Antispam WordPress: Le migliori pratiche per la gestione dello spam

Antispam WordPress

Gestire correttamente lo spam su WordPress è fondamentale non solo per garantire una buona User Experience, aumentare i livelli di sicurezza del sito, evitare di ritrovarsi con la casella di posta elettronica intasata e evitare penalizzazioni da parte dei motori di ricerca.

Le pratiche che possono essere messe in atto sono numerose e vanno dall’utilizzo delle funzioni di base presenti nella dashboard del CMS all’installazione di plugin antispam. Di grande utilità risultano inoltre i CAPTCHA, in particolare nella loro più attuale versione invisible reCAPTCHA, e i Turnstile.

Di seguito verranno presentati i principali metodi per gestire adeguatamente lo spam, con particolare attenzione all’integrazione su WordPress di reCAPTCHA e Turnstile.

WordPress e la gestione dello spam: i primi passi

Per gestire lo spam su WordPress è necessario, in primo luogo, mantenere sempre aggiornati alle versioni più recenti il CMS, i temi e i plugin. Il passo successivo consiste nella gestione dello spam nei commenti attraverso alcune funzioni già incluse nella dashboard di WP.

Per accedere a queste funzioni, effettuare il login, quindi fare click su “Impostazioni / Discussione”. Si aprirà la seguente schermata:

Antispam WordPress: Le migliori pratiche per la gestione dello spam

Le impostazioni più utili per controllare lo spam sono le seguenti:

  • Gli utenti devono essere registrati e collegati per commentare”: la limitazione dei privilegi di commento ai soli utenti registrati riduce lo spam proveniente da utenti non autorizzati:
  • Il commento deve essere approvato manualmente”: offre un controllo diretto su tutti i commenti, in quanto, prima di essere pubblicati, devono essere approvati da un moderatore;
  • Moderazione commenti”: questa sezione consente di limitare il numero di link che possono essere inseriti nei commenti e di creare una blacklist di parole proibite o indirizzi IP. I commenti che non rispettano le regole stabilite vengono inseriti nella coda di moderazione:
  • Parole non ammesse nei commenti”: anche in questo caso si crea una blacklist di termini e indirizzi IP, ma i commenti che li contengono, anziché essere inviati alla coda di moderazione, vengono cestinati.

 

Laddove lo si ritenesse opportuno, sarebbe inoltre possibile bloccare i commenti:

  • per tutti gli articoli: deselezionare l’opzione “Permetti l’invio di commenti per i nuovi articoli”
  • per singoli articoli: in questo caso, è necessario agire direttamente nella pagina dell’articolo per il quale non si vogliono ricevere commenti, cliccando su “Articolo / Discussione” ed eliminando la spunta di fianco a “Permetti di commentare”.

Antispam WordPress: Le migliori pratiche per la gestione dello spam

Ulteriori limitazioni possono essere inserite direttamente nel file .htaccess. Per fare questo, aprire il file tramite FTP o Pannello di Controllo, e digitare quanto segue:

Antispam WordPress: Le migliori pratiche per la gestione dello spam

Inserire, al posto di “TuoDominio” il nome del proprio dominio, quindi salvare e chiudere.

Bloccare lo spam con Akismet o altri plugin antispam

In molti casi, le funzioni di base fornite da WP non sono sufficienti per gestire in modo ottimale e completo lo spam. Per avere a disposizione funzioni e opzioni aggiuntive, che consentano di gestire non solo lo spam dei commenti, ma anche quello derivante da altre tipologie di form, è necessario installare dei plugin.

Tra i plugin antispam più noti e utilizzati rientrano Antispam Bee – personalizzabile, gratuito, non necessita di chiave API – e Antispam Protection di CleanTalk – a pagamento, consente di tenere sotto controllo lo spam di commenti, registrazioni, contatti e-mail, prenotazioni, widget e altro ancora.

Il più utilizzato in assoluto è però Akismet, già presente nelle installazioni WordPress e pronto per essere attivato.

Antispam WordPress: Le migliori pratiche per la gestione dello spam

Il suo funzionamento è molto semplice e non interrompe l’attività degli utenti, in quanto si occupa di:

  • analizzare tutti i commenti e i moduli di contatto inviati dagli utenti
  • confrontarli con quelli presenti in un grande database
  • contrassegnare come spam quelli sospetti.

I commenti segnalati non vengono pubblicati, ma nemmeno cestinati; i moderatori possono controllarli e approvarli manualmente in qualsiasi momento.

Per utilizzare questo antispam, andare nella sezione plugin della dashboard di WordPress per attivarlo. Dopo l’attivazione, compare questa schermata:

Antispam WordPress: Le migliori pratiche per la gestione dello spam

Akismet, per funzionare, richiede una API key, gratuita per siti a uso personale e a pagamento, con diverse fasce di prezzo, per siti aziendali e commerciali. La chiave può essere creata sul sito ufficiale di Akismet.

Utilizzare i CAPTCHA per tenere sotto controllo lo spam

L’integrazione dei CAPTCHA – “Completely Automated Public Turing test to tell Computers and Humans Apart – nei moduli online destinati alla registrazione sul sito o all’invio di email, commenti, risposte a sondaggi eccetera permette di evitare i tentativi di spam e di hackeraggio che fanno uso di bot, proteggendo dunque non solo dallo spam nei commenti o nelle email, ma anche da attacchi ransomware, DDoS e di dizionario, e concorrenza sleale.

Il primo CAPTCHA propriamente detto è stato creato nel 2003. Basato sull’idea di fondo del test di Turing, si presenta fin dall’inizio come una piccola sfida che può essere facilmente completata da un essere umano, ma che non può essere superata da un comune bot. La sfida può assumere varie forme, ma la più nota è quella che presenta un testo deformato e chiede di digitarlo in una casella.

Nel corso del tempo, il CAPTCHA si è evoluto e ha subito varie modifiche, in linea, da un lato, con la crescente esigenza di aumentare l’accessibilità dei siti web e di migliorare la User Experience e, dall’altro, con l’evoluzione dei bot, i quali oggi, anche grazie all’intelligenza artificiale, sono in grado di superare alcuni dei più comuni test CAPTCHA.

Dal CAPTCHA al reCAPTCHA

Nel 2008 ha fatto la sua comparsa il primo reCAPTCHA, il quale presentava due parole accostate e comprensibili. Successivamente acquistato da Google, il sistema è stato via via migliorato e ha iniziato a fare uso di testi scansionati e fotografie prima e dell’analisi delle interazioni del browser poi. Da questo momento in avanti, vedono la luce sistemi che richiedono all’utente di effettuare sempre meno azioni:

  • il reCAPTCHA v2 “I’m not a robot” checkbox: l’utente a basso rischio deve semplicemente checkare una casella e il sistema si occupa di valutarne il comportamento e di stabilire se si tratti effettivamente di un umano. In caso di utente a rischio, può essere presentato un CAPTCHA tradizionale;
  • l’invisible reCAPTCHA v2: all’utente a basso rischio non viene richiesta nessuna interazione. In caso di comportamenti anomali, viene presentato, anche in questo caso, un test classico;
  • il reCAPTCHA v3: distribuito a partire dal 2018, è anch’esso una sorta di reCAPTCHA invisibile, ma ulteriormente potenziato, in quanto
    • attribuisce agli utenti dei punteggi in base a tutte le azioni da essi compiute sul sito
    • offre al gestore del sito la possibilità di controllare i punteggi e di modificare la soglia al di sotto della quale gli utenti devono dimostrare di non essere un robot.

Come includere un reCAPTCHA nel proprio sito WordPress

Per utilizzare un reCAPTCHA di Google, è necessario, per prima cosa, ottenere una chiave API.

Ecco i semplici passaggi da seguire:

Si aprirà la seguente schermata:

Antispam WordPress: Le migliori pratiche per la gestione dello spam

Inserire i dati richiesti e scegliere il tipo di reCAPTCHA che si desidera utilizzare.

Antispam WordPress: Le migliori pratiche per la gestione dello spam

Accettare i termini di servizio e premere il pulsante “Invio”. Nella pagina seguente verranno visualizzate due chiavi: la chiave del sito e la chiave segreta.

reCAPTCHA v2 e reCAPTCHA v3: integrarli nel sito WordPress con CAPTCHA 4WP

Per gestire lo spam su un sito WordPress utilizzando un reCAPTCHA di Google, si può ricorrere all’uso di specifici plugin. Una delle migliori soluzioni è fornita da CAPTCHA 4WP, compatibile anche con WooCommerce e con i principali plugin per form.

L’installazione può essere effettuata tramite la dashboard di WordPress. Dopo averlo scaricato e attivato, accedere direttamente al pannello di controllo e avviare la configurazione guidata.

Antispam WordPress: Le migliori pratiche per la gestione dello spam

Questa consente, per prima cosa, di scegliere il tipo di controllo da installare; mentre il piano gratuito permette di utilizzare esclusivamente i reCAPTCHA di Google, la versione a pagamento sblocca altre due interessanti alternative, Cloudflare (che vedremo a breve) e HCaptcha.

Antispam WordPress: Le migliori pratiche per la gestione dello spam

Dopo aver scelto una delle alternative disponibili, premere “Next”.

Nella nuova pagina

Antispam WordPress: Le migliori pratiche per la gestione dello spam

inserire la Site Key ottenuta sul sito di Google reCAPTCHA e premere “Proceed to secret key”. Il sistema controllerà la validità della chiave e si connetterà al servizio.

Inserire quindi la Secret Key fornita da Google. Nel caso in cui fosse stata scelta l’opzione reCAPTCHA v3, sarebbe possibile aggiungere un’azione di failover scegliendo tra:

  • checkbox di reCAPTCHA v2 (in questo caso, si dovrà provvedere a generare, su Google reCAPTCHA, due nuove chiavi per il test CAPTCHA v2 checkbox)
  • reindirizzamento verso un URL prestabilito
  • nessuna azione.

Al termine, premere il pulsante “Fine” e accedere alle opzioni aggiuntive per personalizzare il funzionamento del reCAPTCHA. Nel caso in cui si fosse scelto reCAPTCHA v3, sarebbe possibile configurare, tra le altre cose, il punteggio al di sotto del quale il sistema identifica il visitatore come un bot e le pagine nelle quali caricare gli script di valutazione delle interazioni.

Aggiungere i reCAPTCHA ai form

Una volta installato un reCAPTCHA sul sito web, non resta altro da fare che aggiungerlo ai moduli. L’operazione può variare leggermente a seconda del plugin utilizzato, ma in generale è sufficiente premere il pulsante “CAPTCHA 4WP” durante la creazione di un nuovo modulo o la modifica di uno già esistente.

Cloudflare Turnstile

Scorrendo le impostazioni di CAPTCHA 4WP si può notare che, tra le opzioni disponibili, è presente anche Cloudflare Turnstile.

Valida alternativa ai reCAPTCHA invisibili, si tratta di uno strumento gratuito – disponibile anche in una versione a pagamento – offerto da Cloudflare che non richiede azioni all’utente ed effettua un rapido controllo in background di alcuni segnali inviati dal browser. Molto rapido e basato su AI e codice JS, mette a disposizione tre versioni:

  • Managed: se rileva comportamenti sospetti, richiede all’utente di spuntare una casella
  • Non-interactive: l’utente vede una barra di caricamento, mentre il sistema testa il browser
  • Invisible: versione totalmente invisibile, che non richiede nessuna interazione.

L’utilizzo di questo tipo di protezione è pressoché simile a quella del suo competitor. Ecco, in breve, i passaggi da seguire:

Antispam WordPress: Le migliori pratiche per la gestione dello spam

  • fare click su “Inizia gratis”; per ottenere la versione Enterprise, contattare il reparto vendite:
  • creare un account gratuito su Cloudflare o effettuare il login. Si accederà alla seguente pagina:

Antispam WordPress: Le migliori pratiche per la gestione dello spam

  • premere il pulsante “Add site” e compilare i campi richiesti
  • premere “Create”.

Ottenute le chiavi, non si deve fare altro che installare, su WordPress, un plugin che consenta di utilizzare questo sistema di controllo, aggiungere le chiavi ottenute e procedere con le impostazioni e l’attivazione del widget dove lo si reputa più opportuno.

Gestire lo spam con Turnstile: quale plugin installare

Oltre alla versione a pagamento di CAPTCHA 4WP, è possibile ricorrere a Simple Turnstile Cloudflare, plugin che consente di gestire al meglio lo spam sui login, le registrazioni, il reset delle password e i commenti di WordPress, ed è compatibile con WooCommerce e con i principali plugin per la creazione di form.

Per utilizzarlo, procedere innanzitutto all’installazione nel modo consueto, quindi fare click su “Attiva”.

Antispam WordPress: Le migliori pratiche per la gestione dello spam

Nella nuova schermata, inserire le chiavi API ottenute sul sito di Cloudflare.

Antispam WordPress: Le migliori pratiche per la gestione dello spam

Personalizzare quindi il plugin scegliendo:

  • il colore del widget: utilizzare la funzione “Theme”
  • la lingua: con l’opzione “Language” è possibile scegliere una lingua specifica oppure lasciare “Auto Detect” così da permettere al sistema di rilevare automaticamente la lingua del browser
  • quando far apparire il Turnstile: “Apparence Mode” permette di scegliere se mostrare sempre il widget (“Always”) o esclusivamente quando sono richieste specifiche interazioni (“Interactive Only”)
  • disattivare il pulsante di invio: selezionando la casella “Disable Submit Button”, l’utente non dovrà premere il pulsante di invio al termine del controllo di Turnstile.

Antispam WordPress: Le migliori pratiche per la gestione dello spam

Tra le varie impostazioni presenti, piuttosto utile risulta quella che consente agli utenti loggati di saltare il test del Turnstile. Per attivare questa funzione, premere la freccia posta a lato della scritta “Whitelist Setting” e selezionare la casella “Logged In User”.

Antispam WordPress: Le migliori pratiche per la gestione dello spam

Per finire, selezionare i form per i quali si desidera attivare il controllo e premere “Salva le modifiche”.

Antispam WordPress: Le migliori pratiche per la gestione dello spam