Tentando parar o spam de registro do WordPress em seu site?

Por causa da imensa popularidade do WordPress, ele é um alvo suculento para os spammers de todo o mundo. Eles podem estar apenas tentando explorar o seu site e ganhar acesso. Ou, eles podem querer fazer spam na sua comunidade, como encher o seu fórum com tópicos de spam.

Se você permitir o registro público no seu site WordPress, você quase certamente terá problemas com registros de spam de alguma forma ou de outra.

Neste post, você vai aprender como reduzir os registros de spam usando uma mistura de recursos embutidos do WordPress e plugins gratuitos.

O Processo de Registro Padrão do WordPress

Antes de chegarmos às táticas, vamos discutir brevemente o processo de registro padrão do WordPress.

Se você permitir o registro público em seu site, a página de registro padrão do WordPress está localizada em https://yoursite.com/wp-login.php?action=register:

O formulário de registro padrão do WordPress
O formulário de registro padrão do WordPress

Como você pode ver, não há muito para impedir que atores maliciosos ou bots criem registros de spam.

Os bots podem ir direto para a sua página de registro anexando a mesma fórmula a cada domínio WordPress e não há nada que os impeça de preencher os campos do formulário.

Como Parar o Spam de Registro do WordPress

Há uma série de estratégias diferentes que você pode usar para impedir o spam no registro do WordPress. Dependendo das necessidades do seu site e da gravidade do seu problema, talvez você precise implementar apenas uma dessas estratégias ou talvez você precise tentar várias táticas para parar o spam.

Aqui está a lista completa de estratégias:

Desabilitar Completamente o Registro do WordPress

Em primeiro lugar, se você não precisa de registro público no seu site WordPress, é melhor apenas desativar o registro completamente ao invés de tentar combater os registros de spam.

Mesmo que você precise dar contas de outros usuários em seu site, isso não significa necessariamente que você precisa habilitar o registro público. Por exemplo, se você precisar apenas de um pequeno número de pessoas para ter suas próprias contas, você poderia criar manualmente contas para elas ao invés de deixá-las se cadastrar.

Para desativar completamente o registro do usuário no WordPress, vá em Configurações → Geral e certifique-se de que a caixa Qualquer um pode registrar está desmarcada:

Como desativar o registro no WordPress
Como desativar o registro no WordPress

Assim que você desabilitar o registro, qualquer pessoa que tentar visitar sua página de registro padrão verá esta mensagem:

Um exemplo de cadastro de deficientes físicos
Um exemplo de cadastro de deficientes físicos

Adicione CAPTCHA à sua Ficha de Inscrição

Outra forma de combater o spam de registro de usuários é adicionar um CAPTCHA ao formulário de registro padrão do WordPress.

Existem vários tipos de CAPTCHAs que você pode usar, mas a maioria das pessoas acha o serviço reCAPTCHA do Google o mais fácil de usar (também conhecido como No CAPTCHA reCAPTCHA). Ele visa ser invisível para a maioria dos visitantes humanos legítimos, enquanto ainda exibe um teste de CAPTCHA para os visitantes que ele determina serem provavelmente bots.

Para adicionar NoCAPTCHA reCAPTCHA ao seu formulário de registro no WordPress, você pode usar o plugin gratuito Advanced noCaptcha & invisível Captcha (v2 & v3).

Para configurar o plugin, você precisará primeiro gerar uma chave API reCAPTCHA gratuita do Google – o que envolve apenas entrar no seu site e escolher o tipo de reCAPTCHA a ser utilizado:

Gerando a chave API reCAPTCHA
Gerando a chave API reCAPTCHA

Em seguida, você pode ir para Settings → Advanced noCaptcha & invisible captcha para configurar o plugin:

  • Escolha a versão (certifique-se de que esta corresponde ao que você selecionou quando criou sua chave API).
  • Adicione sua Chave do Site e Chave Secreta (o Google lhe dá estas depois de enviar o formulário da captura de tela anterior).
  • Escolha onde ativar o seu CAPTCHA. Além do seu formulário de cadastro, você também pode habilitá-lo para outras partes do seu site, como o seu formulário de login
Como configurar o WordPress reCAPTCHA
Como configurar o WordPress reCAPTCHA

Assim que você salvar suas alterações, você deve ver seu formulário CAPTCHA na sua página de cadastro (a menos que você escolha um método invisível, caso em que ele só seria visível para bots suspeitos):

Um exemplo de reCAPTCHA no formulário de registro padrão
Um exemplo de reCAPTCHA no formulário de registro padrão

Use um Plugin Dedicado de Spam para Registro de WordPress

Alguns plugins anti-spam para todos os fins do WordPress podem ajudar a parar o spam no registro do WordPress, assim como spam em outras áreas, como a seção de comentários ou envio de formulários.

Infelizmente, o popular plugin Akismet comenta spam da Automattic não funciona para spam de registro, mas algumas outras opções populares que bloqueiam spam de registro incluem:

Mais uma vez, estes plugins não se limitam apenas a registrar spam, mas ajudam a bloquear os registros de spam como parte de seus esforços anti-spam em geral.

Exigir Aprovação de Admin para Novos Usuários

Se além das contas de spam em si, você também está preocupado com o que as pessoas fazem após o cadastro, outra boa estratégia é exigir a aprovação do administrador para novos usuários.

Por exemplo, se você está preocupado com pessoas que fazem spam no seu fórum bbPress ou na comunidade BuddyPress, exigir aprovação do administrador permite que você evite essa situação.

Esta é uma boa combinação com um CAPTCHA ou outra estratégia: o CAPTCHA irá filtrar spam automatizado de baixo nível e você pode usar a aprovação manual para pegar todo o resto.

No entanto, se você tiver toneladas de registros de spam e tentar implementar essa estratégia por si só, você pode se ver sobrecarregado tentando classificar todos os registros.

Para solicitar a aprovação do administrador para novos usuários, você pode usar o plugin gratuito WP Approve User.

Uma vez que você instala e ativa o plugin, ele começa a funcionar imediatamente. Todos os seus usuários existentes já serão aprovados (para evitar problemas).

Novos usuários, entretanto, exigirão aprovação manual, o que você pode fazer a partir da área Usuários existentes no seu painel de controle do WordPress:

Aprovação de usuários com plugin WP Approve User
Aprovação de usuários com plugin WP Approve User

Você também tem a opção de enviar e personalizar e-mails para quando um usuário estiver:

  • Aprovado
  • Não aprovado

Você pode habilitar estes e-mails e personalizar o seu conteúdo visitando Configurações → Aprovar Usuário.

Bloqueio de endereços IP maliciosos

Se a maior parte do seu registro de spam vem dos mesmos endereços IP, você pode reduzir o problema bloqueando esses endereços IP de acesso ao seu site em primeiro lugar.

Se você hospedar na Kinsta, nós oferecemos uma ferramenta de negação de IP no painel da Kinsta. Para acessá-la, abra o site onde você está tendo problemas e escolha a opção IP Deny na barra lateral do painel do site:

Como bloquear endereços IP com o MyKinsta
Como bloquear endereços IP com o MyKinsta

A maioria dos hosts cPanel também deve lhe dar uma ferramenta de bloqueio de IP.

Alterar a URL de registro no WordPress

Se você quiser adicionar alguma “segurança por obscuridade” à sua página de registro e cortar o tráfego de bot de baixo nível, você pode alterar a URL da sua página de registro para longe do padrão que todos os sites WordPress usam.

A página de registro é na verdade parte da página de login do WordPress, então você pode fazer isso com qualquer plugin que permita mudar a URL de login do WordPress.

Uma boa opção é o plugin gratuito WPS Hide Login.

Uma vez instalado o plugin, vá em Configurações → WPS Hide Login para inserir sua nova URL. Você também pode redirecionar a URL padrão para outra página, como a sua página 404:

Como alterar a URL de registro no WordPress
Como alterar a URL de registro no WordPress

Por exemplo, se você alterar sua URL de login para o seu site.com/sneakylogin, então a página de registro padrão não funcionará mais. Sua nova página de registro seria o seu site.com/sneakylogin/? action=register.

Use um Plugin Personalizado de Formulário de Registro WordPress

Outra boa alternativa para parar o spam no registro do WordPress é usar um plugin personalizado para o formulário de registro do WordPress.

Estes plugins permitem que você ignore o processo normal de registro no WordPress e também implemente uma série de táticas anti-spam úteis, como por exemplo:

  • URL de registro personalizada – mudar a URL de registro para longe do padrão pode reduzir o spam de baixo nível, embora seja improvável que isso impeça o spam de registro do usuário por si só.
  • Confirmação de e-mail – isso evita usuários de spam com e-mails falsos, exigindo que novos usuários confirmem seus e-mails. Se um usuário não confirmar seu e-mail, o plugin descartará automaticamente esse registro.
  • Aprovação de Admin para novos usuários – estes plugins normalmente podem ajudá-lo a implementar o recurso de aprovação de admin de cima.
  • Prevenção de Spam – estes plugins também podem ajudá-lo a adicionar CAPTCHA ou campos de honeypot ao seu formulário de registro personalizado.

Muitos plugins de formulário WordPress para todos os fins também incluem a capacidade de criar formulários de registro personalizados com recursos anti-spam. No entanto, a desvantagem aqui é que você normalmente só receberá os recursos de registro na versão premium. Se você estiver disposto a pagar, algumas boas opções são:

Vamos ver de perto como usar duas soluções gratuitas fornecidas pelos plugins Cadastro de Usuário e Construtor de Perfil.

1. User Registration

Quando você instalar o plugin gratuito User Registration, ele lhe dará uma opção para criar automaticamente sua página de registro personalizada localizada em seu site.com/registro (você pode sempre alterar esta URL).

Você tem algumas outras opções para reduzir o spam durante o processo de registro.

Primeiro, na guia Opções Gerais das configurações do plugin, você pode usar a opção de login do usuário para solicitar a aprovação do administrador após o registro do usuário:

Habilitando a aprovação do administrador no plugin User Registration
Habilitando a aprovação do administrador no plugin User Registration

Você também pode ir para a aba Integração para configurar o Google reCaptcha (você vai precisar das chaves da sua API – você pode seguir os mesmos passos de antes neste post):

Habilitando o reCAPTCHA no plugin de Registro de Usuário
Habilitando o reCAPTCHA no plugin de Registro de Usuário

Para habilitar o CAPTCHA em um formulário de cadastro específico, você também precisará editar esse formulário e habilitá-lo lá. Quando você edita um formulário, você também pode adicionar campos adicionais de informações de perfil, se desejar.

2. Profile Builder

O plugin gratuito do Profile Builder segue a mesma abordagem básica.

Para personalizar os campos do seu formulário de cadastro, você pode ir para o site → Profile Builder Campos do Formulário. Para adicionar um CAPTCHA ao seu formulário, você pode incluir um campo reCAPTCHA, no qual você precisará adicionar suas chaves API:

Adicionando um campo CAPTCHA no plugin Profile Builder
Adicionando um campo CAPTCHA no plugin Profile Builder

Então, para exibir seu formulário de registro personalizado, você pode adicionar o atalho [wppb-register] em qualquer lugar do seu site.

O Profile Builder também inclui um recurso para exigir aprovação do administrador para novos registros, mas só está disponível na versão premium.

Resumo

Se você precisa permitir o registro público no seu site WordPress, o registro de spam pode ser um problema frustrante. Você pode reduzir ou mesmo eliminar completamente o spam de registro combinando diferentes táticas.

A opção mais simples e leve é adicionar uma NoCAPTCHA reCAPTCHA ao formulário de registro padrão do WordPress. A maioria dos visitantes humanos não notará nada diferente, mas o Google exibirá os testes CAPTCHA para os bots para evitar que eles se registrem como spam.

Se você quiser uma revisão completa, você também pode usar um plugin de registro dedicado ao WordPress para criar um formulário de registro personalizado que inclui suas próprias propriedades anti-spam, bem como recursos como a aprovação do administrador para novos usuários.

Matteo Duò Kinsta

Editor-chefe da Kinsta e consultor de marketing de conteúdo para desenvolvedores de plugins do WordPress. Conecte-se com Matteo no Twitter.