Vous essayez de mettre fin aux inscriptions indésirables WordPress sur votre site ?

En raison de l‘immense popularité de WordPress, c’est une cible juteuse pour les spammeurs du monde entier. Il se peut qu’ils essaient simplement d’exploiter votre site et d’y accéder. Ils peuvent aussi vouloir spammer votre communauté, par exemple en remplissant votre forum avec des sujets indésirables.

Si vous autorisez l’inscription sur votre site WordPress, vous allez presque certainement rencontrer des problèmes d’inscriptions indésirables sous une forme ou une autre.

Dans cet article, vous allez apprendre comment réduire les spams d’inscription en utilisant un mélange de fonctionnalités WordPress intégrées et des extensions gratuites.

Le processus d’inscription par défaut de WordPress

Avant d’en venir à la tactique, parlons brièvement de la procédure d’inscription par défaut de WordPress.

Si vous autorisez l’inscription sur votre site, la page d’inscription par défaut de WordPress se trouve à l’adresse https://votresite.com/wp-login.php?action=register :

Le formulaire d'inscription par défaut de WordPress
Le formulaire d’inscription par défaut de WordPress

Comme vous pouvez le voir, rien n’empêche les personnes ou les robots malveillants de créer des inscriptions indésirables.

Les robots peuvent aller directement sur votre page d’inscription en ajoutant la même formule à chaque domaine WordPress et rien ne les empêche de remplir les champs du formulaire.

Comment mettre fin aux inscriptions indésirables de WordPress

Il existe un certain nombre de stratégies différentes que vous pouvez utiliser pour mettre fin aux spams d’inscription de WordPress. Selon les besoins de votre site et la gravité de votre problème, vous devrez peut-être mettre en œuvre une seule de ces stratégies ou essayer plusieurs tactiques pour mettre fin au spam.

Voici la liste complète des stratégies :

Désactiver complètement l’inscription WordPress

Tout d’abord, si vous n’avez pas besoin d’une inscription publique sur votre WordPress, il est préférable de désactiver complètement l’inscription plutôt que d’essayer de lutter contre les inscriptions indésirables.

Même si vous devez donner à d’autres utilisateurs des comptes sur votre site, cela ne signifie pas nécessairement que vous devez activer l’inscription publique. Par exemple, si vous avez seulement besoin qu’un petit nombre de personnes aient leur propre compte, vous pourriez créer manuellement des comptes pour eux plutôt que de les laisser s’inscrire eux-mêmes.

Pour désactiver complètement l’inscription d’un utilisateur sur WordPress, allez à la page Réglages → Général et assurez-vous que la case Tout le monde peut s’inscrire est décochée :

Comment désactiver l'inscription de WordPress
Comment désactiver l’inscription de WordPress

Une fois que vous avez désactivé l’inscription, toute personne essayant de visiter votre page d’inscription verra ce message par défaut :

Un exemple d'inscription désactivée
Un exemple d’inscription désactivée

Ajoutez un CAPTCHA à votre formulaire d’inscription

Un autre moyen de lutter contre les inscriptions indésirables consiste à ajouter un CAPTCHA au formulaire d’inscription par défaut de WordPress.

Il existe différents types de CAPTCHA que vous pouvez utiliser, mais la plupart des gens trouvent que le service reCAPTCHA de Google est le plus convivial (également appelé No CAPTCHA reCAPTCHA). Il vise à être invisible pour la plupart des visiteurs humains, tout en affichant un test CAPTCHA aux visiteurs qu’il détermine comme étant des robots probables.

Pour ajouter NoCAPTCHA reCAPTCHA à votre formulaire d’inscription WordPress, vous pouvez utiliser l’extension Advanced noCaptcha & invisible Captcha (v2 & v3).

Pour mettre en place l’extension, vous devez d’abord générer une clé API reCAPTCHA gratuite à partir de Google – ce qui implique simplement de saisir votre site web et de choisir le type de reCAPTCHA à utiliser :

Génération de la clé API reCAPTCHA
Génération de la clé API reCAPTCHA

Ensuite, vous pouvez vous rendre sur le site Réglages → Advanced noCaptcha & invisible captcha pour configurer l’extension :

  • Choisissez la version (assurez-vous qu’elle correspond à celle que vous avez sélectionnée lors de la création de votre clé API).
  • Ajoutez votre clé de site et votre clé secrète (Google vous les donne après que vous ayez envoyé le formulaire de la capture d’écran précédente).
  • Choisissez où activer votre CAPTCHA. En plus de votre formulaire d’inscription, vous pouvez également l’activer pour d’autres parties de votre site, comme votre formulaire de connexion.
Comment mettre en place reCAPTCHA
Comment mettre en place reCAPTCHA

Une fois que vous avez enregistré vos modifications, vous devriez voir votre formulaire CAPTCHA sur votre page d’inscription (sauf si vous avez choisi une méthode invisible, auquel cas il ne serait visible que pour les robots suspects) :

Un exemple de reCAPTCHA sur le formulaire d'inscription par défaut
Un exemple de reCAPTCHA sur le formulaire d’inscription par défaut

Utiliser une extension WordPress anti-spam dédiée à l’inscription

Certaines extensions WordPress anti-spam polyvalentes peuvent aider à mettre fin aux inscriptions WordPress indésirables, ainsi qu’au spam dans d’autres domaines, comme la section des commentaires ou les envois de formulaires.

Malheureusement, l’extension populaire Akismet comment spam d’Automattic ne fonctionne pas pour les inscriptions indésirables, mais il existe d’autres options populaires qui bloquent le spam d’inscription :

Là encore, ces extensions ne se limitent pas aux inscriptions indésirables, mais elles vous aident à bloquer les spams d’inscription dans le cadre de leurs efforts généraux de lutte contre le spam.

Exiger l’approbation de l’administrateur pour les nouveaux utilisateurs

Si au-delà des comptes de spam eux-mêmes, vous vous inquiétez également ce que les gens font après s’être inscrits, une autre bonne stratégie consiste à exiger l’approbation de l’administrateur pour les nouveaux utilisateurs.

Par exemple, si vous vous inquiétez du fait que des personnes envoient du spam sur votre forum bbPress ou votre communauté BuddyPress, exiger l’approbation de l’administrateur, vous permet d’éviter cette situation.

C’est une bonne combinaison avec un CAPTCHA ou une autre stratégie : le CAPTCHA filtrera les spams automatisés de faible niveau et vous pouvez utiliser l’approbation manuelle pour attraper tout le reste.

Cependant, si vous avez des tonnes d’inscriptions indésirables et que vous essayez de mettre en œuvre cette stratégie par vous-même, vous risquez de vous retrouver débordé en essayant de trier toutes les inscriptions.

Pour demander l’approbation de l’administrateur pour les nouveaux utilisateurs, vous pouvez utiliser l’extension gratuite WP Approve User.

Une fois que vous avez installé et activé l’extension, elle commence à fonctionner immédiatement. Tous vos utilisateurs existants seront déjà approuvés (pour éviter les problèmes).

Les nouveaux utilisateurs devront toutefois obtenir une approbation manuelle, ce que vous pouvez faire à partir de la zone des utilisateurs existants dans votre tableau de bord WordPress :

Approbation des utilisateurs avec l’extension WP Approve User
Approbation des utilisateurs avec l’extension WP Approve User

Vous avez également la possibilité d’envoyer et de personnaliser des e-mails pour quand un utilisateur est :

  • Approuvé
  • Non approuvé

Vous pouvez activer ces e-mails et personnaliser leur contenu en vous rendant sur Réglages → Approve User.

Bloquer les adresses IP malveillantes

Si la majeure partie de votre spam d’inscription provient de la même adresse IP, vous pouvez réduire le problème en bloquant l’accès à votre site pour ces adresses IP.

Si vous êtes hébergé chez Kinsta, nous vous proposons un outil de bloquage d’IP dans le tableau de bord de Kinsta. Pour y accéder, ouvrez le site sur lequel vous rencontrez des problèmes et choisissez l’option de IP Deny dans la colonne latérale du tableau de bord du site :

Comment bloquer les adresses IP avec MyKinsta
Comment bloquer les adresses IP avec MyKinsta

La plupart Les hébergeurs cPanel doivent également vous fournir un outil de blocage d’IP.

Changer l’URL d’inscription de WordPress

Si vous souhaitez ajouter une certaine « sécurité par l’obscurité » à votre page d’inscription et réduire le trafic de robots de bas niveau, vous pouvez changer l’URL de votre page d’inscription pour qu’elle ne soit plus celle utilisée par défaut par tous les sites WordPress.

La page d’inscription fait en fait partie de la page de connexion de WordPress, vous pouvez donc le faire avec n’importe quelle extension qui vous permet de changer l’URL de connexion de WordPress.

Une bonne option est l’extension gratuite WPS Hide Login.

Une fois l’extension installée, allez dans Réglages → WPS Hide Login pour saisir votre nouvelle URL. Vous pouvez également rediriger l’URL par défaut vers une autre page, comme votre page 404 :

Comment changer l'URL d'inscription de WordPress
Comment changer l’URL d’inscription de WordPress

Par exemple, si vous changez votre URL de connexion pour votresite.com/sneakylogin, alors la page d’inscription par défaut ne fonctionnera plus. Votre nouvelle page d’inscription sera votresite.com/sneakylogin/?action=register.

Utiliser une extension WordPress de formulaire d’inscription personnalisé

Une autre bonne alternative pour mettre fin aux inscriptions indésirables de WordPress est d’utiliser une extension WordPress de formulaire d’inscription personnalisé.

Ces extensions vous permettent de contourner le processus normal d’inscription de WordPress et de mettre en œuvre un certain nombre de tactiques anti-spam utiles, comme

  • URL d’inscription personnalisée – le fait de modifier l’URL d’inscription par rapport à l’URL par défaut peut réduire certains spams de faible niveau, bien qu’il soit peu probable que cela stoppe le spam d’inscription des utilisateurs par lui-même.
  • Confirmation par e-mail – cette mesure permet d’éviter que les utilisateurs de spam ne reçoivent de faux e-mails en demandant aux nouveaux utilisateurs de confirmer leur e-mail. Si un utilisateur ne confirme pas son e-mail, l’extension supprime automatiquement son inscription.
  • Approbation de l’administrateur pour les nouveaux utilisateurs – ces extensions peuvent généralement vous aider à mettre en œuvre la fonction d’approbation de l’administrateur.
  • Prévention du spam – ces extensions peuvent également vous aider à ajouter des champs CAPTCHA ou honeypot à votre formulaire d’inscription personnalisé.

De nombreuses extensions WordPress de formulaires comprennent également la possibilité de créer des formulaires d’inscription personnalisés avec des fonctions anti-spam. Cependant, l’inconvénient est que vous n’obtiendrez généralement les fonctions d’inscription que dans la version premium. Si vous êtes prêt à payer, il existe de bonnes options :

Voyons de plus près comment utiliser deux solutions gratuites fournies par les extensions User Registration et Profile Builder.

1. User Registration

Lorsque vous installez l’extension gratuite User Registration, elle vous donnera la possibilité de créer automatiquement votre page d’inscription personnalisée située sur votresite.com/inscription (vous pouvez toujours modifier cette URL).

Vous disposez de quelques autres options pour réduire le spam pendant la procédure d’inscription.

Tout d’abord, dans l’onglet Options générales des réglages de l’extension, vous pouvez utiliser le menu déroulant Option de connexion de l’utilisateur pour demander l’approbation de l’administrateur après l’inscription d’un utilisateur :

Activation de l'approbation de l'administrateur dans l’extension User Registration
Activation de l’approbation de l’administrateur dans l’extension User Registration

Vous pouvez également aller dans l’onglet Intégration pour configurer le reCaptcha Google (vous aurez besoin de vos clés API – vous pouvez suivre les mêmes étapes que celles décrites plus haut dans cet article) :

Activation du reCAPTCHA dans l’extension User Registration
Activation du reCAPTCHA dans l’extension User Registration

Pour activer le CAPTCHA sur un formulaire d’inscription spécifique, vous devez également modifier ce formulaire et l’activer à cet endroit. Lorsque vous modifiez un formulaire, vous pouvez également ajouter des champs d’informations supplémentaires sur le profil si vous le souhaitez.

2. Profile Builder

L’extension gratuite Profile Builder suit la même approche basique.

Pour personnaliser les champs de votre formulaire d’inscription, vous pouvez vous rendre sur Profile Builder → Champs de formulaire. Pour ajouter un CAPTCHA à votre formulaire, vous pouvez inclure un champ reCAPTCHA, dans lequel vous devrez ajouter vos clés API :

Ajout d'un champ CAPTCHA dans l’extension Profile Builder
Ajout d’un champ CAPTCHA dans l’extension Profile Builder

Ensuite, pour afficher votre formulaire d’inscription personnalisé, vous pouvez ajouter le code court [wppb-register] n’importe où sur votre site.

Profile Builder comprend également une fonction permettant de demander l’approbation de l’administrateur pour les nouvelles inscriptions, mais cela n’est disponible que dans la version premium.

Résumé

Si vous devez autoriser l’inscription sur votre site WordPress, les inscriptions indésirables peuvent être un problème frustrant. Vous pouvez réduire, voire éliminer complètement, les spams d’inscription en combinant différentes tactiques.

L’option la plus simple et la plus légère consiste à ajouter un NoCAPTCHA reCAPTCHA au formulaire d’inscription par défaut de WordPress. La plupart des visiteurs humains ne remarqueront rien de différent, mais Google affichera les tests CAPTCHA aux robots pour les empêcher de faire du spam d’inscription.

Si vous souhaitez une refonte complète, vous pouvez également utiliser une extension WordPress d’inscription pour créer un formulaire d’innscription personnalisé qui inclut ses propres propriétés antis-pam, ainsi que des fonctionnalités telles que l’approbation de l’administrateur pour les nouveaux utilisateurs.

Matteo Duò Kinsta

Rédacteur en chef chez Kinsta et consultant en marketing de contenu pour les développeurs de plugins WordPress. Connectez-vous avec Matteo sur Twitter.