Spam w wiadomościach to częsty i uciążliwy problem w witrynach opartych o system WordPress. Złośliwe boty, które rozsyłają śmieciowe maile z formularzy na stronach internetowych, skanują sieć w poszukiwaniu słabo zabezpieczonych serwisów. W tym poradniku pokażę Ci, jak skutecznie uchronić się przed spamem napływającym z formularzy na WordPressie.
Jeśli Twoja witryna zdobywa linki zewnętrzne lub jest dobrze pozycjonowana w Google, oprócz zwykłych użytkowników, przybywa na nią również coraz więcej botów. Nie ma w 100% skutecznego sposobu, który zablokowałby ruch botów na Twojej stronie. Istnieje jednak szereg metod, dzięki którym te złośliwe skrypty nie będą sprawiały Ci problemów. Przeczytaj również o sposobach na zabezpieczenie WordPressa przed wirusami.
Boty skanują Twoją stronę internetową i gdy wykryją na niej formularz kontaktowy, próbują wysłać za jego pośrednictwem wiadomość z reklamą lub szkodliwymi odnośnikami. Jeśli otrzymasz je na swoją skrzynkę mailową, pod żadnym pozorem nie klikaj w linki, które się w nich znajdują. Najlepiej od razu usuń taką wiadomość.
Czym bardziej popularny serwis, tym więcej potencjalnego spamu może wpadać przez formularze. Warto więc już na początku – przy dodawaniu formularza na WordPress – odpowiednio się zabezpieczyć. Nie będzie potem potrzeby usuwania setek spamowych maili ze skrzynki.
Zabezpieczenie formularza na stronie internetowej polega na wdrożeniu rozwiązań, które na początek starają się rozpoznać szkodliwe boty. Jeśli to zrobią, zablokują dostęp do serwisu. Jeśli jednak bot nie zostanie rozpoznany, kolejnym krokiem jest utrudnienie mu wysłania wiadomości z formularza.
W tym poradniku, na przykładzie wtyczki Contact Form 7, omówię podstawowe metody na pozbycie się spamu ze strony www:
Przejdźmy się do omówienia poszczególnych punktów, dzięki którym z dużym prawdopodobieństwem ograniczysz spam na skrzynce do minimum.
Istnieją dwie wersje reCAPTCHA, które pewnie udało Ci się spotkać przeglądając inne strony internetowe. Przy rejestracji, pisaniu komentarzy na blogu, czy właśnie wysyłce wiadomości z formularzy kontaktowych – często widoczny jest element sprawdzający, czy nie jesteś botem:
Nowsze wersje wtyczki wykorzystują jednak reCAPTCHA V3, tzw. Invisible reCAPTCHA, która automatycznie wykrywa boty bez konieczności potwierdzania.
Jeśli z boku strony, najczęściej po prawej stronie na dole, zobaczysz ikonę reCAPTCHY:
Oznacza to, że ochrona przed botami jest poprawnie wdrożona. Nie jest to całkowicie skuteczna metoda, ale pozwala odsiać najbardziej znane zagrożenia.
Aby dodać ochronę za pośrednictwem reCAPTCHA V3 w Contact Form 7, przejdź do zakładki Kontakt > Integracje. Znajdziesz tam dostępne rozszerzenia wtyczki, m. in. właśnie do ochrony przed spamem.
Po kliknięciu w przycisk Ustawienia Integracji, konieczne będzie podanie kluczy zabezpieczających dostęp do API:
Uzyskasz je pod linkiem https://www.google.com/recaptcha/admin/create, gdzie konieczne będzie uzupełnienie kilku pól przy konfiguracji kluczy witryny.
Oto wyjaśnienie poszczególnych opcji:
Po wypełnieniu wszystkich wymaganych pól, kliknij Prześlij. Otrzymasz wówczas dwa klucze API niezbędne do konfiguracji reCAPTCHA w Contact Form 7 – klucz witryny oraz klucz prywatny. Przekopiuj je w pola, które prezentowałem na początku.
Po zatwierdzeniu, otrzymasz komunikat, że reCAPTCHA została poprawnie dodana na Twojej stronie internetowej. Aby się upewnić, przejdź do witryny i poszukaj ikony w prawym dolnym rogu. Jeśli jest widoczna, oznacza to, że konfiguracja przebiegła pomyślnie.
Honeypot w Contact Form 7 to metoda ochrony przed spamem, polegająca na dodaniu do formularza niewidocznego dla użytkowników pola. Jest to pułapka dla botów, które zazwyczaj automatycznie wypełniają wszystkie pola w formularzu. Jeśli to ukryte pole zostanie wypełnione, system rozpoznaje próbę spamu i blokuje wysłanie formularza. Jest to prosta, ale skuteczna metoda, która nie wymaga dodatkowych działań ze strony prawdziwych użytkowników.
Aby dodać to zabezpieczenie antyspamowe do formularza kontaktowego, zainstaluj plugin Honeypot for Contact Form 7.
Następnie, w ustawieniach wtyczki wypełnij niezbędne pola:
Masz tutaj następujące opcje do wyboru:
Po wypełnieniu wybranych opcji, zapisz ustawienia. Musisz teraz przejść do edycji swoich formularzy, by dodać honeypoty we właściwych miejscach. Najlepiej umieszczać je pośród innych, prawdziwych pól, by zmylić boty rozsyłające spam na WordPress.
Przejdź do Kontakt > Formularze kontaktowe i wybierz pozycję, którą chcesz edytować.
W dostępnych tagach zobaczysz nową wartość Honeypot (pierwsze z lewej):
Kliknij, by dodać pole zabezpieczające przed spamem:
Te ustawienia powtarzają się z opcjami, które przed chwilą zdefiniowaliśmy w konfiguracji wtyczki. Nie musisz ich wypełniać, chyba że chcesz zastosować tutaj inne wartości dla tego konkretnego formularza.
Na koniec zatwierdź przyciskiem Insert Tag i zapisz formularz. Wróć na swoją stronę, by upewnić się, że wszystkie formularze kontaktowe wyglądają jak należy.
Akismet to wtyczka, która automatycznie filtruje spam w komentarzach i formularzach. Używa zaawansowanych algorytmów do analizy treści i blokowania niechcianych wiadomości. Jej funkcjonalności są płatne, więc warto stosować ją tylko, gdy poprzedniej, darmowy metody zawodzą. Pamiętaj, że żaden system nie jest doskonały. Akismet świetnie radzi sobie z większością spamu, ale zawsze warto monitorować, jak działa i czy nie blokuje prawidłowych wiadomości.
Domyślnie wtyczka jest dołączona do każdej instalacji WordPressa. Jeśli chcesz ją wykorzystać, przejdź do wtyczek, a następnie aktywuj plugin:
Ceny pakietów znajdziesz tutaj. Darmowy pakiet dostępny jest tylko dla blogów osobistych. Do komercyjnego wykorzystania konieczna będzie inwestycja minimum 37 dolarów za miesiąc.
Po wykonaniu poprawnej konfiguracji, do pól w swoich formularzach możesz dodać specjalne parametry, które wprowadzą dodatkową ochronę, np. dla pola name: akismet:author dla pola email: akismet:author_email.
Na koniec chciałbym przedstawić kwestię ochrony strony internetowej w kontekście modułu mod_security oraz konfiguracji serwera SMTP. Nie ustawiamy tego bezpośrednio w WordPressie, więc aby dowiedzieć się, czy masz takie opcje w swoim hostingu, skontaktuj się z jego pomocą techniczną.
Mod_security to zaawansowany moduł dla serwerów Apache, który służy jako rodzaj zaporowego firewalla dla aplikacji webowych. Jego główna rola polega na ochronie strony przed niepożądanymi działaniami i atakami, co jest szczególnie przydatne w kontekście WordPressa.
Działa poprzez skrupulatną analizę żądań HTTP, efektywnie wykrywając i blokując te, które wydają się podejrzane lub zawierają złośliwe treści. Jest to szczególnie użyteczne w blokowaniu spamu w formularzach kontaktowych, np. w popularnej wtyczce Contact Form 7. Można go dostosować do blokowania konkretnych wzorców tekstu lub adresów IP, co pozwala na precyzyjną kontrolę nad tym, co dociera do Twojej strony.
SMTP, czyli Simple Mail Transfer Protocol, to standardowy protokół służący do przesyłania e-maili. W kontekście WordPressa, konfiguracja serwera SMTP jest kluczowa dla efektywnej komunikacji e-mailowej. Dzięki odpowiednim ustawieniom serwer SMTP może funkcjonować jako filtr antyspamowy, blokując lub flagując podejrzane wiadomości.
Podsumowując, zarówno mod_security, jak i odpowiednio skonfigurowany serwer SMTP, są niezwykle ważne w utrzymaniu bezpieczeństwa i efektywności strony opartej na WordPressie, szczególnie w kontekście walki ze spamem i potencjalnymi atakami
Jeśli nie możesz uporać się ze spamem na swojej stronie firmowej opartej o WordPress, skontaktuj się z nami. W ramach opieki nad serwisem, pomożemy Ci zabezpieczyć się przed botami rozsyłającymi spam, a także wyczyścić pocztę lub bazę danych ze śmieciowych treści.
Wypełnij poniższy formularz - odezwę się do Ciebie, by porozmawiać o Twojej stronie internetowej.