel 2003. Basato sull’idea di fondo del test di Turing, si presenta fin dall’inizio come una piccola sfida che può essere facilmente completata da un essere umano, ma che non può essere superata da un comune bot. La sfida può assumere varie forme, ma la più nota è quella che presenta un testo deformato e chiede di digitarlo in una casella.Nel corso del tempo, il CAPTCHA si è evoluto e ha subito varie modifiche, in linea, da un lato, con la crescente esigenza di aumentare l’accessibilità dei siti web e di migliorare la User Experience e, dall’altro, con l’evoluzione dei bot, i quali oggi, anche grazie all’intelligenza artificiale, sono in grado di superare alcuni dei più comuni test CAPTCHA.

Dal CAPTCHA al reCAPTCHA

Nel 2008 ha fatto la sua comparsa il primo reCAPTCHA, il quale presentava due parole accostate e comprensibili. Successivamente acquistato da Google, il sistema è stato via via migliorato e ha iniziato a fare uso di testi scansionati e fotografie prima e dell’analisi delle interazioni del browser poi. Da questo momento in avanti, vedono la luce sistemi che richiedono all’utente di effettuare sempre meno azioni:

il reCAPTCHA v2 “I’m not a robot” checkbox: l’utente a basso rischio deve semplicemente checkare una casella e il sistema si occupa di valutarne il comportamento e di stabilire se si tratti effettivamente di un umano. In caso di utente a rischio, può essere presentato un CAPTCHA tradizionale;
l’invisible reCAPTCHA v2: all’utente a basso rischio non viene richiesta nessuna interazione. In caso di comportamenti anomali, viene presentato, anche in questo caso, un test classico;
il reCAPTCHA v3: distribuito a partire dal 2018, è anch’esso una sorta di reCAPTCHA invisibile, ma ulteriormente potenziato, in quanto
- attribuisce agli utenti dei punteggi in base a tutte le azioni da essi compiute sul sito
- offre al gestore del sito la possibilità di controllare i punteggi e di modificare la soglia al di sotto della quale gli utenti devono dimostrare di non essere un robot.

Come includere un reCAPTCHA nel proprio sito WordPress

Per utilizzare un reCAPTCHA di Google, è necessario, per prima cosa, ottenere una chiave API.Ecco i semplici passaggi da seguire:

andare sul sito ufficiale di Google reCAPTCHA
effettuare il login all’account Google.

Si aprirà la seguente schermata:

Inserire i dati richiesti e scegliere il tipo di reCAPTCHA che si desidera utilizzare.

Accettare i termini di servizio e premere il pulsante “Invio”. Nella pagina seguente verranno visualizzate due chiavi: la chiave del sito e la chiave segreta.

reCAPTCHA v2 e reCAPTCHA v3: integrarli nel sito WordPress con CAPTCHA 4WP

Per gestire lo spam su un sito WordPress utilizzando un reCAPTCHA di Google, si può ricorrere all’uso di specifici plugin. Una delle migliori soluzioni è fornita da CAPTCHA 4WP, compatibile anche con WooCommerce e con i principali plugin per form.L’installazione può essere effettuata tramite la dashboard di WordPress. Dopo averlo scaricato e attivato, accedere direttamente al pannello di controllo e avviare la configurazione guidata.

Questa consente, per prima cosa, di scegliere il tipo di controllo da installare; mentre il piano gratuito permette di utilizzare esclusivamente i reCAPTCHA di Google, la versione a pagamento sblocca altre due interessanti alternative, Cloudflare (che vedremo a breve) e HCaptcha.

Dopo aver scelto una delle alternative disponibili, premere “Next”.Nella nuova pagina

inserire la Site Key ottenuta sul sito di Google reCAPTCHA e premere “Proceed to secret key”. Il sistema controllerà la validità della chiave e si connetterà al servizio.Inserire quindi la Secret Key fornita da Google. Nel caso in cui fosse stata scelta l’opzione reCAPTCHA v3, sarebbe possibile aggiungere un’azione di failover scegliendo tra:

checkbox di reCAPTCHA v2 (in questo caso, si dovrà provvedere a generare, su Google reCAPTCHA, due nuove chiavi per il test CAPTCHA v2 checkbox)
reindirizzamento verso un URL prestabilito
nessuna azione.

Al termine, premere il pulsante “Fine” e accedere alle opzioni aggiuntive per personalizzare il funzionamento del reCAPTCHA. Nel caso in cui si fosse scelto reCAPTCHA v3, sarebbe possibile configurare, tra le altre cose, il punteggio al di sotto del quale il sistema identifica il visitatore come un bot e le pagine nelle quali caricare gli script di valutazione delle interazioni.

Aggiungere i reCAPTCHA ai form

Una volta installato un reCAPTCHA sul sito web, non resta altro da fare che aggiungerlo ai moduli. L’operazione può variare leggermente a seconda del plugin utilizzato, ma in generale è sufficiente premere il pulsante “CAPTCHA 4WP” durante la creazione di un nuovo modulo o la modifica di uno già esistente.

Cloudflare Turnstile

Scorrendo le impostazioni di CAPTCHA 4WP si può notare che, tra le opzioni disponibili, è presente anche Cloudflare Turnstile.Valida alternativa ai reCAPTCHA invisibili, si tratta di uno strumento gratuito - disponibile anche in una versione a pagamento - offerto da Cloudflare che non richiede azioni all’utente ed effettua un rapido controllo in background di alcuni segnali inviati dal browser. Molto rapido e basato su AI e codice JS, mette a disposizione tre versioni:

Managed: se rileva comportamenti sospetti, richiede all’utente di spuntare una casella
Non-interactive: l’utente vede una barra di caricamento, mentre il sistema testa il browser
Invisible: versione totalmente invisibile, che non richiede nessuna interazione.

L’utilizzo di questo tipo di protezione è pressoché simile a quella del suo competitor. Ecco, in breve, i passaggi da seguire:

accedere alla pagina dedicata a Turnstile su sito ufficiale di Cloudflare

fare click su “Inizia gratis”; per ottenere la versione Enterprise, contattare il reparto vendite:
creare un account gratuito su Cloudflare o effettuare il login. Si accederà alla seguente pagina:

premere il pulsante “Add site” e compilare i campi richiesti
premere “Create”.

Ottenute le chiavi, non si deve fare altro che installare, su WordPress, un plugin che consenta di utilizzare questo sistema di controllo, aggiungere le chiavi ottenute e procedere con le impostazioni e l’attivazione del widget dove lo si reputa più opportuno.

Gestire lo spam con Turnstile: quale plugin installare

Oltre alla versione a pagamento di CAPTCHA 4WP, è possibile ricorrere a Simple Turnstile Cloudflare, plugin che consente di gestire al meglio lo spam sui login, le registrazioni, il reset delle password e i commenti di WordPress, ed è compatibile con WooCommerce e con i principali plugin per la creazione di form.Per utilizzarlo, procedere innanzitutto all’installazione nel modo consueto, quindi fare click su “Attiva”.

Nella nuova schermata, inserire le chiavi API ottenute sul sito di Cloudflare.

Personalizzare quindi il plugin scegliendo:

il colore del widget: utilizzare la funzione “Theme”
la lingua: con l’opzione “Language” è possibile scegliere una lingua specifica oppure lasciare “Auto Detect” così da permettere al sistema di rilevare automaticamente la lingua del browser
quando far apparire il Turnstile: “Apparence Mode” permette di scegliere se mostrare sempre il widget (“Always”) o esclusivamente quando sono richieste specifiche interazioni (“Interactive Only”)
disattivare il pulsante di invio: selezionando la casella “Disable Submit Button”, l’utente non dovrà premere il pulsante di invio al termine del controllo di Turnstile.

Tra le varie impostazioni presenti, piuttosto utile risulta quella che consente agli utenti loggati di saltare il test del Turnstile. Per attivare questa funzione, premere la freccia posta a lato della scritta “Whitelist Setting” e selezionare la casella “Logged In User”.

Per finire, selezionare i form per i quali si desidera attivare il controllo e premere “Salva le modifiche”.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
elementor	never	This cookie is used by the website's WordPress theme. It allows the website owner to implement or change the website's content in real-time.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
ss	session	This cookie is set by the provider Eventbrite. This cookie is used for the functionality of website chat-box function.
TawkConnectionTime	session	Tawk.to, a live chat functionality, sets this cookie. For improved service, this cookie helps remember users so that previous chats can be linked together.

Cookie	Durata	Descrizione
__gads	1 year 24 days	The __gads cookie, set by Google, is stored under DoubleClick domain and tracks the number of times users see an advert, measures the success of the campaign and calculates its revenue. This cookie can only be read from the domain they are set on and will not track any data while browsing through other sites.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar sets this cookie to detect the first pageview session of a user. This is a True/False flag set by the cookie.
_hjFirstSeen	30 minutes	Hotjar sets this cookie to identify a new user’s first session. It stores a true/false value, indicating whether it was the first time Hotjar saw this user.
_hjIncludedInPageviewSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's pageview limit.
_hjTLDTest	session	To determine the most generic cookie path that has to be used instead of the page hostname, Hotjar sets the _hjTLDTest cookie to store different URL substring alternatives until it fails.
psuid	8 years	This cookie is set by the provider ProveSource. This cookie is used for randomly generating unique Id for user. It helps in counting the impressions and notification display rules per user.

Cookie	Durata	Descrizione
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.

Cookie	Durata	Descrizione
_hjSession_1690540	30 minutes	No description
_hjSessionUser_1690540	1 year	No description
cookielawinfo-checkbox-altri	1 year	No description
GoogleAdServingTest	session	No description
ps5fc60e450319fc5053501647	26 days 6 hours	No description
stopbot	10 days	No description
tp_details	15 minutes	No description
vh_offer_it	session	No description
WHMCSWha6N9TIRLRk	session	No description

Antispam WordPress: Le migliori pratiche per la gestione dello spam

Antispam WordPress

WordPress e la gestione dello spam: i primi passi

Bloccare lo spam con Akismet o altri plugin antispam

Utilizzare i CAPTCHA per tenere sotto controllo lo spam

Dal CAPTCHA al reCAPTCHA

Come includere un reCAPTCHA nel proprio sito WordPress

reCAPTCHA v2 e reCAPTCHA v3: integrarli nel sito WordPress con CAPTCHA 4WP

Aggiungere i reCAPTCHA ai form

Cloudflare Turnstile

Gestire lo spam con Turnstile: quale plugin installare

Alcune recensioni dei nostri clienti

Partners e Brand :

Antispam WordPress

WordPress e la gestione dello spam: i primi passi

Bloccare lo spam con Akismet o altri plugin antispam

Utilizzare i CAPTCHA per tenere sotto controllo lo spam

Dal CAPTCHA al reCAPTCHA

Come includere un reCAPTCHA nel proprio sito WordPress

reCAPTCHA v2 e reCAPTCHA v3: integrarli nel sito WordPress con CAPTCHA 4WP

Aggiungere i reCAPTCHA ai form

Cloudflare Turnstile

Gestire lo spam con Turnstile: quale plugin installare

Articoli correlati

Permalink WordPress: Cosa sono e come si modificano

Duplicare pagina WordPress: come fare

Velocizzare WordPress: guida agli strumenti

Alcune recensioni dei nostri clienti

Partners e Brand :