Si vous gérez un site WordPress, vous savez que le spam est un problème vraiment ennuyeux, qu'il s'agisse de formulaires de contact, de commentaires WordPress ou d'enregistrements d'utilisateurs.
La bonne nouvelle est qu'arrêter le spam dans WordPress est beaucoup plus facile que vous ne le pensez, et vous n'avez pas besoin d'outils coûteux non plus.
Nous avons passé plus de 16 ans à tester des plugins anti-spam, des outils et à affiner des stratégies pour protéger WPBeginner et nos autres sites Web professionnels contre les attaques de spam quotidiennes.
Dans ce guide ultime, nous vous expliquerons comment bloquer chaque type de spam WordPress, étape par étape, des bases à la protection avancée automatisée moderne contre le spam. Ce sont les méthodes exactes que nous utilisons pour protéger nos propres sites Web.

Nous couvrons beaucoup de terrain dans ce guide ultime, alors utilisez les liens rapides ci-dessous pour sauter directement à la section que vous souhaitez apprendre en premier :
- 1. Paramètres intégrés gratuits à activer en premier
- 2. Configurez une protection moderne contre les robots de spam alimentée par l'IA pour WordPress
- 3. Conseils pour les utilisateurs avancés pour arrêter le spam de commentaires WordPress
- 4. Arrêter le spam des formulaires de contact WordPress (meilleures pratiques)
- 5. Arrêter les enregistrements d'utilisateurs spam dans WordPress (meilleures pratiques)
- 6. Ajoutez un pare-feu WordPress sur l'ensemble du site
- 7. Nettoyer le spam WordPress et surveillance continue
- Questions fréquemment posées sur la protection anti-spam WordPress
1. Paramètres intégrés gratuits à activer en premier
WordPress est livré avec plusieurs options anti-spam qui peuvent protéger votre site contre le spam. Ces options intégrées n'arrêteront pas tous les robots, mais elles supprimeront immédiatement les cibles les plus faciles.
Nous recommandons toujours d'activer ces paramètres en premier, car ils ne coûtent rien et ne prennent que quelques minutes à configurer.
Resserrez vos paramètres de discussion WordPress
Pour empêcher le spam de commentaires, les paramètres de discussion intégrés de WordPress agissent comme votre première ligne de défense. Ils vous permettent de contrôler qui peut publier, quel type de liens est autorisé et quel contrôle vous avez sur la conversation.
Pour configurer ces contrôles anti-spam, accédez à Paramètres » Discussion dans votre tableau de bord WordPress.

L'outil le plus utile sur cet écran est la file d'attente de modération des commentaires. Cet outil agit comme une zone de rétention qui garde les soumissions cachées du public jusqu'à ce que vous ayez une chance de les examiner.
Comme rien ne devient public automatiquement, le spam n'atteint jamais vos visiteurs, même s'il parvient à passer vos autres filtres.
Pour activer cette option, faites défiler jusqu'à la section « Avant qu'un commentaire n'apparaisse » et cochez la case à côté de « Le commentaire doit être approuvé manuellement ».

Si vous le souhaitez, vous pouvez également activer « L'auteur du commentaire doit avoir un commentaire précédemment approuvé ». Cela permet aux commentateurs récurrents de publier sans attendre l'approbation. Cependant, assurez-vous de revoir régulièrement vos commentaires publiés car ils n'apparaîtront pas dans votre file d'attente de modération.
Après cela, faites défiler jusqu'à la boîte « Modération des commentaires », où vous trouverez un paramètre qui limite les liens. Comme les commentaires de spam contiennent presque toujours des adresses Web, WordPress peut automatiquement mettre en attente toute soumission qui inclut trop de liens.
Le champ « Conserver un commentaire dans la file d’attente s’il contient [X] liens ou plus » est défini sur 2 par défaut. Abaisser ce nombre à 1 vous aidera à attraper encore plus de spam.

Sur le même écran, vous pouvez utiliser la liste noire des commentaires pour filtrer automatiquement le contenu indésirable. Cet outil recherche des mots spécifiques, des noms, des adresses e-mail ou des adresses Web et envoie tout commentaire correspondant directement à la corbeille.
Dans la zone « Clés de commentaires refusés », vous pouvez coller vos propres mots déclencheurs, en plaçant un par ligne, puis enregistrer vos modifications.

Exiger un nom et un e-mail, et mettre en attente les commentateurs pour la première fois
Les discussions saines commencent par de vraies personnes. Exiger que les commentateurs saisissent un nom et un e-mail encourage des conversations plus réfléchies et décourage les commentaires anonymes et superficiels.
La plupart des visiteurs authentiques ne verront pas d’inconvénient à fournir ces informations, et cela contribue à créer une communauté plus accueillante et digne de confiance autour de votre site Web.
Pour activer cette option, faites défiler jusqu’à la section « Autres paramètres de commentaires » et cochez la case à côté de « L’auteur du commentaire doit remplir le nom et l’e-mail. »

Si vous souhaitez maîtriser le processus de révision et gérer votre file d’attente efficacement, notre guide pour débutants sur la modération des commentaires dans WordPress couvre l’ensemble du flux de travail.
Désactiver les commentaires là où vous n’en avez pas besoin
Selon le type de site Web que vous avez, vous n’avez peut-être pas besoin d’une section de commentaires du tout. Si tel est le cas, vous pouvez simplement désactiver les commentaires entièrement et vous débarrasser du problème de spam de commentaires WordPress une fois pour toutes.
L’option la plus complète est la méthode du code, qui désactive le support des commentaires sur l’ensemble de votre site en une seule fois. Il est plus sûr d’ajouter le extrait de code avec un plugin gratuit de snippets de code comme WPCode plutôt que de modifier directement les fichiers de votre thème, afin qu’une mise à jour du thème ne puisse pas l’annuler.
add_action('admin_init', function () {
// Redirect any user trying to access comments page
global $pagenow;
if ($pagenow === 'edit-comments.php') {
wp_safe_redirect(admin_url());
exit;
}
// Remove comments metabox from dashboard
remove_meta_box('dashboard_recent_comments', 'dashboard', 'normal');
// Disable support for comments and trackbacks in post types
foreach (get_post_types() as $post_type) {
if (post_type_supports($post_type, 'comments')) {
remove_post_type_support($post_type, 'comments');
remove_post_type_support($post_type, 'trackbacks');
}
}
});
// Close comments on the front-end
add_filter('comments_open', '__return_false', 20, 2);
add_filter('pings_open', '__return_false', 20, 2);
// Hide existing comments
add_filter('comments_array', '__return_empty_array', 10, 2);
// Remove comments page in menu
add_action('admin_menu', function () {
remove_menu_page('edit-comments.php');
});
// Remove comments links from admin bar
add_action('init', function () {
if (is_admin_bar_showing()) {
remove_action('admin_bar_menu', 'wp_admin_bar_comments_menu', 60);
}
});
Notre guide sur comment désactiver complètement les commentaires dans WordPress explique ce extrait de code ainsi que les autres options.
Si vous préférez ne pas agir sur l’ensemble du site, vous pouvez également désactiver les commentaires sur des pages individuelles. C’est pratique lorsque vous ne voulez les supprimer que sur des pages spécifiques, comme vos pages de contact ou à propos, qui nécessitent rarement une section de commentaires.
Pour ce faire, ouvrez la page dans l’éditeur de contenu WordPress. Cliquez ensuite sur l’option « Discussion » dans la barre latérale droite et sélectionnez « Fermé ».

Vous pouvez également empêcher le spam de s’accumuler sur le contenu plus ancien sans toucher à vos nouveaux articles. Si vous ne vous attendez pas à des commentaires sur les anciens articles, WordPress peut les fermer automatiquement après un certain nombre de jours.
Cela donne moins de chances aux robots de spam de cibler votre contenu archivé.
Pour configurer cela, allez dans Paramètres » Discussion et trouvez la section « Autres paramètres de commentaires ». Cochez la case à côté de « Fermer automatiquement les commentaires sur les articles plus anciens que [X] jours », puis définissez une limite raisonnable comme 30 ou 90 jours.

Désactiver les trackbacks et les pingbacks
Les trackbacks et pingbacks vous avertissent lorsqu’un autre site Web prétend avoir créé un lien vers l’un de vos articles de blog.
Bien qu'ils aient été initialement conçus pour aider les blogueurs à connecter les conversations entre différents sites Web, ils sont maintenant couramment utilisés par les spammeurs pour envoyer de fausses notifications de liens.
Désactiver cette fonctionnalité supprime complètement toute une catégorie de notifications indésirables de votre tableau de bord.
Pour désactiver ces notifications, accédez à l'écran Paramètres » Discussion dans votre tableau de bord WordPress. Ici, décochez la case à côté de « Autoriser les notifications de liens provenant d’autres blogs (backlinks et pings) sur les nouveaux articles ».

Une fois cela fait, n’oubliez pas de cliquer sur « Enregistrer les modifications » en bas de l’écran.
Sachez simplement que la modification de cette option ne protège que les articles que vous publiez à partir de maintenant. Si vous souhaitez nettoyer le contenu que vous avez déjà publié par le passé, vous pouvez suivre notre guide étape par étape sur comment désactiver les trackbacks et les pings sur les articles WordPress existants.
2. Configurez une protection moderne contre les robots de spam alimentée par l'IA pour WordPress
À l'ère de l'IA où le spam automatisé augmente, la meilleure défense contre celui-ci est une protection moderne contre le spam pour WordPress, alimentée par l'IA.
Ces solutions de filtrage de spam détectent et bloquent automatiquement le spam sur vos commentaires WordPress, formulaires de contact et inscriptions d'utilisateurs sans utiliser de CAPTCHA, ce qui peut nuire aux conversions.
Sur WPBeginner, nous utilisons ActiveLayer pour cela. Il est alimenté par l'IA et fonctionne côté serveur, il arrête donc le spam de manière invisible, sans CAPTCHA et il est conforme à la GDPR.
Au cours des 30 derniers jours, il a bloqué plus de 25 739 commentaires de spam et soumissions de formulaires de contact sur notre site Web. Il vous montre même un score de confiance et la raison derrière chaque soumission qu'il signale, pas seulement un verdict de réussite ou d'échec lorsque vous consultez leurs journaux.

Le plan gratuit comprend 1 000 vérifications de spam sans carte de crédit, et les plans payants commencent à environ 4 $ par mois facturés annuellement.
Les deux autres plugins populaires de filtrage de spam pour WordPress que vous pourriez essayer sont Akismet ou CleanTalk.
Akismet est très populaire et convient toujours aux blogs personnels, où son plan « nommez votre prix » peut être gratuit pour les sites non commerciaux. Mais ils ont considérablement augmenté leurs prix pour les sites commerciaux, ce qui est assez cher pour les petites entreprises. Pour un site d'entreprise, nous vous recommanderions ActiveLayer ou CleanTalk.
Quel que soit l'outil que vous choisissez, n'en utilisez qu'un seul, car l'exécution de deux filtres anti-spam à la fois peut entraîner des conflits et bloquer de vrais visiteurs. L'avantage de ces plugins de protection contre le spam est qu'ils s'intègrent par défaut à tous les autres plugins de formulaire de contact populaires.
3. Conseils pour les utilisateurs avancés pour arrêter le spam de commentaires WordPress
Jusqu'à présent, nous avons configuré les paramètres intégrés de prévention du spam dans WordPress et un plugin automatisé de filtrage du spam pour WordPress. La combinaison de ces deux devrait bloquer la plupart des spams.
Cependant, si vous ne pouvez pas mettre en place une protection moderne contre le spam par IA en raison des coûts ou d'une autre raison, vous pouvez utiliser l'un de ces conseils ci-dessous pour combattre le spam de commentaires dans WordPress.
Ajouter un CAPTCHA gratuit à votre formulaire de commentaires
CAPTCHA est un test simple que la plupart des visiteurs humains réussissent sans effort, tandis que les scripts automatisés échouent. Nous recommandons d'ajouter le CAPTCHA Cloudflare Turnstile à vos commentaires WordPress car il est gratuit et assez simple à configurer.
Pour le configurer, installez et activez le plugin gratuit Simple Cloudflare Turnstile. Il vous sera demandé de créer un compte gratuit sur le site Web de Cloudflare et de le connecter au plugin.
Une fois cela fait, vous pouvez faire défiler jusqu'à la section « Activer Turnstile sur vos formulaires ». Cochez simplement les cases pour protéger tous vos formulaires WordPress et cliquez sur « Enregistrer les modifications ».

Voici notre guide détaillé sur comment ajouter le CAPTCHA Cloudflare Turnstile dans WordPress.
Google reCAPTCHA est une autre option, que vous pouvez ajouter avec le plugin Advanced Google reCAPTCHA. Nous ne le recommandons plus car Google a plafonné son niveau gratuit à 10 000 évaluations par mois pour l'ensemble de votre organisation, tandis que Cloudflare Turnstile reste gratuit sans limites.
Limiter ou exiger la connexion pour commenter
Une autre façon très efficace d'arrêter le spam de commentaires dans WordPress est de contrôler qui est autorisé à participer aux commentaires.
Si votre section de commentaires est ouverte à tous, les spammeurs peuvent inonder continuellement vos formulaires avec des liens automatisés. Restreindre les commentaires aux titulaires de comptes enregistrés garantit que seuls les utilisateurs vérifiés peuvent publier. Cela impose un niveau de responsabilité que la plupart des robots ne s'embêteront pas à contourner.
Parce qu'il oblige les lecteurs à passer par l'étape supplémentaire de création et de connexion à un compte, cette approche convient mieux aux sites d'adhésion, aux forums en ligne et aux communautés privées.
Si vous gérez un blog public et ouvert, nous vous recommandons plutôt d'utiliser un service de filtrage automatisé ou un défi pour les lecteurs, car ceux-ci ajoutent moins de friction.
Si vous décidez d'activer cette restriction, allez dans Paramètres » Discussion dans votre tableau de bord WordPress. Sous la section « Autres paramètres de commentaires », cochez la case à côté de « Les utilisateurs doivent être enregistrés et connectés pour commenter. »

Comme toujours, n'oubliez pas d'enregistrer vos modifications.
Utilisez Antispam Bee pour un filtrage gratuit par mots-clés et motifs
Certains spams passent les vérifications de base en imitant l'écriture humaine. C'est là qu'un plugin de filtrage dédié peut aider à protéger votre site.
Antispam Bee est un excellent plugin anti-spam gratuit et respectueux de la vie privée qui ne nécessite pas de clé API ni d'enregistrement de compte. L'installation d'Antispam Bee vous donne un ensemble puissant de règles locales pour analyser les données de commentaires avant même qu'elles n'atteignent votre base de données.
Une fois activé, vous pouvez configurer vos règles en allant dans Paramètres » Antispam Bee.

Nous recommandons d'activer les options pour :
- Faire confiance aux commentateurs approuvés.
- Marquer comme spam.
- Ne pas supprimer.
- Utiliser des expressions régulières (ce qui permet au plugin de rechercher des motifs de texte et de liens connus).
Vous devriez également cocher la case « Rechercher dans la base de données locale des spams ». Cela permet à Antispam Bee de comparer les nouvelles soumissions à l'historique des spams précédents sur votre site.

Sous « Avancé », vous pouvez configurer Antispam Bee pour supprimer le spam existant après un certain nombre de jours, ce qui maintient votre base de données propre sans aucun effort manuel.
Nous vous recommandons vivement de laisser les notifications par e-mail pour le spam désactivées dans cette section. Un site Web très fréquenté peut attirer des centaines de soumissions automatisées par jour, et ces alertes inonderont rapidement votre boîte de réception.
Si vous souhaitez essayer une autre optimisation gratuite, vous pouvez supprimer le champ de l'adresse du site Web du formulaire de commentaires.
Notre guide étape par étape sur comment supprimer le champ de l'URL du site Web du formulaire de commentaires vous montre comment procéder en quelques étapes rapides.
4. Arrêter le spam des formulaires de contact WordPress (meilleures pratiques)
Les formulaires de contact et de prospects sont parmi les parties les plus attaquées de tout site WordPress. Nous le savons par expérience, car nous avons dû combattre plus de 18 000 entrées de spam inondant un seul formulaire.
Nous utilisons WPForms pour créer des formulaires sur WPBeginner, et c'est un plugin de création de formulaires populaire utilisé par plus de 5 millions de sites Web. Leur version gratuite inclut une protection anti-spam intelligente, des intégrations CAPTCHA avec Google / Cloudflare Turnstile, et les plans payants ajoutent les options de filtrage que nous couvrons ci-dessous.
D'autres constructeurs de formulaires populaires comme Gravity Forms et Fluent Forms ont des paramètres anti-spam similaires, alors vérifiez les options du plugin de création de formulaires que vous utilisez. Nous montrerons WPForms ici car c'est ce que nous utilisons et considérons comme le meilleur choix pour les débutants.
Activer le jeton anti-spam par défaut (ou un pot de miel similaire)
Pour lutter contre le spam des formulaires de prospects, WPForms attache silencieusement un jeton unique et sensible au temps à votre formulaire à chaque chargement de page. Le jeton anti-spam bloque les scripts automatisés, ce qui signifie que les entrées de spam sont bloquées avant d'atteindre votre boîte de réception.
Il est activé par défaut pour les nouveaux formulaires, mais il est bon de le confirmer.
Ouvrez votre formulaire, allez dans Paramètres » Protection anti-spam et sécurité, et assurez-vous que « Activer la protection anti-spam moderne » est activé.

C'est une version moderne de la technologie Honeypot que la plupart des plugins de formulaire WordPress incluent, donc il peut être étiqueté comme Honeypot dans un autre outil de formulaire que vous pourriez utiliser.
Activer un CAPTCHA sur votre formulaire de contact
Les robots plus agressifs imitent la navigation humaine et passent le jeton invisible. L'ajout d'un champ CAPTCHA visible les arrête en forçant un défi qu'ils ne peuvent pas lire ou résoudre.
WPForms intègre à la fois Cloudflare Turnstile et Google reCAPTCHA, et nous utilisons Turnstile par défaut ici. Il est gratuit pour tout le monde et effectue ses vérifications en arrière-plan, de sorte que la plupart des visiteurs réels passent sans résoudre de puzzle.
Pour le configurer, allez dans WPForms » Paramètres » CAPTCHA et choisissez « Cloudflare Turnstile ».

Ensuite, ajoutez la clé de site et la clé secrète de votre compte Cloudflare, et enregistrez vos paramètres.
Enfin, ajoutez le champ CAPTCHA à chaque formulaire que vous souhaitez protéger.

Pour une présentation complète, consultez notre guide sur comment ajouter le CAPTCHA Cloudflare Turnstile dans WordPress.
Google reCAPTCHA est également sélectionnable sur le même écran WPForms » Paramètres » CAPTCHA. Nous utilisons Turnstile par défaut car il est gratuit et illimité, mais reCAPTCHA fonctionne toujours si vous le préférez.
Si vous préférez ne pas envoyer de données de visiteurs à Google ou Cloudflare, le champ Captcha personnalisé de WPForms (disponible dans tous les plans payants) crée le défi sur votre propre serveur à la place.
Ajoutez le champ, puis définissez-le sur un problème mathématique aléatoire ou votre propre question et réponse.

Utilisez des vérifications comportementales basées sur le temps pour arrêter le spam des formulaires de contact
Une vraie personne a besoin de plusieurs secondes pour lire une question et remplir un formulaire, tandis qu'un bot soumet en une fraction de seconde. Les vérifications basées sur le temps signalent ces soumissions impossibles à réaliser rapidement sans rien changer à ce que le visiteur voit.
Avec WPForms, l'option « Activer le temps minimum de soumission » est activée par défaut avec un temps minimum de soumission de 2 secondes. Cependant, vous pouvez mettre à jour le temps minimum à n'importe quelle valeur de votre choix.

Bloquer la soumission de formulaires par pays, IP, adresse e-mail, et plus encore
Certaines soumissions de spam de formulaires passent encore à travers à moins que vous ne vérifiiez le contenu lui-même. Dans la version Pro, WPForms vous permet de bloquer les entrées par adresse e-mail spécifique, par mot-clé, et par pays ou adresse IP.
Pour bloquer un expéditeur, ouvrez votre formulaire, sélectionnez le champ E-mail, ouvrez l'onglet Avancé, choisissez Liste noire, et entrez les adresses ou domaines à bannir. Un caractère générique comme *@example.com bloque un domaine entier.

Pour bloquer les phrases de spam, allez dans Paramètres » Protection contre le spam et sécurité.
Activez « Activer le filtre de mots-clés », ouvrez « Modifier la liste de mots-clés », et ajoutez chaque terme sur sa propre ligne.

Et si vous ne servez que certaines régions, activez « Activer le filtre de pays » sur le même écran pour autoriser ou refuser des emplacements.

Alternativement, si votre solution de formulaire WordPress n'a pas cette option, vous pouvez également bloquer les adresses IP dans WordPress.
5. Arrêter les enregistrements d'utilisateurs spam dans WordPress (meilleures pratiques)
Sur un site d'adhésion ou une boutique WooCommerce, les inscriptions de spam sont plus qu'une nuisance. Les faux comptes encombrent votre base de données d'utilisateurs et faussent vos métriques clients et e-mail.
Voici ce que vous pouvez faire pour empêcher les inscriptions d'utilisateurs de spam dans WordPress.
Désactiver l'inscription lorsque vous n'en avez pas besoin
Si vous n'avez pas de site d'adhésion ou de boutique e-commerce, vous n'avez probablement pas besoin d'autoriser l'inscription d'utilisateurs. La chose la plus simple pour empêcher le spam d'inscription d'utilisateurs est de le désactiver.
Allez simplement dans Paramètres » Général dans votre zone d'administration WordPress, et décochez la case « Toute personne peut s'inscrire ».

Exiger une confirmation par e-mail avant qu'un compte ne soit activé
Si vous avez besoin d'une inscription ouverte, l'objectif est de laisser entrer uniquement les vraies personnes tout en excluant les robots de spam. Le réglage qui arrête le plus d'inscriptions frauduleuses est d'exiger une adresse e-mail confirmée, ou une révision manuelle, avant qu'un compte ne soit actif.
Où ce contrôle se trouve dépend du plugin que vous utilisez pour gérer l'inscription des utilisateurs dans WordPress. Vous voudrez commencer par le réglage par défaut de votre plateforme plutôt que d'ajouter un plugin de formulaire général à un système qui gère déjà cela.
Si vous gérez une boutique WooCommerce, allez dans WooCommerce » Paramètres » Comptes et confidentialité. C'est ici que vous décidez si les clients peuvent créer un compte, limitez la création de compte au moment du paiement, ou conservez la possibilité de payer en tant qu'invité pour qu'aucune création de compte ne soit nécessaire.

WooCommerce de base n'ajoute pas d'étape de confirmation par e-mail par lui-même. Si vous en souhaitez une, vous aurez besoin d'une extension personnalisée de vérification par e-mail ou du formulaire d'inscription personnalisé abordé ci-dessous.
D'autres plateformes d'adhésion et de cours gèrent la vérification de compte dans leurs propres paramètres, commencez donc par là :
- MemberPress : WordPress crée le compte lors de l'inscription, associez-le donc au plugin gratuit User Verification pour maintenir le compte inactif jusqu'à ce que la personne confirme son e-mail. Consultez la documentation de MemberPress pour tous les détails.
- BuddyPress et BuddyBoss : l'activation par e-mail est intégrée, les nouveaux membres restent donc inactifs jusqu'à ce qu'ils cliquent sur le lien d'activation. Activez l'inscription sous Paramètres » Général (BuddyPress) ou BuddyBoss » Paramètres » Connexion et Inscription. Consultez la documentation BuddyPress et la documentation BuddyBoss pour plus de détails.
- LearnDash : l'inscription fonctionne avec le propre système d'utilisateurs de WordPress, il n'y a donc pas d'étape de confirmation par e-mail native. Un compte est activé dès qu'une personne s'inscrit. Pour maintenir les nouveaux comptes inactifs jusqu'à ce que l'e-mail soit vérifié, ajoutez cette vérification au niveau de WordPress ou du formulaire, en utilisant un plugin de vérification d'utilisateur ou le formulaire d'inscription personnalisé WPForms abordé ci-dessous.
Si vous créez un formulaire d'inscription personnalisé plutôt que d'utiliser l'un des systèmes ci-dessus, vous pouvez utiliser le module complémentaire WPForms User Registration qui vous permet d'activer la confirmation par e-mail dans les paramètres Inscription utilisateur du formulaire, avec un lien de confirmation par e-mail ou une approbation manuelle par l'administrateur.

Des options similaires sont disponibles dans Gravity Forms, WSForm et d'autres plugins de formulaire WordPress populaires. Pour une présentation complète, consultez notre guide sur comment modérer les nouvelles inscriptions d'utilisateurs.
Ajouter CAPTCHA et Honeypot au formulaire d'inscription WordPress
Les mêmes astuces qui protègent vos formulaires de contact WordPress fonctionnent également sur le formulaire d'inscription WordPress. Puisque vous avez déjà configuré Cloudflare Turnstile plus tôt, vous pouvez l'activer pour votre formulaire d'inscription en un clic.
Pour une présentation dédiée, consultez notre guide sur comment ajouter un CAPTCHA à vos formulaires de connexion et d'inscription.
Si vous utilisez la page d'inscription par défaut de WordPress, vous pouvez ajouter des champs honeypot cachés à votre formulaire d'inscription avec le plugin gratuit WP Armour. Le plugin enregistre tous les bots qu'il bloque sous WP Armour » Statistiques.

Utiliser des outils basés sur l'IA pour bloquer le spam d'inscription WordPress
Les honeypots et les CAPTCHAs arrêtent les bots évidents, mais ils ne peuvent pas repérer quelqu'un qui s'inscrit avec un e-mail jetable ou depuis une adresse IP connue comme étant problématique.
C'est là que la détection automatisée intervient. Elle analyse chaque nouvelle inscription par rapport aux données de réputation en temps réel et bloque celles qui semblent frauduleuses.
ActiveLayer et CleanTalk proposent tous deux cette fonctionnalité pour les inscriptions WordPress, et vous pouvez l'activer pour votre formulaire d'inscription de la même manière que vous l'avez fait pour vos formulaires de contact.
6. Ajoutez un pare-feu WordPress sur l'ensemble du site
Un pare-feu d'application Web (WAF) analyse chaque visiteur et bloque les requêtes malveillantes avant qu'elles n'atteignent votre site. La plupart des spams de formulaires étant automatisés, un bon pare-feu peut en arrêter une grande partie au périmètre.
Nous recommandons un pare-feu au niveau DNS, qui filtre le trafic sur le réseau du fournisseur avant qu'il n'atteigne votre serveur.
Sur WPBeginner, nous utilisons Cloudflare, qui dispose d'un plan gratuit avec une protection de pare-feu de base (la configuration nécessite de pointer les serveurs de noms de votre domaine vers Cloudflare).

Notre guide sur comment configurer le CDN et le pare-feu Cloudflare gratuits vous explique comment faire.
De plus, notre comparatif des meilleurs plugins de pare-feu WordPress compare les autres options si vous souhaitez les évaluer.
7. Nettoyer le spam WordPress et surveillance continue
Stopper le nouveau spam n'est que la moitié du travail. Si vous êtes comme la plupart des sites Web, vous avez déjà un historique de vieux spams à nettoyer.
Un nettoyage rapide permet de garder votre base de données propre et aide vos nouveaux outils à fonctionner au mieux.
🚨 Créez toujours une sauvegarde complète de WordPress avant de supprimer quoi que ce soit en masse. Ces actions effacent définitivement les données, sans possibilité d'annulation en cas d'erreur.
Supprimer en masse les commentaires indésirables existants
Le filtre anti-spam de WordPress signale les commentaires indésirables mais ne les supprime pas, ils peuvent donc s'accumuler dans votre dossier spam et occuper de l'espace dans la base de données jusqu'à ce que vous les supprimiez.
Dans votre tableau de bord, allez dans Commentaires, cliquez sur le filtre « Spam » en haut, et appuyez sur « Vider le Spam » pour effacer définitivement tout ce que vos filtres ont attrapé.

Si vous avez des milliers de commentaires indésirables, le tableau de bord peut se bloquer ou expirer. Un plugin gratuit comme WP Bulk Delete est plus rapide et plus fiable pour les gros volumes.
Pour d'autres méthodes, consultez notre guide sur comment supprimer en masse les commentaires WordPress.
Nettoyer les faux comptes utilisateurs existants
Laisser des profils de bots dans votre base de données représente un risque de sécurité et fausse vos analyses. C'est pourquoi il est important de nettoyer ces faux comptes.
Pour une poignée, allez dans Utilisateurs » Tous les utilisateurs, cliquez sur le filtre de rôle utilisateur « Abonné » (le rôle que presque tous les bots d'inscription utilisent), sélectionnez les faux comptes, et choisissez Supprimer dans le menu « Actions groupées ».
⚠️ Soyez très prudent pour ne sélectionner que les faux comptes d'Abonné, et jamais un compte Administrateur.

Pour des milliers de comptes, le plugin gratuit WP Bulk Delete peut supprimer les utilisateurs par rôle, inactivité ou date d'inscription en un seul passage.
Pour plus d'informations, consultez notre guide sur comment supprimer en masse les utilisateurs WordPress par rôle.
Gérer les faux positifs
Aucun filtre n'est parfait, alors ne supprimez jamais automatiquement votre dossier spam sans un rapide coup d'œil préalable.
Dans Commentaires » Spam, survolez un commentaire légitime et cliquez sur « Pas du spam ». Cela apprend également à votre filtre à reconnaître les commentaires similaires comme sûrs à l'avenir.

Établissez une routine mensuelle d'examen anti-spam
Quelques minutes par mois suffisent pour empêcher le spam de s'accumuler à nouveau. Ajoutez ces trois vérifications à votre routine de maintenance :
- Analysez les faux positifs : parcourez votre dossier de commentaires spam et vos entrées de formulaire pour vous assurer qu'aucun message réel n'a été intercepté par accident.
- Videz vos dossiers spam : une fois que vous avez récupéré tout ce qui est légitime, videz-les pour maintenir votre base de données légère.
- Vérifiez votre liste d'utilisateurs : examinez les nouvelles inscriptions à la recherche de noms d'utilisateur absurdes ou de domaines d'e-mail suspects qui auraient pu passer.
Points clés à retenir
Voici un résumé des meilleures pratiques que nous avons abordées pour protéger complètement votre site WordPress du spam :
- Commencez par les paramètres gratuits de WordPress : activez la modération des commentaires, resserrez vos limites de liens, créez une liste noire de commentaires et désactivez les trackbacks. Cela ne coûte rien et élimine le spam le plus facile.
- Utilisez un filtrage automatisé et invisible : un outil côté serveur comme ActiveLayer, Akismet ou CleanTalk bloque les bots en arrière-plan sans obliger les visiteurs réels à résoudre des énigmes.
- Renforcez les défenses de vos formulaires de contact : les honeypots seuls n'arrêtent plus les bots modernes, combinez-les donc avec des vérifications de temps, une validation de jeton et un filtre automatisé.
- Sécurisez vos inscriptions : exigez la confirmation par e-mail pour les nouveaux comptes et filtrez chaque inscription avec un outil automatisé.
- Ajoutez un pare-feu pour l'ensemble du site : un pare-feu au niveau DNS comme Cloudflare bloque une grande partie du spam automatisé au périmètre, avant même qu'il n'atteigne vos formulaires.
- Effectuez un nettoyage régulier : supprimez en masse les anciens commentaires spam et les faux comptes, puis passez quelques minutes chaque mois à vérifier les faux positifs.
Questions fréquemment posées sur la protection anti-spam WordPress
Le filtrage gratuit de type Akismet est-il suffisant, ou ai-je besoin de plus ?
Pour un petit blog personnel avec uniquement du spam de commentaires, un filtre gratuit unique comme Akismet est généralement suffisant. Une fois que vous ajoutez des formulaires de contact, des formulaires d'inscription ou des inscriptions d'utilisateurs, vous voudrez un service qui protège également ceux-ci, comme ActiveLayer ou CleanTalk.
L'ajout d'un CAPTCHA nuira-t-il à mes conversions de formulaires ?
Cela peut arriver. L'étape supplémentaire amène certains visiteurs réels à abandonner le formulaire. C'est pourquoi nous préférons la détection invisible côté serveur qui bloque les bots sans demander à personne de résoudre une énigme.
Pourquoi est-ce que je reçois toujours du spam après avoir installé un plugin anti-spam ?
Généralement parce que le plugin ne protège qu'un seul point d'entrée. S'il protège vos commentaires mais pas vos formulaires d'inscription ou de contact, les bots se déplacent simplement vers ceux-ci à la place, et les anciennes astuces comme les honeypots basiques n'arrêtent plus les bots modernes. La solution est une configuration en couches : vos paramètres WordPress intégrés, un filtre automatisé et un pare-feu travaillant ensemble.
Comment puis-je arrêter les fausses inscriptions d'utilisateurs sans désactiver complètement les inscriptions ?
Activez la confirmation par e-mail afin que les nouveaux comptes restent inactifs jusqu'à ce que la personne clique sur un lien dans sa boîte de réception, ce que les robots ne peuvent pas faire. Associez-le à un honeypot et à un filtre automatisé, et les vraies personnes pourront toujours s'inscrire librement.
Le spam peut-il réellement nuire à mon SEO ou faire mettre mon site sur liste noire ?
Cela peut arriver, mais cela dépend de l'endroit où se trouve le spam. Le spam de commentaires qui se trouve dans votre file d'attente de modération n'est jamais publié, donc les moteurs de recherche ne le voient jamais et votre SEO reste en sécurité.
Le spam publié est le vrai risque, car il peut lentement faire baisser votre classement. WordPress marque les liens de commentaires comme nofollow, ce qui limite les dégâts.
Nous espérons que cet article vous a aidé à apprendre comment protéger votre site Web WordPress contre le spam. Vous voudrez peut-être aussi consulter notre guide ultime de sécurité WordPress pour améliorer la sécurité de votre site Web.
Si vous avez aimé cet article, abonnez-vous à notre Chaîne YouTube pour des tutoriels vidéo WordPress. Vous pouvez également nous trouver sur Twitter et Facebook.

Vous avez une question ou une suggestion ? Veuillez laisser un commentaire pour lancer la discussion.