Quando riceviamo ordini falsi effettuati da bot o truffatori, siamo alle prese con lo spam di WooCommerce. Questi ordini ingombrano il database di un negozio WordPress, fanno perdere tempo e causano perdite finanziarie dovute ai riaddebiti. A differenza dello spam nella registrazione degli utenti, gli ordini spam hanno un impatto diretto sulle vendite e sull’attività.
Questo problema spesso deriva da impostazioni di sicurezza deboli, come checkout aperto per gli ospiti, mancanza di protezione nei confronti dei bot e password deboli.
Dato che WooCommerce non dispone di strumenti integrati per prevenire gli ordini spam, per bloccarli sarà necessario adottare misure specifiche. Vediamo subito quali sono le soluzioni migliori per bloccare questi ordini.
1. La configurazione di Cloudflare: la prima linea di difesa
Per bloccare lo spam di ordini in WooCommerce, Cloudflare è lo strumento più efficace perché aiuta a bloccare lo spam prima che raggiunga il sito.
Se altre soluzioni, come i CAPTCHA, i plugin anti-spam e gli strumenti di prevenzione delle frodi, filtrano lo spam dopo che i bot hanno interagito con il negozio, Cloudflare blocca il traffico indesiderato alla fonte, impedendo ai bot di raggiungere le pagine di pagamento e di registrazione.
Cloudflare è molto più di una semplice rete di distribuzione di contenuti (CDN): è una centrale di sicurezza. Offre una Bot Fight Mode, regole per il Web Application Firewall (WAF) e il blocco degli IP, tutti strumenti che riducono il carico sul negozio, proteggono le risorse e impediscono agli ordini fraudolenti di passare.
Perché creare un account Cloudflare personale se Kinsta offre già Cloudflare?
Durante la scrittura di questo articolo, abbiamo posto questa domanda ai tecnici del supporto di Kinsta. La loro risposta? L’integrazione di Cloudflare di Kinsta offre una sicurezza forte e di livello enterprise, ma la creazione di un account Cloudflare personale permette di avere un maggiore controllo.
Il Web Application Firewall (WAF) integrato di Kinsta e la protezione dai bot applicano regole di sicurezza a livello di piattaforma, progettate per proteggere tutti i siti presenti sulla nostra piattaforma. Tuttavia, un account Cloudflare personale permette di personalizzare le impostazioni di sicurezza per uno specifico negozio WooCommerce.
Il nostro team di supporto consiglia spesso ai clienti di creare un proprio account Cloudflare in aggiunta a quello di Kinsta. Questo permette di:
- Creare regole WAF personalizzate per bloccare i visitatori sospetti sulle pagine di checkout e di registrazione.
- Bloccare interi paesi o consentire l’accesso solo da regioni in cui opera la propria azienda.
- Applicare un filtro bot aggiuntivo prima ancora che il traffico raggiunga il container del sito.
Detto questo, anche senza un account Cloudflare, il team di supporto di Kinsta può bloccare bot o IP specifici a livello di container, se necessario. Ma se si desidera avere un maggiore controllo e protezione proattiva, la configurazione di Cloudflare è la soluzione migliore.
Come configurare Cloudflare per la protezione antispam di WooCommerce
Il primo passo è quello di aprire un account Cloudflare gratuito, se non se ne ha già uno. Una volta effettuato l’accesso, si viene indirizzati alla dashboard di Cloudflare.
Per iniziare, si fa clic sul menu a tendina + Aggiungi, poi su Dominio esistente e si inserisce il dominio del negozio WooCommerce. In questo modo, Cloudflare potrà gestire il traffico e applicare le regole di sicurezza al sito.

Dopo aver inserito il dominio, Cloudflare chiederà di selezionare un piano. Il piano gratuito è sufficiente per la maggior parte dei negozi WooCommerce, in quanto include la modalità Bot Fight, la protezione DDoS di base e le regole di sicurezza. Selezioniamo il piano gratuito e facciamo clic su Continua.

Fatto questo, Cloudflare eseguirà una scansione dei record DNS attuali. Si vedrà un elenco di record estratti automaticamente dal provider di hosting. Bisogna assicurarsi che il dominio principale e i sottodomini siano elencati correttamente. Facciamo clic su Continua per procedere.

Cloudflare fornirà ora i nuovi nameserver. Per attivare le funzioni di sicurezza, sarà necessario aggiornare i nameserver del dominio presso il proprio registrar di domini.
Dopo aver aggiornato i nameserver, torniamo su Cloudflare e facciamo clic su Done, Check Nameservers. Cloudflare potrebbe impiegare qualche minuto per rilevare le modifiche. Una volta che il sito è attivo su Cloudflare, è possibile impostare le regole di protezione dai bot.
Abilitazione della modalità Bot Fight per bloccare i bot dannosi
Una delle funzioni di sicurezza integrate di Cloudflare è la modalità Bot Fight, che blocca i bot malevoli prima che possano interagire con il negozio WooCommerce.
Per attivare questo servizio, andiamo su Sicurezza > Bot nella dashboard di Cloudflare. Individuiamo Bot Fight Mode e attiviamolo.

Questo aiuterà immediatamente a ridurre gli ordini spam automatizzati impedendo ai bot di raggiungere le pagine di pagamento e di registrazione.
Quando si attiva la modalità Bot Fight, è bene attivare anche l’opzione Block AI Bots, che si trova proprio accanto. I nostri tecnici del supporto affermano che questa impostazione non è strettamente necessaria per la prevenzione dello spam di WooCommerce, ma può aiutare a prevenire i picchi di traffico causati dai bot AI che effettuano lo scraping aggressivo del sito. Questi bot spesso inviano un elevato volume di richieste non memorizzate nella cache, che possono rallentare il sito. Attivando l’opzione Block AI Bots, si riduce il traffico legato allo spam ed si evita un carico inutile sul server, mantenendo il negozio WooCommerce in perfetta efficienza.
Creare una regola WAF personalizzata per proteggersi dallo spam di WooCommerce
Il WAF di Cloudflare permette di impostare delle regole per filtrare il traffico spam prima che raggiunga il negozio WooCommerce. I nostri tecnici di supporto ci hanno fornito due utili regole di esempio: una che contesta i visitatori sospetti su pagine specifiche e un’altra che blocca il traffico proveniente da paesi specifici.
Per la protezione del checkout e della registrazione, la regola deve riguardare sia il percorso URI che la query string dell’URL. Nella sezione Sicurezza > WAF di Cloudflare, creiamo una regola denominata WooCommerce Spam Protection. Impostiamo il percorso dell’URI in modo che contenga /checkout/
e /my-account/
e aggiungiamo che la query string dell’URL contenga wc-ajax=checkout
. L’azione dovrebbe essere una Managed Challenge che obbliga gli utenti sospetti a verificare di essere umani prima di procedere.

Per il blocco basato sul paese, criamo una regola separata in Sicurezza > WAF e impostiamo il campo Paese su non uguale a United States
, Canada
e United Kingdom
(o qualsiasi paese supportato dal negozio). Impostiamo l’azione su Blocca, in modo da garantire che solo i visitatori provenienti da località approvate possano accedere al sito.

Queste regole evitano che i bot spam automatici e gli ordini fraudolenti provenienti da regioni ad alto rischio raggiungano il sito, consentendo ai clienti legittimi di accedere.
Una volta fatto, facciamo clic su Deploy Rule. Cloudflare ora contesterà il traffico sospetto su queste pagine, bloccando i bot di spam automatici e permettendo ai clienti reali di passare.
Anche se Cloudflare è la migliore prima linea di difesa, si potrebbe aver bisogno di un ulteriore filtro a livello di sito. I plugin sono utili quando si ha bisogno di analizzare i dati all’interno dello stesso WooCommerce, come ad esempio:
- Controllare i dati dei clienti prima di bloccare un ordine.
- Filtrare le registrazioni spam in base ai domini email o alla cronologia degli IP.
- Prevenire gli ordini falsi che sfuggono alla protezione dai bot.
I nostri tecnici di supporto consigliano di utilizzare Cloudflare quando possibile per bloccare lo spam prima che raggiunga il sito. Tuttavia, se Cloudflare da solo non è sufficiente o si preferisce gestire il filtro antispam direttamente in WordPress, ecco altre soluzioni per prevenire gli ordini spam di WooCommerce.
2. Aggiungere un CAPTCHA ai moduli di checkout e di registrazione
Una soluzione semplice ed efficace per bloccare gli ordini spam è aggiungere un CAPTCHA ai moduli principali del negozio WooCommerce.
CAPTCHA è l’acronimo di Completely Automated Public Turing test to tell Computers and Humans Apart. È una misura di sicurezza che aiuta a bloccare l’accesso al sito da parte di bot e spammer. Il CAPTCHA mette alla prova gli utenti con compiti semplici come la selezione di immagini, la spunta di una casella o la digitazione di un testo distorto, facili per gli esseri umani ma difficili da risolvere per i bot.

In questo modo, il CAPTCHA impedisce ai bot automatizzati di inviare ordini falsi e permette ai clienti reali di completare gli acquisti senza problemi.
Per prevenire efficacemente gli ordini spam, bisogna aggiungere il CAPTCHA a:
- Moduli di pagamento: per impedire ai bot di inviare ordini falsi.
- Moduli di registrazione: per impedire la creazione di account clienti spam.
- Moduli di accesso: per bloccare gli attacchi brute force con cui i bot cercano di accedere agli account.
Esistono diversi plugin che permettono di integrare facilmente i CAPTCHA in un sito WooCommerce, ma consigliamo di utilizzare Simple Cloudflare Turnstile o Advanced Google reCAPTCHA. È sufficiente implementarne solo uno. Di seguito illustriamo entrambe le soluzioni.
Opzione 1: Simple Cloudflare Turnstile

Cloudflare Turnstile è un’alternativa rispettosa della privacy a Google reCAPTCHA. Verifica automaticamente gli utenti senza chiedere loro di risolvere i puzzle, e in questo modo rende più fluido il processo di checkout.
Per utilizzare Cloudflare Turnstile in un sito WordPress, è necessario accedere o registrarsi al sito web Cloudflare. Una volta fatto, si verrà indirizzati alla dashboard di Cloudflare, dove bisogna cercare Turnstile. Se è la prima volta che lo si usa, bisognerà cliccare sul pulsante Add Widget.

Diamo un nome al widget (ad esempio, WooCommerce Checkout CAPTCHA) in modo da poterlo identificare in seguito. Quindi facciamo clic su Add Hostnames per aggiungere il sito web.

Ora scorriamo verso il basso per selezionare la modalità Managed Widget, quindi facciamo clic su Create.

Una volta creato il widget, Cloudflare genererà delle chiavi API che serviranno nella dashboard di WordPress. Copiamo la Site Key e la Secret Key da questa pagina.
Esistono diversi plugin per aggiungere Turnstile CAPTCHA a WordPress, ma Simple Cloudflare Turnstile è una soluzione gratuita che consigliamo vivamente.
Per utilizzarlo, andiamo su Plugin > Aggiungi nuovo. Nella barra di ricerca, digitiamo Simple Cloudflare Turnstile. Quindi, installiamo e attiviamo il plugin.

Dopo aver attivato il plugin, andiamo su Impostazioni > Cloudflare Turnstile. Incolliamo la Site Key e la Secret Key che abbiamo copiato in precedenza nei rispettivi campi.

Ora scorriamo verso il basso e spuntiamo i moduli su cui vogliamo abilitare il Turnstile CAPTCHA. Come mostrato di seguito, selezioniamo WooCommerce Login, Registration e Checkout.

Facciamo clic su Salva modifiche e il gioco è fatto. Aprendo la pagina di checkout di WooCommerce, noteremo che appare il CAPTCHA.
Opzione 2: Google reCAPTCHA avanzato

Google reCAPTCHA è uno degli strumenti di protezione dallo spam più utilizzati. Offre reCAPTCHA v2 (verifica della casella di controllo) e reCAPTCHA v3 (verifica in background).
Per iniziare, accediamo all’account Google e andiamo alla pagina reCAPTCHA Products. Qui facciamo clic su Get Started. In questo modo accederemo all’area di amministrazione, dove potremo registrare un nuovo sito cliccando su + Create. Inseriamo un’etichetta per identificare il CAPTCHA e scegliamo un tipo di sfida. Per questa guida, selezioniamo reCAPTCHA v2 e scegliamo l’opzione “I’m not a robot”.

Dopo aver selezionato il tipo di sfida, aggiungiamo il dominio del sito senza prefisso (come example.com
). Quindi, facciamo clic su Submit e copiamo la Site Key e la Secret Key generate per noi.
Poi torniamo alla bacheca di WordPress. Andiamo su Plugin > Aggiungi nuovo, cerchiamo Advanced Google reCAPTCHA e facciamo clic su Installa e Attiva.

Una volta attivato, andiamo su Impostazioni > Advanced Google reCAPTCHA. Selezioniamo il Captcha e incolliamo la Site Key e la Secret Key di Google nei rispettivi campi.

Scegliamo anche come far apparire il CAPTCHA, quindi passiamo alla scheda Where To Show. Qui, abilitiamo il reCAPTCHA sui moduli e selezioniamo sia WooCommerce Checkout che WooCommerce Registration. Infine, facciamo clic su Save Changes per applicare le impostazioni.

Una volta completata la configurazione, apriamo la pagina di checkout del negozio e controlliamo che il CAPTCHA funzioni. Se tutto è stato configurato correttamente, dovrebbe apparire la casella di controllo Non sono un robot dove richiesto.
3. I plugin anti-spam
Sebbene il CAPTCHA aiuti a prevenire l’invio di ordini spam da parte dei bot, non è sempre sufficiente, soprattutto quando ci si trova di fronte a tecniche di spam più sofisticate. In questo caso, è necessario utilizzare dei plugin anti-spam. Questi plugin filtrano automaticamente le e-mail di spam, bloccando gli indirizzi IP sospetti e rilevando gli ordini fraudolenti prima che raggiungano il database di WooCommerce.
WooCommerce non ha una protezione anti-spam integrata per gli ordini, quindi un plugin dedicato può ridurre significativamente lo spam senza aggiungere attriti per i clienti reali.
Sono disponibili diversi plugin anti-spam, ma due delle soluzioni più efficaci per i negozi WooCommerce sono CleanTalk Spam Protect e Akismet. Vediamo come installare e configurare CleanTalk, che è stato progettato specificamente per la prevenzione di ordini spam in WooCommerce.
Come configurare CleanTalk Spam Protect per WooCommerce
CleanTalk è un servizio anti-spam premium che filtra gli ordini spam, blocca gli account falsi e impedisce le registrazioni dei bot, il tutto senza richiedere il CAPTCHA. Funziona silenziosamente in background, controllando gli ordini e gli invii di moduli sul suo database globale di spam.
Per iniziare, accediamo alla bacheca di WordPress e andiamo su Plugin > Aggiungi nuovo. Nella barra di ricerca, digitiamo CleanTalk Spam Protect. Una volta trovato, facciamo clic su Installa ora e poi su Attiva.

Dopo l’attivazione, andiamo su Impostazioni > Anti-Spam by CleanTalk. Verrà richiesto di inserire una chiave di accesso. Dato che si tratta di un servizio a pagamento, sarà necessario creare un account sul sito web CleanTalk e sottoscrivere un abbonamento.
Dopo la registrazione, CleanTalk fornirà una chiave di accesso che bisognerà copiare e incollare nelle impostazioni del plugin.

Una volta inserita la chiave, verifichiamo se il plugin funziona per i moduli di checkout WooCommerce cliccando sul link Impostazioni avanzate e scorrendo fino alla sezione WooCommerce.

Una volta inserite le impostazioni, facciamo clic su Salva modifiche. Il negozio WooCommerce è ora protetto dagli ordini spam e dalle registrazioni false.
4. Disabilitazione del checkout per gli ospiti
Uno dei motivi per cui si riccevono ordini spam con WooCommerce è che il checkout per gli ospiti è abilitato di default.
Consentire ai clienti di effettuare ordini senza creare un account rende più veloce il checkout, ma permette anche a bot e truffatori di inviare ordini falsi senza restrizioni.
Disabilitare il checkout ospite obbliga i clienti a creare un account prima di effettuare un ordine. Questo semplice passaggio aggiunge un livello di sicurezza perché i bot spesso hanno difficoltà a compilare i campi richiesti per la registrazione, soprattutto se abbinati al CAPTCHA o alla verifica via e-mail.
Tuttavia, prima di disabilitare il checkout per gli ospiti, è bene valutare l’impatto che questa restrizione potrebbe avere sulle vendite. Alcuni clienti preferiscono un’esperienza di acquisto fluida e veloce e potrebbero abbandonare il carrello se costretti a creare un account. Se il negozio ha molti acquirenti occasionali, si potrebbero valutare altre misure di sicurezza prima di disattivare completamente il checkout ospite.
Per disattivare il checkout ospite, accediamo alla bacheca di WordPress e andiamo su WooCommerce > Impostazioni. Nel menu delle impostazioni, apriamo la scheda Accounts & Privacy.

Una volta fatto, scorriamo verso il basso e facciamo clic su Salva modifiche.
Ora clienti non potranno più effettuare il checkout come ospiti, ma gli verrà chiesto di accedere a un account esistente o di crearne uno nuovo prima di poter effettuare l’acquisto.
5. I plugin antifrode
Anche con il CAPTCHA e le misure anti-spam, possono sempre passare alcune transazioni fraudolente. Questo accade soprattutto con i truffatori che utilizzano carte di credito rubate, dati falsi dei clienti o ordini generati in massa per sfruttare le vulnerabilità dei negozi WooCommerce.
Per ridurre il fenomeno, possiamo utilizzare un plugin antifrode, che aggiunge un ulteriore livello di sicurezza bloccando le transazioni sospette prima che vengano completate.
Questi plugin analizzano vari fattori di rischio, come indirizzi IP, domini e-mail, dati di fatturazione e comportamenti insoliti sugli ordini, per individuare potenziali frodi. Se un ordine viene segnalato come ad alto rischio, il plugin può bloccarlo automaticamente, conservarlo per una revisione manuale o notificarlo all’amministratore del negozio.
Una delle migliori soluzioni disponibili per WooCommerce è Fraud Prevention For WooCommerce and EDD (ex Woo Blocker Lite). Vediamo come configurarlo.
Come configurare Fraud Prevention For WooCommerce
Fraud Prevention For WooCommerce and EDD è un plugin antifrode leggero ma potente, progettato per prevenire ordini falsi e transazioni spam. Permette ai proprietari di negozi di creare regole di prevenzione delle frodi personalizzate, di visualizzare i dettagli degli utenti in black list e di generare report sulle frodi, il tutto senza influenzare i clienti reali.
Per installarlo, nella bacheca di WordPress, andiamo su Plugin > Aggiungi nuovo e cerchiamo Fraud Prevention For WooCommerce and EDD. Una volta trovato, facciamo clic su Installa ora e poi su Attiva.

Dopo l’attivazione, verrà presentato un video dimostrativo che spiega cosa può fare il plugin. Potremo accedere alla pagina delle impostazioni di Fraud Prevention in Dotstore Plugins > Fraud Prevention. Qui è possibile configurare le impostazioni di rilevamento delle frodi per il negozio.

Decidiamo se bloccare gli utenti fraudolenti durante la registrazione, il checkout o entrambi selezionando le opzioni corrispondenti nella sezione Blacklist Settings. Selezioniamo le caselle in base a quello che vogliamo che il plugin rilevi per prevenire le attività fraudolente.

È possibile anche inserire manualmente nella blacklist utenti specifici in base a indirizzo e-mail, indirizzo IP, stato o codice postale. Se si notano ripetuti tentativi di frode da parte di una particolare fonte, aggiungendola alla black list di eviterà che vengano effettuati altri ordini spam.

Inoltre, il plugin fornisce un rapporto dettagliato sulle frodi che permette di monitorare le attività sospette e di tenere traccia degli ordini bloccati. Questo aiuta i proprietari di negozi a individuare rapidamente gli schemi delle transazioni fraudolente e ad adottare misure proattive per proteggere il proprio sito WooCommerce.

Una volta configurato il plugin, facciamo clic su Salva modifiche. Il negozio è ora protetto dai più comuni tentativi di frode e dagli ordini spam.
Riepilogo
Lo spam degli ordini su WooCommerce può costituire un problema serio, ma con le giuste misure di sicurezza è possibile mantenere il negozio al sicuro.
Il team della sicurezza di Kinsta è attivo 24 ore su 24, 7 giorni su 7, 365 giorni su 365, vengono eseguite scansioni anti malware ogni tre minuti e la protezione Cloudflare di livello enterprise è integrata nei nostri piano. Tutte queste misure aiutano a bloccare lo spam e le attività fraudolente prima che raggiungano il negozio. Il nostro servizio di hosting per WooCommerce assicura alte prestazioni e può aumentare la velocità del negozio fino al 200%, garantendo transazioni fluide e sicure.
Se il tuo hosting attuale non è all’altezza, prova l’hosting WooCommerce di Kinsta per garantire velocità e sicurezza superiori al tuo negozio online.