State cercando un modo per fermare la registrazione spam sul vostro sito WordPress?

Per via della sua incredibile popolarità, WordPress è un bersaglio accattivante per gli spammer di tutto il mondo. Potrebbero semplicemente cercare di accedere al vostro sito e ottenere l’accesso. Oppure, potrebbero voler spammare la vostra community, ad esempio riempiendo il vostro forum di argomenti spam.

Se consentite la registrazione al pubblico sul vostro sito WordPress, quasi certamente incontrerete dei problemi con le registrazioni spam in una forma o nell’altra.

In questo articolo, scoprirete come ridurre le registrazioni spam utilizzando un mix di funzionalità incorporate di WordPress e plugin gratuiti.

La Procedura di Registrazione Predefinita di WordPress

Prima di passare alle soluzioni, discutiamo brevemente della procedura predefinita di registrazione di WordPress.

Se consentete la registrazione pubblica sul vostro sito, la pagina di registrazione predefinita di WordPress si trova all’indirizzo https://yoursite.com/wp-login.php?action=register:

Il modulo di registrazione predefinito di WordPress
Il modulo di registrazione predefinito di WordPress

Come potete vedere, non c’è molto che impedisca a soggetti malintenzionati o ai bot di creare registrazioni spam.

I bot possono andare direttamente alla pagina di registrazione aggiungendo la stessa formula ad ogni dominio WordPress e non c’è nulla che impedisca loro di compilare i campi del modulo.

Come Fermare la Registrazione Spam di WordPress

Ci sono diverse strategie che potete utilizzare per fermare le registrazioni spam di WordPress. A seconda delle esigenze del vostro sito e della gravità del vostro problema, per fermare lo spam potrebbe essere necessario implementare solo una di queste strategie o potrebbe essere necessario provare diverse tattiche.

Ecco l’elenco completo delle soluzioni disponibili:

Disattivare Completamente la Registrazione in WordPress

Prima di tutto, se non avete bisogno di una registrazione pubblica sul vostro sito WordPress, è meglio disabilitare completamente la registrazione piuttosto che cercare di combattere le registrazioni spam.

Anche se dovete dare account utente sul vostro sito ad altre persone, questo non significa necessariamente che dovete abilitare la registrazione al pubblico. Ad esempio, se avete bisogno che solo un piccolo numero di persone abbiano un proprio account, potreste creare manualmente degli account per loro piuttosto che lasciare che li registrino da soli.

Per disabilitare completamente la registrazione degli utenti in WordPress, andate su Impostazioni → Generali e assicuratevi che la casella Chiunque può registrarsi sia deselezionata:

Come disattivare la registrazione WordPress
Come disattivare la registrazione in WordPress

Una volta disabilitata la registrazione, chiunque cerchi di visitare la pagina di registrazione predefinita vedrà questo messaggio:

Un esempio di registrazione disattivata
Un esempio di registrazione disattivata

Aggiungere un CAPTCHA al Vostro Modulo di Registrazione

Un altro modo per respingere lo spam nelle registrazioni degli utenti è quello di aggiungere un CAPTCHA al modulo di registrazione predefinito di WordPress.

Ci sono vari tipi di CAPTCHA a disposizione, ma per la maggior parte degli utenti il servizio reCAPTCHA di Google sembra sia il più facile da usare (noto anche come No CAPTCHA reCAPTCHA). Questo mira ad essere invisibile alla maggior parte dei visitatori umani legittimi, pur mostrando un test CAPTCHA ai visitatori che considera probabili bot.

Per aggiungere NoCAPTCHA reCAPTCHA al modulo di registrazione di WordPress, è possibile utilizzare il plugin gratuito Advanced noCaptcha & invisible Captcha (v2 & v3).

Per configurare il plugin, è necessario prima di tutto generare una chiave API reCAPTCHA gratuita di Google – il che comporta solo l’accesso al proprio sito web e la scelta del tipo di reCAPTCHA da utilizzare:

Generazione della chiave API reCAPTCHA
Generazione della chiave API reCAPTCHA

Dopodiché, si può andare in Impostazioni → Advanced noCaptcha & invisible captcha e configurare il plugin:

  • Scegliete la versione (assicuratevi che corrisponda a quella selezionata al momento della creazione della chiave API).
  • Aggiungete le vostre Site Key e Secret Key (Google vi dà questi dati dopo aver inviato il modulo della schermata precedente).
  • Scegliete dove attivare il CAPTCHA. Oltre al modulo di registrazione, potete abilitarlo anche per altre parti del vostro sito, come il modulo di login.
Come impostare WordPress reCAPTCHA
Come impostare WordPress reCAPTCHA

Una volta salvate le modifiche, dovreste vedere il vostro modulo CAPTCHA sulla pagina di registrazione (a meno che non abbiate scelto un metodo invisibile, nel qual caso sarebbe visibile solo ai bot sospetti):

Un esempio di reCAPTCHA sul modulo di registrazione predefinito
Un esempio di reCAPTCHA sul modulo di registrazione predefinito

Utilizzare un Plugin Dedicato per la Registrazione Spam in WordPress

Alcuni plugin anti-spam multiuso di WordPress possono aiutarvi a fermare le registrazioni spam di WordPress, così come lo spam in altre aree, come la sezione commenti o la trasmissione di moduli.

Sfortunatamente, il popolare plugin per commenti spam di Akismet di Automattic non funziona per le registrazioni spam, ma ecco alcune altre opzioni popolari per bloccare lo spam:

Anche in questo caso, questi plugin non si limitano al solo spam delle registrazioni, ma il blocco delle registrazioni spam è una parte della loro funzionalità generale anti-spam.

Richiedere l’Approvazione dell’Amministratore per i Nuovi Utenti

Se, oltre agli account spam, si è anche preoccupati di ciò che le persone fanno dopo la registrazione, un’altra buona strategia è quella di richiedere l’approvazione dell’amministratore per i nuovi utenti.

Ad esempio, se siete preoccupati per lo spam nel vostro forum bbPress o della community di BuddyPress, richiedere l’approvazione dell’amministratore vi permette di evitarlo.

Questa è una buona strategia da combinare con un CAPTCHA o un’altra soluzione: il CAPTCHA filtrerà lo spam automatizzato di basso livello ed è possibile utilizzare l’approvazione manuale per intercettare tutto il resto.

Tuttavia, se avete una gran quantità di registrazioni spam e cercate di implementare questa strategia da soli, potreste trovarvi sopraffatti nel tentativo di classificare tutte le registrazioni.

Per richiedere l’approvazione dell’amministratore per i nuovi utenti, potete utilizzare il plugin gratuito WP Approve User.

Una volta installato e attivato il plugin, questo inizia subito a funzionare. Tutti gli utenti esistenti saranno già approvati (per evitare problemi).

I nuovi utenti, tuttavia, richiederanno l’approvazione manuale, che è possibile effettuare dall’area Utenti esistente nel cruscotto di WordPress:

Approvazione degli utenti con il plugin WP Approve User
Approvazione degli utenti con il plugin WP Approve User

Avete anche la possibilità di inviare e personalizzare le email per quando un utente è:

  • Approvato
  • Non approvato

Potete abilitare queste email e personalizzarne il contenuto da Impostazioni → Approva utente.

Bloccare gli Indirizzi IP Malevoli

Se la maggior parte delle registrazioni spam proviene dagli stessi indirizzi IP, potete ridurre il problema bloccando l’accesso al vostro sito a quegli indirizzi IP.

Se ospitate su Kinsta, vi offriamo uno strumento di blocco degli IP nel cruscotto di Kinsta. Per accedervi, aprite il sito in cui avete problemi e selezionate l’opzione Blocca IP nella barra laterale del cruscotto del sito:

Come bloccare gli indirizzi IP con MyKinsta
Come bloccare gli indirizzi IP con MyKinsta

Anche la maggior parte degli host che utilizzano cPanel dovrebbe fornire uno strumento di blocco degli IP.

Modificare l’URL di Registrazione di WordPress

Se volete aggiungere un po’ di “security by obscurity” alla vostra pagina di registrazione e ridurre il traffico bot di basso livello, potete modificare l’URL della pagina di registrazione in modo che sia diversa dall’URL predefinito utilizzato da tutti i siti WordPress.

La pagina di registrazione fa in realtà parte della pagina di login di WordPress, quindi è possibile farlo con qualsiasi plugin che permetta di modificare l’URL di login di WordPress.

Una buona soluzione è il plugin gratuito WPS Hide Login.

Una volta che avete installato il plugin, andate su Impostazioni → WPS Hide Login e inserite il nuovo URL. Potete anche reindirizzare l’URL predefinito su un’altra pagina, come la pagina 404:

Come modificare l'URL di registrazione di WordPress
Come modificare l’URL di registrazione di WordPress

Ad esempio, se modificate l’URL di accesso a yoursite.com/sneakylogin, la pagina di registrazione predefinita non funzionerà più. La nuova pagina di registrazione sarà yoursite.com/sneakylogin/?action=register.

Utilizzare un Plugin Personalizzato per il Modulo di Registrazione di WordPress

Un’altra buona alternativa per fermare le registrazioni spam in WordPress è l’utilizzo di un plugin personalizzato per il modulo di registrazione di WordPress.

Questi plugin consentono di bypassare la solita procedura di registrazione di WordPress e di implementare una serie di utili soluzioni anti-spam come ad esempio:

  • URL di registrazione personalizzato – cambiare l’URL di registrazione rispetto a quello predefinito può ridurre lo spam di basso livello, anche se è improbabile che fermi lo spam delle registrazione degli utenti da solo.
  • Conferma via email – questo evita che gli utenti spam con email false richiedano ai nuovi utenti di confermare la loro email. Se un utente non conferma la sua email, il plugin scarta automaticamente la registrazione.
  • Approvazione dell’amministratore per i nuovi utenti – questi plugin possono di solito aiutare ad implementare la funzione di approvazione dell’amministratore di cui sopra.
  • Prevenzione dello spam – questi plugin possono anche aiutarvi ad aggiungere i campi CAPTCHA o honeypot al vostro modulo di registrazione personalizzato.

Molti plugin multiuso per i form di WordPress includono anche la possibilità di creare moduli di registrazione personalizzati con funzioni anti-spam. Tuttavia, l’aspetto negativo è che di solito si ottengono le funzioni di registrazione solo nella versione premium. Se siete disposti a pagare un canone, alcune buone opzioni sono:

Diamo un’occhiata più da vicino a due soluzioni gratuite fornite dai plugin User Registration e Profile Builder.

1. User Registration

Quando installate il plugin gratuito User Registration, questo vi darà la possibilità di creare automaticamente la vostra pagina di registrazione personalizzata che si trova su yoursite.com/registration (potete sempre cambiare questo URL).

Avete anche altre opzioni per ridurre lo spam durante la procedura di registrazione.

In primo luogo, nella scheda Opzioni generali delle impostazioni del plugin, è possibile utilizzare il menu a tendina dell’opzione di login utente per richiedere l’approvazione dell’amministratore dopo che un utente si è registrato:

Abilitare l'approvazione dell'amministratore nel plugin User Registration
Abilitare l’approvazione dell’amministratore nel plugin User Registration

Potete anche andare alla scheda Integrazione per impostare Google reCaptcha (avrete bisogno delle vostre chiavi API – potete seguire gli stessi passaggi descritti prima in questo post):

Abilitazione di reCAPTCHA nel plugin User Registration
Abilitazione di reCAPTCHA nel plugin User Registration

Per abilitare CAPTCHA su uno specifico modulo di registrazione, è necessario anche modificare quel modulo e abilitarlo lì. Quando modificate un modulo, se lo desiderate, potete anche aggiungere altri campi di informazioni sul profilo.

2. Profile Builder

Il plugin gratuito Profile Builder segue lo stesso approccio di base.

Per personalizzare i campi del modulo di registrazione, potete andare su Profile Builder → Form Fields. Per aggiungere un CAPTCHA al vostro form, potete includere un campo reCAPTCHA, in cui è necessario aggiungere le chiavi API:

Aggiungere un campo CAPTCHA nel plugin Profile Builder
Aggiungere un campo CAPTCHA nel plugin Profile Builder

Poi, per visualizzare il modulo di registrazione personalizzato, potete aggiungere lo shortcode [wppb-register] in qualsiasi punto del sito.

Profile Builder include anche una funzione che richiede l’approvazione dell’amministratore per le nuove registrazioni, ma è disponibile solo nella versione premium.

Riepilogo

Se vi è necessario consentire la registrazione pubblica sul vostro sito WordPress, le registrazioni spam possono costituire un problema frustrante. Potete ridurre o addirittura eliminare completamente lo spam delle registrazioni combinando diverse soluzioni.

L’opzione più semplice e leggera è quella di aggiungere un NoCAPTCHA reCAPTCHA al modulo di registrazione predefinito di WordPress. La maggior parte dei visitatori umani non noterà nulla di diverso, ma Google mostrerà i test CAPTCHA ai bot per prevenire le registrazioni spam.

Se desiderate una revisione completa, è anche possibile utilizzare un plugin dedicato di registrazione di WordPress per creare un modulo di registrazione personalizzato che includa le vostre proprietà anti-spam, oltre a funzionalità come l’approvazione dell’amministratore per i nuovi utenti.

Matteo Duò Kinsta

Redattore Capo presso Kinsta e Content Marketing Consultant per sviluppatori di plugin WordPress. Entra in contatto con Matteo su Twitter.