Os pedidos de spam no WooCommerce ocorrem quando bots ou fraudadores fazem pedidos falsos. Esses pedidos sobrecarregam o banco de dados da sua loja WordPress, desperdiçam seu tempo e podem até causar prejuízos financeiros com estornos (chargebacks). Diferente do spam de registro de usuários, os pedidos de spam afetam diretamente suas vendas e operações.

Esse problema geralmente ocorre devido a configurações de segurança fracas, como checkout aberto para convidados, falta de proteção contra bots e validação insuficiente de pedidos.

Como o WooCommerce não possui ferramentas nativas para bloquear pedidos de spam, será necessário tomar medidas extras para impedir esses ataques. Vamos direto ao ponto e explorar as melhores soluções!

1. Configure o Cloudflare: Sua primeira linha de defesa

Quando se trata de impedir pedidos de spam no WooCommerce, o Cloudflare é uma das ferramentas mais eficazes, pois bloqueia o tráfego malicioso antes mesmo de chegar ao seu site.

Diferente de outras soluções, como CAPTCHAs, plugins anti-spam e ferramentas de prevenção a fraudes, que filtram pedidos após a interação dos bots com sua loja, o Cloudflare atua na borda (edge) da rede, impedindo que bots alcancem suas páginas de checkout e registro.

O Cloudflare vai além de um simples CDN (Content Delivery Network), sendo uma verdadeira solução de segurança. Ele oferece o modo de combate a bots, regras de firewall de aplicativos web (WAF) e bloqueio de IP, que reduzem a carga em sua loja, protegem seus recursos e impedem que pedidos fraudulentos passem despercebidos.

Por que configurar uma conta Cloudflare se a Kinsta já inclui Cloudflare?

Durante a redação deste artigo, perguntamos aos engenheiros de suporte da Kinsta sobre isso. A resposta deles? A integração da Kinsta com o Cloudflare oferece uma segurança forte e de nível empresarial, mas configurar sua própria conta Cloudflare proporciona maior controle sobre as configurações de segurança.

O Web Application Firewall (WAF) integrado da Kinsta e a proteção contra bots aplicam regras de segurança em toda a plataforma, projetadas para proteger todos os sites hospedados conosco. No entanto, ao configurar uma conta pessoal no Cloudflare, você ganha a possibilidade de personalizar essas configurações de segurança especificamente para a sua loja WooCommerce.

Nossa equipe de suporte frequentemente recomenda que os clientes configurem sua própria conta Cloudflare antes da Kinsta. Isso permite:

  • Criar regras personalizadas de WAF para desafiar visitantes suspeitos nas páginas de checkout e registro.
  • Bloquear países inteiros ou permitir apenas as regiões em que sua empresa opera.
  • Aplicar filtragem adicional de bots antes que o tráfego chegue ao contêiner do seu site.

Dito isso, mesmo que você não tenha sua própria conta no Cloudflare, a equipe de suporte da Kinsta ainda pode bloquear bots ou IPs específicos no nível do contêiner, quando necessário. Mas se você quiser controle extra e proteção proativa, configurar o Cloudflare por conta própria é a melhor abordagem.

Como configurar o Cloudflare para proteção contra spam no WooCommerce

A primeira etapa é inscrever-se em uma conta gratuita do Cloudflare, caso você ainda não tenha uma. Uma vez conectado, você será levado ao painel de controle do Cloudflare.

Para começar, clique no menu suspenso + Add, clique em Existing domain e insira o domínio da sua loja WooCommerce. Isso permite que o Cloudflare gerencie o tráfego e aplique regras de segurança ao seu site.

Adicionando sua loja WooCommerce ao Cloudflare para ativar os recursos de segurança.
Adicionando sua loja WooCommerce ao Cloudflare para ativar os recursos de segurança.

Após inserir seu domínio, o Cloudflare solicitará que você selecione um plano. O plano gratuito é suficiente para a maioria das lojas WooCommerce, pois inclui Bot Fight Mode, proteção básica contra DDoS e regras de segurança. Selecione o Plano Gratuito e clique em Continue.

Selecionando o plano gratuito do Cloudflare para segurança básica e proteção contra bots.
Selecionando o plano gratuito do Cloudflare para segurança básica e proteção contra bots.

Em seguida, o Cloudflare examinará seus registros DNS atuais. Você verá uma lista de registros extraídos automaticamente do seu provedor de hospedagem existente. Verifique se o domínio principal e os subdomínios estão listados corretamente. Clique em Continue para prosseguir.

Verificando os registros DNS no Cloudflare antes de prosseguir.
Verificando os registros DNS no Cloudflare antes de prosseguir.

O Cloudflare agora fornecerá novos nameservers. Para ativar os recursos de segurança do Cloudflare, será necessário atualizar os nameservers do seu domínio no seu registrador de domínios.

Após atualizar os nameservers, volte ao Cloudflare e clique em Done, Check Nameservers. O Cloudflare pode levar alguns minutos para detectar as mudanças. Assim que seu site estiver ativo no Cloudflare, você poderá configurar as regras de proteção contra bots.

Ativar o Bot Fight Mode para bloquear bots maliciosos

Um dos recursos de segurança integrados do Cloudflare é o Bot Fight Mode, que bloqueia bots maliciosos conhecidos antes que eles possam interagir com sua loja WooCommerce.

Para ativá-lo, navegue até Security > Bots em seu painel do Cloudflare. Localize o Bot Fight Mode e ative-o.

Ativando o Modo de Combate a Bots do Cloudflare para bloquear bots maliciosos.
Ativando o Modo de Combate a Bots do Cloudflare para bloquear bots maliciosos.

Isso ajudará imediatamente a reduzir os pedidos automatizados de spam, impedindo que os bots cheguem às suas páginas de checkout e registro.

Ao ativar o Bot Fight Mode, também é uma boa ideia ativar o Block AI Bots, que está localizado ao lado dele. Nossos engenheiros de suporte mencionam que, embora essa configuração não seja estritamente necessária para a prevenção de spam do WooCommerce, ela pode ajudar com os picos de desempenho causados por bots de IA que fazem scraping agressivo do seu site. Esses bots frequentemente enviam grandes volumes de solicitações não armazenadas em cache, o que pode desacelerar seu site.

Crie uma regra WAF personalizada para a proteção contra spam do WooCommerce

O WAF do Cloudflare permite que você configure regras para filtrar o tráfego de spam antes que ele chegue à sua loja WooCommerce. Nossos engenheiros de suporte compartilharam exemplos de duas regras úteis: uma que desafia visitantes suspeitos em páginas-chave e outra que bloqueia o tráfego de países específicos.

Para proteção de checkout e registro, a regra deve ter como alvo o caminho do URI e a string de consulta da URL. Em Security > WAF do Cloudflare, crie uma regra chamada WooCommerce Spam Protection. Defina o caminho do URI para conter /checkout/ e /my-account/ e adicione também a string de consulta da URL que contém wc-ajax=checkout. A ação deve ser um Managed Challenge, que força os usuários suspeitos a verificar se são humanos antes de prosseguir.

Criando uma regra WAF no Cloudflare para proteger o checkout do WooCommerce.
Criando uma regra WAF no Cloudflare para proteger o checkout do WooCommerce.

Para o bloqueio com base no país, crie uma regra separada em Security > WAF e defina o campo Country como não é igual a United States, Canada e United Kingdom (ou qualquer país suportado por sua loja). Defina a ação como Block, garantindo que apenas visitantes de regiões aprovadas possam acessar seu site.

Bloqueando países de alto risco nas configurações do WAF do Cloudflare.
Bloqueando países de alto risco nas configurações do WAF do Cloudflare.

Essas regras ajudam a evitar bots de spam automatizados e pedidos fraudulentos de regiões de alto risco, ao mesmo tempo em que permitem o acesso de clientes legítimos.

Quando terminar, clique em Deploy Rule. O Cloudflare agora desafiará tráfego suspeito nessas páginas, bloqueando bots de spam automatizados enquanto permite a passagem de clientes reais.

Embora o Cloudflare seja a melhor primeira linha de defesa, ainda pode ser necessário um filtro adicional no nível do site. Plugins podem ser úteis para analisar dados dentro do próprio WooCommerce, como:

  • Verificar os detalhes do cliente antes de bloquear um pedido.
  • Filtrar registros de spam com base em domínios de e-mail ou histórico de IP.
  • Evitar pedidos falsos que passam pela proteção de bots.

Nossos engenheiros de suporte recomendam que você use o Cloudflare sempre que possível para bloquear o spam antes que ele chegue ao site. No entanto, se o Cloudflare sozinho não for suficiente ou se você preferir lidar com a filtragem de spam diretamente no WordPress, aqui estão algumas outras opções para ajudar a impedir pedidos de spam no WooCommerce.

2. Adicione CAPTCHA aos formulários de checkout e registro

Uma das maneiras mais fáceis e eficazes de bloquear pedidos de spam é adicionar um CAPTCHA aos principais formulários da sua loja WooCommerce.

CAPTCHA significa Completely Automated Public Turing test to tell Computers and Humans Apart. É uma medida de segurança que ajuda a impedir que bots e spammers acessem seu site. O CAPTCHA desafia os usuários com tarefas simples, como selecionar imagens, marcar uma caixa ou digitar um texto distorcido, que são fáceis para os humanos, mas difíceis para os bots resolverem.

Usando CAPTCHA para impedir que bots enviem pedidos falsos.
Usando CAPTCHA para impedir que bots enviem pedidos falsos. (Fonte: Arstechnica.com)

Ao fazer isso, o CAPTCHA impede que os bots automatizados enviem pedidos falsos e permite que os clientes reais concluam suas compras sem problemas.

Para evitar pedidos de spam de forma eficaz, você deve adicionar CAPTCHA nos seguintes formulários:

  • Formulários de checkout – Impede que bots finalizem pedidos falsos.
  • Formulários de registro – Evita a criação de contas de clientes falsas.
  • Formulários de login – bloqueia ataques de força bruta onde bots tentam acessar contas.

Vários plugins facilitam a integração do CAPTCHA ao seu site WooCommerce, mas recomendamos que você use o Simple Cloudflare Turnstile ou o Advanced Google reCAPTCHA. Você só precisa implementar um deles. A seguir, mostraremos a você as duas opções.

Opção 1: Usando o Simple Cloudflare Turnstile

Configurando o Cloudflare Turnstile para proteção CAPTCHA.
Configurando o Cloudflare Turnstile para proteção CAPTCHA.

O Cloudflare Turnstile é uma alternativa ao Google reCAPTCHA que respeita a privacidade. Ele verifica automaticamente os usuários sem exigir que eles resolvam quebra-cabeças, tornando o processo de checkout mais suave.

Para usar o Cloudflare Turnstile em seu site WordPress, navegue até o site do Cloudflare e inscreva-se ou faça login. Depois de fazer isso, você será levado ao seu painel do Cloudflare. Em seu painel, procure o Turnstile. Se esta for a primeira vez que você o usa, clique no botão Add Widget.

Criando um widget Turnstile do Cloudflare para a segurança do WooCommerce.
Criando um widget Turnstile do Cloudflare para a segurança do WooCommerce.

Em seguida, nomeie seu widget (por exemplo, WooCommerce Checkout CAPTCHA) para que você possa identificá-lo mais tarde. Depois disso, clique em Add Hostnames para adicionar seu site.

Nomeando o widget Cloudflare Turnstile e adicionando seu domínio.
Nomeando o widget Cloudflare Turnstile e adicionando seu domínio.

Agora, role para baixo para selecionar o Managed Widget Mode (Modo de widget gerenciado) e clique em Create.

Selecionando o Modo de Widget Gerenciado no Cloudflare Turnstile.
Selecionando o Modo de Widget Gerenciado no Cloudflare Turnstile.

Uma vez criado o widget, o Cloudflare gerará chaves API, que serão necessárias no painel do WordPress. Copie a chave do site e a chave secreta dessa página.

Há vários plugins para adicionar o CAPTCHA do Turnstile ao WordPress, mas o Simple Cloudflare Turnstile é uma opção gratuita e altamente recomendada.

Para usá-lo, vá para Plugins > Adicionar novo plugin. Na barra de pesquisa, digite Simple Cloudflare Turnstile. Em seguida, instale e ative o plugin.

Instalando o plugin Simple Cloudflare Turnstile no WordPress.
Instalando o plugin Simple Cloudflare Turnstile no WordPress.

Após ativar o plugin, vá para Configurações > Cloudflare Turnstile. Cole a Chave do Site e a Chave Secreta que você copiou anteriormente nos campos correspondentes.

Configurando o plugin Cloudflare Turnstile no WordPress.
Configurando o plugin Cloudflare Turnstile no WordPress.

Agora role para baixo e verifique os formulários nos quais você deseja ativar o Turnstile CAPTCHA. Conforme mostrado abaixo, selecione WooCommerce Login, Registration e Checkout.

Ativação do Cloudflare Turnstile CAPTCHA nos formulários do WooCommerce.
Ativação do Cloudflare Turnstile CAPTCHA nos formulários do WooCommerce.

Clique em Save Changes e você terminou. Abra a página de checkout do WooCommerce e você verá que o desafio CAPTCHA será exibido.

Opção 2: Usando o Google reCAPTCHA avançado

Configurando o Google reCAPTCHA para a segurança do WooCommerce.
Configurando o Google reCAPTCHA para a segurança do WooCommerce.

O Google reCAPTCHA é uma das ferramentas de proteção contra spam mais usadas. Ele oferece o reCAPTCHA v2 (verificação de caixa de seleção) e o reCAPTCHA v3 (verificação em segundo plano).

Para começar a usar o Google reCAPTCHA, faça login na sua conta do Google. Depois de fazer login, navegue até a página de Produtos reCAPTCHA e clique em Get Started. Isso levará você à área de administração, onde poderá registrar um novo site clicando em + Create. Digite um nome para identificar o CAPTCHA e escolha o tipo de desafio. Para este guia, selecione reCAPTCHA v2 e escolha a opção “I’m not a robot” Checkbox.

Selecionando reCAPTCHA v2 com a caixa de seleção
Selecionando reCAPTCHA v2 com a caixa de seleção “I’m not a robot” para segurança do WooCommerce.

Depois de selecionar o tipo de desafio, adicione o domínio do seu site sem nenhum prefixo (como example.com). Em seguida, clique em Submit copie a Chave do Site (Site Key) e a Chave Secreta (Secret Key) geradas para você.

Em seguida, volte ao painel do WordPress. Vá para Plugins > Adicionar novo, pesquise Advanced Google reCAPTCHA e clique em Instalar agora e ativar.

Instalando o plugin Advanced Google reCAPTCHA no WordPress.
Instalando o plugin Advanced Google reCAPTCHA no WordPress.

Depois de ativado, navegue até Configurações > Advanced Google reCAPTCHA. Selecione Captcha e cole a chave do site e a chave secreta do Google em seus respectivos campos.

Configurando o Advanced Google reCAPTCHA no WordPress.
Configurando o Advanced Google reCAPTCHA no WordPress.

Além disso, escolha como deseja que o CAPTCHA apareça e, em seguida, vá até a aba Where To Show. Aqui, ative o reCAPTCHA nos formulários e marque as opções WooCommerce Checkout e WooCommerce Registration. Por fim, clique em Save Changes para aplicar as configurações.

Ativando o Google reCAPTCHA nos formulários de checkout e registro do WooCommerce.
Ativando o Google reCAPTCHA nos formulários de checkout e registro do WooCommerce.

Com essa configuração concluída, abra a página de checkout da sua loja para verificar se o CAPTCHA está funcionando. Se tudo estiver configurado corretamente, a caixa de seleção Não sou um robô deverá aparecer onde for necessário.

3. Use plugins anti-spam

Embora o CAPTCHA ajude a impedir que bots enviem pedidos de spam, ele nem sempre é suficiente, especialmente contra táticas de spam mais sofisticadas. Por isso, é essencial utilizar plugins anti-spam. Esses plugins atuam filtrando automaticamente e-mails suspeitos, bloqueando IPs maliciosos e detectando padrões de pedidos fraudulentos antes que eles cheguem ao banco de dados do WooCommerce.

O WooCommerce não inclui proteção anti-spam integrada para pedidos, portanto, se você usar um plugin dedicado, poderá reduzir significativamente o spam sem aumentar o atrito com os clientes reais.

Há vários plugins anti-spam eficazes, mas duas das melhores opções para lojas WooCommerce são CleanTalk Spam Protect e o Akismet. Vamos ver como instalar e configurar o CleanTalk, que foi projetado especificamente para a prevenção de spam de pedidos do WooCommerce.

Como configurar o CleanTalk Spam Protect para WooCommerce

O CleanTalk é um serviço anti-spam premium que filtra pedidos de spam, bloqueia contas falsas e impede registros de bots – tudo isso sem exigir CAPTCHA. Ele funciona silenciosamente em segundo plano, verificando pedidos e envios de formulários em seu banco de dados global de spam.

Para começar, vá até o painel do WordPress e navegue até Plugins > Add New. Na barra de pesquisa, digite CleanTalk Spam Protect. Quando você o encontrar, clique em Install Now e depois em Activate.

Instalando e configurando o CleanTalk Spam Protect para WooCommerce.
Instalando e configurando o CleanTalk Spam Protect para WooCommerce.

Após a ativação, vá para Settings > Anti-Spam by CleanTalk. Você será solicitado a inserir uma chave de acesso. Como o CleanTalk é um serviço pago, você precisará criar uma conta no site do CleanTalk e se inscrever para uma assinatura.

Após o registro, o CleanTalk fornecerá uma chave de acesso, que você deve copiar e colar nas configurações do plugin.

Inserindo a chave de acesso do CleanTalk para ativar a proteção contra spam.
Inserindo a chave de acesso do CleanTalk para ativar a proteção contra spam.

Depois de inserir a chave, você pode confirmar se isso funcionará para seus formulários de checkout do WooCommerce clicando no link Advanced settings e rolando para baixo até a seção WooCommerce.

Definindo as configurações do CleanTalk para a proteção contra spam do WooCommerce.
Definindo as configurações do CleanTalk para a proteção contra spam do WooCommerce.

Quando você tiver ativado essas configurações, clique em Save Changes. Sua loja WooCommerce agora está protegida contra pedidos de spam e registros falsos.

4. Desabilite o checkout como convidado

Uma das causas dos pedidos de spam do WooCommerce é que o checkout de convidado está ativado por padrão.

Permitir que os clientes façam pedidos sem criar uma conta acelera o processo de checkout, mas também permite que bots e fraudadores enviem pedidos falsos sem restrições.

Desabilitar o checkout de convidado obriga os clientes a criar uma conta antes de fazer um pedido. Essa simples etapa acrescenta uma camada de segurança porque os bots geralmente têm dificuldade em preencher os campos adicionais necessários para o registro, especialmente quando combinados com CAPTCHA ou verificação de e-mail.

No entanto, antes de desativar o checkout de convidado, considere como isso pode afetar suas vendas. Alguns clientes preferem uma experiência de compra sem atritos e podem abandonar o carrinho se forem forçados a criar uma conta. Se a sua loja tiver muitos compradores ocasionais, talvez você queira explorar outras medidas de segurança antes de desativar totalmente o checkout de convidado.

Para desativar o checkout de convidado, vá para o painel do WordPress e navegue até WooCommerce > Settings. No menu de configurações, clique na guia Accounts & Privacy.

Desativando o checkout de convidado no WooCommerce para evitar pedidos de spam.
Desativando o checkout de convidado no WooCommerce para evitar pedidos de spam.

Quando terminar, role para baixo e clique em Save Changes.

Quando o checkout de convidado for desativado, os clientes não poderão mais fazer o check-out como convidados. Em vez disso, eles serão solicitados a fazer login em uma conta existente ou a criar uma nova conta antes de concluir a compra.

5. Use plugins antifraude

Mesmo com medidas CAPTCHA e anti-spam, algumas transações fraudulentas ainda podem ser aprovadas. Isso é especialmente comum com golpistas que usam cartões de crédito roubados, detalhes falsos de clientes ou pedidos gerados em massa para explorar as lojas do WooCommerce.

Para combater isso, os plugins antifraude adicionam uma camada extra de segurança, bloqueando transações suspeitas antes que elas sejam concluídas.

Esses plugins analisam vários fatores de risco, como endereços IP, domínios de e-mail, detalhes de cobrança e comportamentos incomuns de pedidos, para detectar possíveis fraudes. Se um pedido for sinalizado como de alto risco, o plugin poderá bloqueá-lo automaticamente, retê-lo para análise manual ou notificar o administrador da loja.

Uma das melhores opções disponíveis para o WooCommerce é o Fraud Prevention For WooCommerce and EDD (anteriormente Woo Blocker Lite). Vamos ver como você pode configurá-lo.

Como configurar a prevenção contra fraudes para o WooCommerce

O Fraud Prevention For WooCommerce and EDD é um plugin antifraude leve, porém poderoso, projetado para evitar pedidos falsos e transações de spam. Ele permite que os proprietários de lojas criem regras personalizadas de prevenção contra fraudes, visualizem detalhes de usuários na lista negra e gerem relatórios de fraudes, tudo isso sem afetar os clientes reais.

Para instalá-lo, vá para o painel do WordPress, navegue até Plugins > Add New e procure por Fraud Prevention For WooCommerce and EDD. Quando você o encontrar, clique em Install Now e, em seguida, em Activate.

Instalando o plugin Fraud Prevention for WooCommerce.
Instalando o plugin Fraud Prevention for WooCommerce.

Após a ativação, você verá um vídeo de demonstração explicando o que o plugin pode fazer. Você pode acessar a página de configurações do Fraud Prevention em Dotstore Plugins > Fraud Prevention. É aqui que você definirá as configurações de detecção de fraude para sua loja.

Configurando as definições do Fraud Prevention para bloquear pedidos suspeitos.
Configurando as definições do Fraud Prevention para bloquear pedidos suspeitos.

Decida se você deseja bloquear usuários fraudulentos durante o registro, o checkout ou ambos, selecionando as opções apropriadas na seção Blacklist Settings. Marque as caixas de acordo com o momento em que você deseja que o plugin detecte e evite atividades fraudulentas.

Você pode configurar as regras da lista negra no Fraud Prevention for WooCommerce.
Você pode configurar as regras da lista negra no Fraud Prevention for WooCommerce.

Você também pode colocar manualmente na lista negra usuários específicos com base em seu endereço de e-mail, endereço IP, estado ou CEP. Se você tiver notado tentativas repetidas de fraude de uma determinada fonte, adicioná-la à lista negra impedirá que futuros pedidos de spam sejam feitos.

Colocando usuários fraudulentos na lista negra manualmente no WooCommerce.
Colocando usuários fraudulentos na lista negra manualmente no WooCommerce.

Além disso, o plugin fornece um relatório detalhado de fraude que permite que você monitore atividades suspeitas e rastreie pedidos bloqueados. Isso ajuda os proprietários de lojas a identificar rapidamente padrões em transações fraudulentas e a tomar medidas proativas para proteger o site do WooCommerce.

Monitoramento de atividade fraudulenta no painel de relatório de fraude do WooCommerce.
Monitoramento de atividade fraudulenta no painel de relatório de fraude do WooCommerce.

Quando você tiver definido as configurações necessárias, clique em Save Changes. Sua loja agora está protegida contra táticas comuns de fraude e pedidos de spam.

Resumo

O spam de pedidos do WooCommerce pode ser um problema sério, mas com as medidas de segurança corretas, você pode manter sua loja segura.

Na Kinsta, nossa equipe de segurança 24/7/365, varreduras de malware de três minutos e proteção Cloudflare de nível empresarial ajudam a bloquear spam e atividades fraudulentas antes que cheguem à sua loja. Nossa hospedagem WooCommerce de alto desempenho pode aumentar a velocidade da sua loja em até 200%, garantindo transações tranquilas e seguras.

Se o seu provedor de hospedagem atual não está atendendo suas necessidades, conheça a hospedagem WooCommerce da Kinsta para obter mais desempenho e segurança aprimorada.

Joel Olawanle Kinsta

Joel é um desenvolvedor Frontend que trabalha na Kinsta como Editor Técnico. Ele é um professor apaixonado com amor pelo código aberto e já escreveu mais de 200 artigos técnicos, principalmente sobre JavaScript e seus frameworks.