Non c’è dubbio che la sicurezza di WordPress sia importante. Dopo tutto, qualsiasi violazione può causare gravi danni al vostro sito. Eppure, con gli hacker che usano i bot per aggredire in modo rapido e preciso i siti web, potreste avere la sensazione che le probabilità non vadano a vostro favore.
Fortunatamente, c’è uno strumento molto semplice che potete usare per tenere i bot e gli spammer fuori dal vostro sito WordPress. Incorporare un CAPTCHA (che sta per “Completely Automated Turing test to tell Computers and Humans Apart”) è un modo semplice e a basso costo per rendere più sicuro il vostro sito web.
Questa guida vi darà un’introduzione sui CAPTCHA e su come questi possono svolgere un ruolo nella protezione del vostro sito da hacker e spam. Vi spiegheremo poi come aggiungerli al vostro sito e vi presenteremo alcuni dei migliori plugin di CAPTCHA per WordPress.
Cominciamo!
Capire i CAPTCHA
Probabilmente, navigando online, vi siete imbattuti spesso in un CAPTCHA. Questi possono assumere forme diverse, ma la gran parte delle volte si tratta di un testo distorto da decifrare. Alcune versioni richiedono di selezionare le immagini che soddisfano determinate caratteristiche, partendo da un gruppo di foto a bassa risoluzione:
In ogni caso, si tratta di una “sfida” che la maggior parte degli esseri umani dovrebbe essere in grado di completare facilmente. Al giorno d’oggi nemmeno i bot avanzati sono in grado di dare un senso alle parole distorte o ai frammenti di immagini: quando non sono in grado di completare il test, vengono bloccati dal vostro sito (o qualsiasi altra cosa il CAPTCHA stia proteggendo).
Si tratta di uno strumento importante perché i bot sono utilizzati in molteplici situazioni che potrebbero compromettere la sicurezza e la credibilità del vostro sito web. Gli attacchi di forza bruta, ad esempio, ovvero una delle strategie di hacking più comuni, utilizzano i bot per inserire ripetutamente le credenziali nel modulo di login fino a quando non ottengono l’accesso al vostro sito.
Il Cross-Site Scripting (XSS) è un altro tipo di cyberattack in cui gli hacker iniettano codice dannoso nel vostro sito tramite un modulo, come la vostra pagina di login o la sezione commenti. Questo potrebbe condurre a malware memorizzati sul vostro sito, informazioni rubate e altre conseguenze poco piacevoli.
I bot possono anche essere utilizzati per lo spamming della sezione commenti con link di bassa qualità che danneggiano l’ottimizzazione dei motori di ricerca (SEO) e scoraggiano i veri utenti. Lo spam è fastidioso, ma soprattutto fa sembrare il vostro sito poco protetto e poco monitorato.
Ogni volta che sul vostro sito date la possibilità agli utenti di inserire informazioni (praticamente sempre) siete vulnerabili agli attacchi dei bot. La richiesta di un CAPTCHA prima dell’invio del modulo impedisce ai non umani di accedere al vostro sito o di iniettarvi codice dannoso.
Cos’È il reCAPTCHA di Google?
Anche se i CAPTCHA offrono chiaramente una varietà di vantaggi e protezioni al vostro sito, hanno qualche vantaggio. Ad esempio, tendono ad avere un impatto negativo sull’esperienza dell’utente (UX). Rallentando gli utenti, questi semplici test impediscono ai visitatori di raggiungere facilmente e rapidamente i loro obiettivi sul vostro sito.
Inoltre, gli utenti con problemi di vista o altre difficoltà come la dislessia possono trovare difficile completare i CAPTCHA. Tenere inavvertitamente gli utenti umani fuori dal vostro sito non è vantaggioso né per voi né per loro, anche se evita il passaggio dei bot.
Nel 2014, Google ha rilasciato il suo No CAPTCHA reCAPTCHA, uno strumento alternativo al produttore di giochi di parole e immagini distorte nato nel 2007. Il nuovo sistema richiede semplicemente agli utenti di spuntare una casella accanto alla scritta “Non sono un robot” per confermare la loro legittimità:
È un metodo molto più facile e veloce rispetto ai CAPTCHA più tradizionali e accessibile ad una più ampia gamma di utenti. Inoltre, Google ha continuato a migliorare questa tecnologia. Nel 2018 ha anche rilasciato quello che è stato definito un “CAPTCHA invisibile” in grado di rilevare i bot senza richiedere alcuna azione da parte degli utenti.
Aggiungendo un CAPTCHA al vostro sito WordPress, avrete la possibilità di scegliere il tipo di test da utilizzare. Tuttavia, tenete presente che l’implementazione di Google reCAPTCHA v2 o v3 dovrebbe contribuire a rendere il vostro sito più piacevole e accessibile agli utenti.
Come Aggiungere un CAPTCHA al Vostro Sito WordPress (in 3 Passi)
Quando si tratta di sicurezza WordPress, l’aggiunta di un CAPTCHA è uno dei modi più semplici per rendere più difficile l’infiltrazione dei bot nel vostro sito. Fortunatamente, incorporarne uno è anche facile. Potete impostare il vostro in tre semplici passi.
Passo 1: Installare e Attivare un plugin WordPress per CAPTCHA
Il modo più semplice per aggiungere un CAPTCHA al vostro sito WordPress è tramite un plugin. Ci sono molte soluzioni di ottima qualità nella directory dei plugin WordPress, quindi non c’è bisogno di dar fondo ai vostri risparmi per mettere al sicuro il vostro sito.
Prima di scegliere il plugin, tuttavia, ci sono un paio di caratteristiche chiave da considerare.
In primo luogo, tenete conto del tipo di CAPTCHA fornito dal plugin. Come abbiamo discusso in precedenza, Google reCAPTCHA è molto più facile da usare perché non richiede ai visitatori di far clic sulle immagini o di decodificare un testo deformato.
Inoltre, assicuratevi che il vostro plugin possa aggiungere CAPTCHA a diverse aree del vostro sito, non solo alla vostra pagina di login. Esploreremo questa idea in modo più dettagliato durante il passo 3. Per ora, tenete presente che ovunque compaia un modulo sul vostro sito, vi converrà dissuadere i bot con un CAPTCHA.
Vediamo tre plugin che soddisfano i criteri di cui sopra. Google Captcha (reCAPTCHA) by BestWebSoft è l’opzione più popolare, con oltre 200.000 installazioni attive:
Come suggerisce il nome, questo plugin incorpora un reCAPTCHA di Google v2 o v3 sulle pagine di login e di registrazione, sui moduli di reset della password e di contatto, e anche nei commenti e nelle pagine di testimonianze del vostro sito. Questo aiuta a prevenire lo spam, oltre ad aumentare la sicurezza.
Anche Advanced noCaptcha & Invisible Captcha è molto apprezzato, e include molte delle stesse caratteristiche:
Questo plugin offre anche la compatibilità multisito e si integra bene con i più diffusi strumenti di membership come bbPress e BuddyPress. Potete inoltre aggiungere più CAPTCHA a una singola pagina, se necessario.
Infine, vi consigliamo di considerare anche Login No CAPTCHA reCAPTCHA:
Questo plugin include il semplice reCAPTCHA di Google e può essere utilizzato nei moduli di login, registrazione e password dimenticate. Tuttavia, non si integra con la sezione commenti o con i moduli di contatto, il che lo limita un po’ rispetto agli altri due plugin che abbiamo esaminato.
Passo 2: Create il Vostro Google reCAPTCHA e Aggiungetelo al Vostro Sito
Una volta installato e attivato il vostro plugin, dovrete creare il vostro Google reCAPTCHA (supponendo che abbiate selezionato un plugin che ne utilizzi uno). Andate sulla console di amministrazione di Google reCAPTCHA e compilate il modulo di registrazione:
Noterete che sarà possibile scegliere tra un reCAPTCHA v2 o v3 e utilizzare un checkbox o un test invisibile. Quest’ultimo darà migliori risultati in termini di UX, in quanto non richiede alcuna azione da parte dell’utente. Tuttavia, la casella di controllo v2 tende ad essere più affidabile.
Una volta compilati tutti i campi, fate clic sul pulsante Submit. Nella schermata successiva, vi verranno date una Site Key e una Secret Key:
Dovrete inserire entrambe nelle impostazioni del plugin CAPTCHA sul vostro sito WordPress. Questo processo può variare leggermente a seconda del plugin scelto. Tuttavia, dovreste essere in grado di trovare facilmente le impostazioni nella barra laterale della dashboard e incollare le due chiavi nei relativi campi:
Non dimenticate di salvare le modifiche. Potete anche inserire un segnalibro nella vostra pagina della console di amministrazione di Google reCAPTCHA e controllarla regolarmente. Dopo che una quantità sufficiente di traffico live avrà visitato il vostro sito, sarete in grado di visualizzare preziose analisi relative alle richieste di invio dei moduli.
Passo 3: Configurare le Impostazioni per Proteggere le Sezioni Fondamentali
Come abbiamo detto prima, ci sono diverse sezioni del vostro sito ideali per incorporare il CAPTCHA e dargli così la massima protezione. Una volta installato il plugin di vostra scelta, potete personalizzare le impostazioni per assicurarvi che tutte le pagine importanti siano incluse.
Google CAPTCHA e Advanced No Captcha includono entrambi un elenco di checkbox nelle loro impostazioni generali. Qui potete selezionare dove desiderate utilizzare i reCAPTCHA:
Idealmente, questo includerà tutti i moduli che avete sul vostro sito, comprese sezioni vulnerabili come le seguenti:
- Pagina di login dell’amministratore di WordPress
- Pagina di accesso a WooCommerce
- Modulo di registrazione utente
- Modulo di recupero password
- Modulo di contatto
Il vostro sito può includere altri moduli unici, come l’invio di contenuti generati dall’utente, sondaggi o iscrizioni via email. In questi casi, vi consigliamo di scegliere Advanced noCaptcha & Invisible Captcha, un plugin che fornisce action hook per incorporare un reCAPTCHA di Google in qualsiasi forma.
In alternativa, potete investire in Google Captcha (reCAPTCHA) Pro. Questo plugin fornisce integrazioni aggiuntive con plugin popolari come Jetpack, MailChimp for WordPress e diversi builder per moduli.
Aggiungere un CAPTCHA alla Pagina di Accesso
La vostra pagina di login è un target primario per gli attacchi di forza bruta e gli attacchi di Cross-Site Scripting (XSS).
Per aggiungere un CAPTCHA con il plugin di Google Captcha, andate su WordPress e poi Google Captcha > Settings > General > Enable reCAPTCHA for; selezionate Login Form sotto WordPress Default:
La pagina di login sarà ora protetta.
Incorporare un CAPTCHA nella Pagina di Reimpostazione della Password
Quando i loro tentativi di accedere al vostro sito falliscono, gli hacker possono prendere di mira la pagina in cui gli utenti possono reimpostare le loro password. Per aggiungere un CAPTCHA e proteggere questa pagina, andate su Google Captcha > Settings > General > Enable reCAPTCHA for nella vostra dashboard WordPress:
Quindi, selezionate Reset password form dall’elenco WordPress Default.
Proteggete la Vostra Pagina di Accesso a WooCommerce con un CAPTCHA
La vostra pagina di accesso a WooCommerce è suscettibile di attacchi malevoli tanto quanto la vostra pagina principale di WordPress. Per proteggerlo con Google Captcha, avrete bisogno della versione premium del plugin (in basso in giallo). Quando siete pronti, andate su Google Captcha > Settings > General > Enable reCAPTCHA for nella dashboard WordPress:
Qui potete selezionare l’opzione WooCommerce Login form dall’elenco External Plugins.
Inserire un CAPTCHA nel Modulo di Contatto
Anche il vostro modulo di contatto può essere protetto con un CAPTCHA in modo simile a come già descritto. Tuttavia, ci sono diversi plugin per moduli di contatto che si integrano con Google CAPTCHA, tra cui:
Per aggiungere un CAPTCHA al modulo di contatto dovrete attivare uno degli strumenti di cui sopra sul vostro sito. Andate poi su Google Captcha > Settings > General > Enable reCAPTCHA for e fate clic sul checkbox relativo al vostro plugin preferito:
Questo completerà il processo. Se avete un altro plugin per il modulo di contatto in uso sul vostro sito WordPress, potreste considerare l’utilizzo di un altro plugin CAPTCHA che si integra con esso. Ci sono anche alcuni plugin per la costruzione di moduli che già incorporano i CAPTCHA, come WPForms.
Sommario
Tenere i bot maligni lontani dal vostro sito è vitale se volete proteggere i vostri contenuti, i vostri utenti e la reputazione del vostro brand. Uno dei modi più semplici per rallentarli è aggiungere un CAPTCHA ai moduli del vostro sito WordPress.
L’aggiunta di CAPTCHA al vostro sito WordPress richiede solo tre passaggi:
- Installare e attivare un plugin per WordPress CAPTCHA.
- Creare il vostro Google reCAPTCHA e aggiungerlo al vostro sito.
- Configurare le impostazioni per proteggere le aree fondamentali del vostro sito.
Avete domande sui CAPTCHA o su come utilizzarli in WordPress? Fatecelo sapere nella sezione dei commenti!
Redattore Capo presso Kinsta e Content Marketing Consultant per sviluppatori di plugin WordPress. Entra in contatto con Matteo su Twitter.
Lascia un commento