Se gestisci un sito WordPress, sai che lo spam è un problema davvero fastidioso, sia che provenga da moduli di contatto, commenti di WordPress o registrazioni di utenti.
La buona notizia è che bloccare lo spam su WordPress è molto più facile di quanto pensi e non servono strumenti costosi.
Abbiamo trascorso oltre 16 anni a testare plugin anti-spam, strumenti e a perfezionare strategie per proteggere WPBeginner e i nostri altri siti aziendali dagli attacchi di spam quotidiani.
In questa guida definitiva, ti spiegheremo come bloccare ogni tipo di spam di WordPress, passo dopo passo, dalle basi alla protezione avanzata automatizzata moderna. Questi sono i metodi esatti che utilizziamo per proteggere i nostri siti.

Copriamo molti argomenti in questa guida definitiva, quindi usa i collegamenti rapidi qui sotto per saltare direttamente alla sezione che desideri approfondire per prima:
- 1. Impostazioni integrate gratuite da attivare per prime
- 2. Configura la protezione moderna basata sull'IA per i bot di spam per WordPress
- 3. Suggerimenti per utenti esperti per bloccare lo spam nei commenti di WordPress
- 4. Bloccare lo spam nei moduli di contatto di WordPress (Best Practice)
- 5. Bloccare le registrazioni di utenti spam in WordPress (Best Practice)
- 6. Aggiungi un firewall WordPress per tutto il sito
- 7. Pulisci lo spam di WordPress e monitoraggio continuo
- Domande frequenti sulla protezione dallo spam di WordPress
1. Impostazioni integrate gratuite da attivare per prime
WordPress offre diverse opzioni anti-spam che possono proteggere il tuo sito. Queste opzioni integrate non fermeranno tutti i bot, ma rimuoveranno subito i bersagli più facili.
Consigliamo sempre di attivare prima queste impostazioni, perché non costano nulla e richiedono solo pochi minuti per essere configurate.
Rafforza le impostazioni di discussione di WordPress
Per prevenire lo spam nei commenti, le impostazioni di discussione integrate di WordPress fungono da prima linea di difesa. Ti permettono di controllare chi può pubblicare, che tipo di link sono consentiti e quanto controllo hai sulla conversazione.
Per configurare questi controlli anti-spam, vai su Impostazioni » Discussione nella tua bacheca di WordPress.

Lo strumento più utile in questa schermata è la coda di moderazione dei commenti. Questo strumento funge da area di attesa che mantiene le sottomissioni nascoste al pubblico finché non hai la possibilità di esaminarle.
Poiché nulla viene pubblicato automaticamente, lo spam non raggiunge mai i tuoi visitatori, anche se riesce a superare i tuoi altri filtri.
Per attivare questa opzione, scorri verso il basso fino alla sezione 'Prima che un commento appaia' e seleziona la casella accanto a 'Il commento deve essere approvato manualmente'.

Se vuoi, puoi anche abilitare 'L'autore del commento deve aver già avuto un commento approvato'. Questo permette ai commentatori abituali di pubblicare senza attendere l'approvazione. Tuttavia, assicurati di rivedere regolarmente i tuoi commenti pubblicati poiché non appariranno nella tua coda di moderazione.
Successivamente, scorri fino alla casella 'Moderazione commenti', dove troverai un'impostazione che limita i link. Poiché i commenti di spam contengono quasi sempre indirizzi web, WordPress può trattenere automaticamente qualsiasi sottomissione che includa troppi link.
Il campo etichettato ‘Metti in coda un commento se contiene [X] o più link’ è impostato su 2 per impostazione predefinita. Abbassare quel numero a 1 ti aiuterà a catturare ancora più spam.

Sulla stessa schermata, puoi usare la blocklist dei commenti per filtrare automaticamente i contenuti indesiderati. Questo strumento cerca parole specifiche, nomi, indirizzi email o indirizzi web e invia qualsiasi commento corrispondente direttamente nel cestino.
Nella casella ‘Chiavi commenti non consentiti’, puoi incollare le tue parole chiave, mettendone una per riga, e poi salvare le modifiche.

Richiedi nome ed email, e metti in coda i commentatori per la prima volta
Le discussioni sane iniziano con persone reali. Richiedere ai commentatori di inserire nome ed email incoraggia conversazioni più ponderate e scoraggia i commenti anonimi e superficiali.
La maggior parte dei visitatori genuini non avrà problemi a fornire questi dettagli, e questo aiuta a creare una community più accogliente e affidabile attorno al tuo sito web.
Per abilitare questa opzione, scorri fino alla sezione ‘Altre impostazioni commenti’ e seleziona la casella accanto a ‘L’autore del commento deve compilare nome ed email.’

Se vuoi padroneggiare il processo di revisione e gestire la tua coda in modo efficiente, la nostra guida per principianti alla moderazione dei commenti in WordPress copre l'intero flusso di lavoro.
Disabilita i commenti dove non ti servono
A seconda del tipo di sito web che hai, potresti non aver bisogno di una sezione commenti. Se questo è il caso, puoi semplicemente disabilitare i commenti del tutto e questo risolverà il problema dello spam dei commenti di WordPress una volta per tutte.
L'opzione più completa è il metodo del codice, che disabilita il supporto ai commenti su tutto il tuo sito in una volta sola. È più sicuro aggiungere lo snippet con un plugin gratuito per snippet di codice come WPCode piuttosto che modificare direttamente i file del tuo tema, in modo che un aggiornamento del tema non possa annullarlo.
add_action('admin_init', function () {
// Redirect any user trying to access comments page
global $pagenow;
if ($pagenow === 'edit-comments.php') {
wp_safe_redirect(admin_url());
exit;
}
// Remove comments metabox from dashboard
remove_meta_box('dashboard_recent_comments', 'dashboard', 'normal');
// Disable support for comments and trackbacks in post types
foreach (get_post_types() as $post_type) {
if (post_type_supports($post_type, 'comments')) {
remove_post_type_support($post_type, 'comments');
remove_post_type_support($post_type, 'trackbacks');
}
}
});
// Close comments on the front-end
add_filter('comments_open', '__return_false', 20, 2);
add_filter('pings_open', '__return_false', 20, 2);
// Hide existing comments
add_filter('comments_array', '__return_empty_array', 10, 2);
// Remove comments page in menu
add_action('admin_menu', function () {
remove_menu_page('edit-comments.php');
});
// Remove comments links from admin bar
add_action('init', function () {
if (is_admin_bar_showing()) {
remove_action('admin_bar_menu', 'wp_admin_bar_comments_menu', 60);
}
});
La nostra guida su come disabilitare completamente i commenti in WordPress illustra quello snippet insieme alle altre opzioni.
Se preferisci non agire a livello di sito, puoi anche disattivare i commenti sulle singole pagine. Questo è utile quando vuoi che vengano rimossi solo da pagine specifiche, come le tue pagine Contatti o Chi siamo, che raramente necessitano di una sezione commenti.
Per fare ciò, apri la pagina nell'editor dei contenuti di WordPress. Quindi fai clic sull'opzione ‘Discussione’ nella barra laterale destra e seleziona ‘Chiuso.’

Puoi anche impedire che lo spam si accumuli sui contenuti più vecchi senza toccare i tuoi post più recenti. Se non ti aspetti commenti sui vecchi post, allora WordPress può chiuderli automaticamente dopo un certo numero di giorni.
Questo dà ai bot di spam meno possibilità di colpire i tuoi contenuti archiviati.
Per configurare questo, vai su Impostazioni » Discussione e trova la sezione ‘Altre impostazioni commenti’. Seleziona la casella accanto a ‘Chiudi automaticamente i commenti sui post più vecchi di [X] giorni’, quindi imposta un limite sensato come 30 o 90 giorni.

Disabilita trackback e pingback.
I trackback e i pingback ti notificano quando un altro sito web afferma di aver linkato uno dei tuoi post del blog.
Originariamente progettati per aiutare i blogger a connettere conversazioni tra diversi siti web, ora vengono comunemente abusati dagli spammer per inviare notifiche di link fasulle.
Disattivare questa funzione rimuove completamente un'intera categoria di notifiche spazzatura dalla tua bacheca.
Per disabilitare queste notifiche, vai alla schermata Impostazioni » Discussione nella tua bacheca di WordPress. Qui, deseleziona la casella accanto a ‘Notifica di link da altri blog (pingback e trackback) sui nuovi articoli.’

Fatto ciò, non dimenticare di fare clic su ‘Salva modifiche’ in fondo alla schermata.
Tieni presente che la modifica di questa opzione protegge solo i post che pubblichi da questo momento in poi. Se desideri ripulire i contenuti che hai già pubblicato in passato, puoi seguire la nostra guida passo passo su come disabilitare trackback e ping sui post WordPress esistenti.
2. Configura la protezione moderna basata sull'IA per i bot di spam per WordPress
Nell'era dell'IA, dove lo spam automatizzato è in aumento, la migliore difesa contro di esso è una moderna protezione antispam per WordPress basata sull'IA.
Queste soluzioni di filtraggio dello spam rilevano e bloccano automaticamente lo spam nei commenti, nei moduli di contatto e nelle registrazioni degli utenti di WordPress senza l'uso di CAPTCHA, che possono influire sulle conversioni.
Su WPBeginner, utilizziamo ActiveLayer per questo. È basato sull'IA e funziona lato server, quindi blocca lo spam in modo invisibile, senza CAPTCHA ed è conforme alla GDPR.
Negli ultimi 30 giorni, ha bloccato oltre 25.739 commenti spam e invii di moduli di contatto sul nostro sito web. Mostra persino un punteggio di confidenza e il motivo dietro ogni invio che contrassegna, non solo un verdetto di approvazione o rifiuto quando si esaminano i log.

Il piano gratuito include 1.000 controlli antispam senza carta di credito, e i piani a pagamento partono da circa $4 al mese fatturati annualmente.
Gli altri due plugin di filtraggio dello spam più popolari per WordPress che potresti provare sono Akismet o CleanTalk.
Akismet è molto popolare e ancora una buona scelta per i blog personali, dove il suo piano "name your price" può essere gratuito per i siti non commerciali. Ma hanno aumentato significativamente i loro prezzi per i siti commerciali, il che è piuttosto costoso per le piccole imprese. Per un sito aziendale, ti indirizzeremmo ad ActiveLayer o CleanTalk.
Qualunque strumento tu scelga, attieniti a uno solo, perché eseguire due filtri antispam contemporaneamente può creare conflitti e bloccare visitatori reali. Il vantaggio di questi plugin di protezione antispam è che si integrano di default con tutti gli altri plugin di moduli di contatto più diffusi.
3. Suggerimenti per utenti esperti per bloccare lo spam nei commenti di WordPress
Finora abbiamo configurato le impostazioni integrate di prevenzione dello spam in WordPress e un plugin automatizzato di filtraggio dello spam per WordPress. La combinazione di questi due dovrebbe bloccare la maggior parte dello spam.
Tuttavia, se non sei in grado di configurare una moderna protezione antispam basata sull'IA a causa dei costi o per altri motivi, puoi utilizzare uno di questi suggerimenti qui sotto per combattere lo spam nei commenti di WordPress.
Aggiungi un CAPTCHA gratuito al tuo modulo di commenti
CAPTCHA è un semplice test che la maggior parte dei visitatori umani supera senza alcuno sforzo, mentre gli script automatizzati falliscono. Consigliamo di aggiungere il CAPTCHA Cloudflare Turnstile ai commenti di WordPress perché è gratuito e abbastanza semplice da configurare.
Per configurarlo, installa e attiva il plugin gratuito Simple Cloudflare Turnstile. Ti verrà chiesto di creare un account gratuito sul sito web di Cloudflare e di collegarlo al plugin.
Una volta fatto, puoi scorrere fino alla sezione ‘Abilita Turnstile sui tuoi moduli’. Seleziona semplicemente le caselle per proteggere tutti i tuoi moduli WordPress e fai clic su ‘Salva modifiche’.

Ecco la nostra guida dettagliata su come aggiungere Cloudflare Turnstile CAPTCHA in WordPress.
Google reCAPTCHA è un'altra opzione, che puoi aggiungere con il plugin Advanced Google reCAPTCHA. Non lo consigliamo più perché Google ha limitato il suo livello gratuito a 10.000 valutazioni al mese per tutta la tua organizzazione, mentre Cloudflare Turnstile rimane gratuito senza limiti.
Limita o Richiedi accesso per commentare
Un altro modo davvero efficace per fermare lo spam nei commenti di WordPress è controllare chi è autorizzato a partecipare ai commenti.
Se la tua sezione commenti è aperta a tutti, gli spammer possono inondare continuamente i tuoi moduli con link automatizzati. Limitare i commenti ai titolari di account registrati garantisce che solo gli utenti verificati possano pubblicare. Ciò impone un livello di responsabilità che la maggior parte dei bot non si preoccuperà di aggirare.
Poiché richiede ai lettori di compiere il passo aggiuntivo di creare e accedere a un account, questo approccio è più adatto per siti di appartenenza, forum online e comunità private.
Se gestisci un blog aperto e pubblico, ti consigliamo invece di utilizzare un servizio di filtraggio automatizzato o una sfida per il lettore, poiché questi aggiungono meno attrito.
Se decidi di attivare questa restrizione, vai su Impostazioni » Discussione nella tua bacheca di WordPress. Nella sezione ‘Altre impostazioni commenti’, seleziona la casella accanto a ‘Gli utenti devono essere registrati e aver effettuato l'accesso per commentare.’

Come sempre, non dimenticare di salvare le modifiche.
Usa Antispam Bee per il filtraggio gratuito di parole chiave e modelli
Alcuni spam sfuggono ai controlli di base imitando la scrittura umana. È qui che un plugin di filtraggio dedicato può aiutare a proteggere il tuo sito.
Antispam Bee è un eccellente plugin antispam gratuito e rispettoso della privacy che non richiede una chiave API o la registrazione di un account. L'installazione di Antispam Bee ti fornisce un potente set di regole locali per analizzare i dati dei commenti prima ancora che raggiungano il tuo database.
Una volta attivato, puoi configurare le tue regole andando su Impostazioni » Antispam Bee.

Consigliamo di abilitare le opzioni per:
- Fidati dei commentatori approvati.
- Segna come spam.
- Non eliminare.
- Usa espressioni regolari (che consentono al plugin di cercare modelli di testo e link noti).
Dovresti anche selezionare la casella ‘Cerca nel database locale dello spam’. Ciò consente ad Antispam Bee di confrontare le nuove sottomissioni con la cronologia dello spam precedente sul tuo sito.

In "Avanzate", puoi impostare Antispam Bee per eliminare lo spam esistente dopo un certo numero di giorni, il che mantiene il tuo database ordinato senza alcuno sforzo manuale.
Consigliamo vivamente di lasciare disattivate le notifiche via email per lo spam in questa sezione. Un sito web molto attivo può ricevere centinaia di invii automatici al giorno e questi avvisi inonderanno rapidamente la tua casella di posta.
Se vuoi provare un altro piccolo aggiustamento gratuito, allora puoi rimuovere il campo dell'indirizzo del sito web dal modulo di commento.
La nostra guida passo passo su come rimuovere il campo dell'URL del sito web dal modulo di commento ti mostra come farlo in pochi rapidi passaggi.
4. Bloccare lo spam nei moduli di contatto di WordPress (Best Practice)
I moduli di contatto e di lead sono tra le parti più attaccate di qualsiasi sito WordPress. Lo sappiamo in prima persona perché una volta abbiamo dovuto combattere più di 18.000 voci di spam che inondavano un singolo modulo.
Usiamo WPForms per creare moduli su WPBeginner, ed è un popolare plugin per la creazione di moduli utilizzato da oltre 5 milioni di siti web. La loro versione gratuita include una protezione antispam intelligente, integrazioni CAPTCHA con Google / Cloudflare Turnstile, e i piani a pagamento aggiungono le opzioni di filtraggio che trattiamo di seguito.
Altri popolari costruttori di moduli come Gravity Forms e Fluent Forms hanno impostazioni antispam simili, quindi controlla le opzioni nel plugin costruttore di moduli che utilizzi. Qui mostreremo WPForms perché è quello che usiamo e consideriamo la soluzione migliore per i principianti.
Abilita il Token Antispam Predefinito (o un HoneyPot Simile)
Per combattere lo spam nei moduli di lead, WPForms allega silenziosamente un token univoco e sensibile al tempo al tuo modulo ad ogni caricamento della pagina. Il token antispam blocca gli script automatici, il che significa che le voci di spam vengono bloccate prima che raggiungano la tua casella di posta.
È attivato per impostazione predefinita per i nuovi moduli, ma vale la pena confermarlo.
Apri il tuo modulo, vai su Impostazioni » Protezione Antispam e Sicurezza e assicurati che "Abilita la moderna protezione antispam" sia attivata.

Questa è una versione moderna della tecnologia Honeypot che la maggior parte dei plugin per moduli WordPress include, quindi potrebbe essere etichettata come Honeypot in un altro strumento per moduli che potresti utilizzare.
Abilita un CAPTCHA sul tuo modulo di contatto
Bot più aggressivi imitano la navigazione umana e superano il token invisibile. L'aggiunta di un campo CAPTCHA visibile li blocca costringendoli a una sfida che non possono leggere o risolvere.
WPForms ha integrati sia Cloudflare Turnstile che Google reCAPTCHA, e qui utilizziamo Turnstile per impostazione predefinita. È gratuito per tutti e svolge i suoi controlli in background, quindi la maggior parte dei visitatori reali passa senza risolvere un puzzle.
Per configurarlo, vai su WPForms » Impostazioni » CAPTCHA e scegli "Cloudflare Turnstile".

Quindi aggiungi la Chiave del Sito e la Chiave Segreta dal tuo account Cloudflare e salva le tue impostazioni.
Infine, aggiungi il campo CAPTCHA a ogni modulo che desideri proteggere.

Per una guida completa, consulta la nostra guida su come aggiungere il CAPTCHA Cloudflare Turnstile in WordPress.
Google reCAPTCHA è selezionabile anche nella stessa schermata WPForms » Impostazioni » CAPTCHA. Usiamo Turnstile come predefinito perché è gratuito e illimitato, ma reCAPTCHA funziona ancora se lo preferisci.
Se preferisci non inviare dati dei visitatori a Google o Cloudflare, il campo Captcha personalizzato di WPForms (disponibile in qualsiasi piano a pagamento) crea la sfida sul tuo server.
Aggiungi il campo, quindi impostalo su un problema matematico casuale o sulla tua domanda e risposta.

Utilizza controlli comportamentali basati sul tempo per bloccare lo spam dei moduli di contatto
Una persona reale impiega diversi secondi per leggere una domanda e compilare un modulo, mentre un bot invia in una frazione di secondo. I controlli basati sul tempo segnalano gli invii impossibilmente veloci senza modificare nulla di ciò che vede il visitatore.
Con WPForms, l'opzione 'Abilita tempo minimo per l'invio' è abilitata per impostazione predefinita con un tempo minimo di invio di 2 secondi. Tuttavia, puoi aggiornare il tempo minimo a qualsiasi valore desideri.

Blocca l'invio del modulo per paese, IP, indirizzo email e altro
Alcuni invii di moduli spam vengono comunque effettuati a meno che non si esamini il contenuto stesso. Nella versione Pro, WPForms ti consente di bloccare le voci per indirizzo email specifico, per parola chiave e per paese o indirizzo IP.
Per bloccare un mittente, apri il tuo modulo, seleziona il campo Email, apri la scheda Avanzate, scegli Denylist e inserisci gli indirizzi o i domini da bannare. Un carattere jolly come *@example.com blocca un intero dominio.

Per bloccare frasi spam, vai su Impostazioni » Protezione antispam e sicurezza.
Attiva 'Abilita filtro parole chiave', apri 'Modifica elenco parole chiave' e aggiungi ogni termine su una riga separata.

E se servi solo determinate regioni, attiva 'Abilita filtro paese' sulla stessa schermata per consentire o negare le posizioni.

In alternativa, se la tua soluzione per moduli WordPress non ha questa opzione, puoi anche bloccare gli indirizzi IP in WordPress.
5. Bloccare le registrazioni di utenti spam in WordPress (Best Practice)
Su un sito di appartenenza o un negozio WooCommerce, le registrazioni spam sono più di un fastidio. Account falsi intasano il tuo database utenti e distorcono le tue metriche clienti ed email.
Ecco cosa puoi fare per prevenire le registrazioni di utenti spam in WordPress.
Disattiva la registrazione quando non ti serve
Se non gestisci un sito di appartenenza o un negozio di e-commerce, probabilmente non hai bisogno di consentire la registrazione degli utenti. La cosa più semplice per prevenire lo spam da registrazione utenti è disattivarla.
Vai semplicemente su Impostazioni » Generali nella tua area di amministrazione di WordPress e deseleziona la casella 'Chiunque può registrarsi'.

Richiedi la conferma dell'email prima che un account venga attivato
Se hai bisogno di registrazioni aperte, l'obiettivo è far entrare solo persone reali, escludendo i bot spam. L'impostazione che blocca il maggior numero di iscrizioni false è richiedere un indirizzo email confermato, o una revisione manuale, prima che un account diventi attivo.
Dove si trova quel controllo dipende dal plugin che stai utilizzando per gestire la registrazione degli utenti in WordPress. Dovresti iniziare con l'impostazione predefinita della tua piattaforma invece di aggiungere un plugin di moduli generico a un sistema che gestisce già questo.
Se gestisci un negozio WooCommerce, vai su WooCommerce » Impostazioni » Account e Privacy. Qui decidi se i clienti possono creare un account, limitare la creazione dell'account al checkout, o mantenere attivo il checkout ospite in modo che non sia necessaria la creazione di un account.

WooCommerce core non aggiunge di per sé un passaggio separato di conferma via email. Se ne desideri uno, avrai bisogno di un plugin personalizzato per la verifica via email o del modulo di registrazione personalizzato trattato di seguito.
Altre piattaforme di membership e corsi gestiscono la verifica dell'account nelle proprie impostazioni, quindi inizia da lì:
- MemberPress: WordPress crea l'account alla registrazione, quindi abbinalo al plugin gratuito User Verification per mantenere l'account inattivo finché la persona non conferma la propria email. Vedi la documentazione di MemberPress per tutti i dettagli.
- BuddyPress e BuddyBoss: l'attivazione via email è integrata, quindi i nuovi membri rimangono inattivi finché non cliccano sul link di attivazione. Abilita la registrazione in Impostazioni » Generali (BuddyPress) o BuddyBoss » Impostazioni » Login e Registrazione. Vedi la documentazione di BuddyPress e la documentazione di BuddyBoss per maggiori dettagli.
- LearnDash: la registrazione si basa sul sistema utenti di WordPress, quindi non esiste un passaggio nativo di conferma via email. Un account diventa attivo nel momento in cui qualcuno si iscrive. Per mantenere i nuovi account inattivi fino a quando l'email non viene verificata, aggiungi quel controllo a livello di WordPress o di modulo, utilizzando un plugin di verifica utenti o il modulo di registrazione personalizzato WPForms trattato di seguito.
Se stai creando un modulo di registrazione personalizzato anziché utilizzare uno dei sistemi sopra menzionati, puoi utilizzare il componente aggiuntivo WPForms User Registration che ti consente di attivare la conferma via email nelle impostazioni di Registrazione Utente del modulo, con un link di conferma via email o l'approvazione manuale dell'amministratore.

Opzioni simili sono disponibili in Gravity Forms, WSForm e altri plugin per moduli WordPress popolari. Per la guida completa, consulta la nostra guida su come moderare le nuove registrazioni utente.
Aggiungi CAPTCHA e Honeypot al Modulo di Registrazione WordPress
Gli stessi suggerimenti che proteggono i tuoi moduli di contatto WordPress funzionano anche sui moduli di registrazione WordPress. Poiché hai già configurato Cloudflare Turnstile in precedenza, puoi attivarlo per il tuo modulo di registrazione con un clic.
Per una guida dedicata, consulta la nostra guida su come aggiungere un CAPTCHA ai tuoi moduli di login e registrazione.
Se stai utilizzando la pagina di registrazione predefinita di WordPress, puoi aggiungere campi honeypot nascosti al tuo modulo di registrazione con il plugin gratuito WP Armour. Il plugin registra ogni bot che blocca in WP Armour » Statistiche.

Utilizza Strumenti Potenziati dall'IA per Bloccare lo Spam di Registrazione WordPress
Gli honeypot e i CAPTCHA fermano i bot evidenti, ma non possono individuare qualcuno che si iscrive con un'email usa e getta o da un indirizzo IP noto come dannoso.
È qui che l'individuazione automatica aiuta. Analizza ogni nuova registrazione rispetto ai dati di reputazione live e blocca quelle che sembrano fraudolente.
ActiveLayer e CleanTalk offrono entrambi questo per le registrazioni di WordPress, e puoi attivarlo per il tuo modulo di iscrizione nello stesso modo in cui hai fatto per i tuoi moduli di contatto.
6. Aggiungi un firewall WordPress per tutto il sito
Un Web Application Firewall (WAF) analizza ogni visitatore e blocca le richieste dannose prima che raggiungano il tuo sito. Poiché la maggior parte dello spam dei moduli è automatizzato, un buon firewall può fermarne molto al perimetro.
Consigliamo un firewall a livello DNS, che filtra il traffico sulla rete del provider prima che tocchi il tuo server.
Su WPBeginner, utilizziamo Cloudflare, che ha un piano gratuito con protezione firewall di base (l'impostazione richiede di puntare i nameserver del tuo dominio a Cloudflare).

La nostra guida su come impostare il CDN e il firewall Cloudflare gratuito lo illustra.
Inoltre, il nostro riepilogo dei migliori plugin firewall per WordPress confronta le altre opzioni se vuoi valutarle.
7. Pulisci lo spam di WordPress e monitoraggio continuo
Fermare lo spam nuovo è solo metà del lavoro. Se sei come la maggior parte dei siti web, hai già un arretrato di vecchi contenuti indesiderati che necessitano di essere ripuliti.
Una pulizia rapida mantiene il tuo database ordinato e aiuta i tuoi nuovi strumenti a funzionare al meglio.
🚨 Crea sempre un backup completo di WordPress prima di eliminare qualsiasi cosa in blocco. Queste azioni cancellano permanentemente i dati, senza un pulsante Annulla se commetti un errore.
Elimina in blocco i commenti spam esistenti
Il filtro spam di WordPress contrassegna i commenti indesiderati ma non li elimina, quindi possono accumularsi nella cartella spam e occupare spazio nel database finché non li elimini.
Nella tua bacheca, vai su Commenti, fai clic sul filtro 'Spam' in alto e premi 'Svuota Spam' per eliminare definitivamente tutto ciò che i tuoi filtri hanno catturato.

Se hai migliaia di commenti indesiderati, la bacheca può bloccarsi o andare in timeout. Un plugin gratuito come WP Bulk Delete è più veloce e affidabile per grandi arretrati.
Per altri metodi, consulta la nostra guida su come eliminare commenti WordPress in blocco.
Pulisci gli account utente falsi esistenti
Lasciare profili bot nel tuo database è un rischio per la sicurezza e distorce le tue analisi. Ecco perché è importante eliminare questi account falsi.
Per una manciata, vai su Utenti » Tutti gli Utenti, fai clic sul filtro del ruolo utente 'Abbonato' (il ruolo che quasi tutti i bot di registrazione utilizzano), seleziona gli account falsi e scegli Elimina dal menu 'Azioni di massa'.
⚠️ Fai molta attenzione a selezionare solo account Abbonato falsi, e mai un account Amministratore.

Per migliaia di account, il plugin gratuito WP Bulk Delete può rimuovere utenti per ruolo, inattività o data di registrazione in un'unica operazione.
Per maggiori informazioni, consulta la nostra guida su come eliminare utenti WordPress in blocco per ruolo.
Gestisci i falsi positivi
Nessun filtro è perfetto, quindi non eliminare mai automaticamente la tua cartella spam senza prima dare una rapida occhiata.
In Commenti » Spam, passa il mouse sopra un commento legittimo e fai clic su ‘Non è Spam’. Questo insegna anche al tuo filtro a riconoscere commenti simili come sicuri in futuro.

Stabilisci una Routine Mensile di Revisione Anti-Spam
Pochi minuti ogni mese impediscono allo spam di accumularsi di nuovo. Aggiungi questi tre controlli alla tua routine di manutenzione:
- Scansiona i falsi positivi: scorri la cartella dei commenti spam e le voci dei moduli in modo che nessun messaggio reale sia stato bloccato per errore.
- Svuota le cartelle spam: una volta recuperato tutto ciò che è reale, svuotale per mantenere il tuo database snello.
- Controlla la tua lista utenti: dai un'occhiata alle nuove registrazioni per nomi utente senza senso o domini email sospetti che sono sfuggiti.
Punti chiave da ricordare
Ecco un riepilogo delle migliori pratiche che abbiamo trattato per proteggere completamente il tuo sito WordPress dallo spam:
- Inizia con le impostazioni gratuite di WordPress: attiva la moderazione dei commenti, limita i limiti dei link, crea una lista di blocco dei commenti e disabilita i trackback. Questi non costano nulla e eliminano lo spam più facile.
- Utilizza il filtraggio automatico e invisibile: uno strumento lato server come ActiveLayer, Akismet o CleanTalk blocca i bot in background senza far risolvere enigmi ai visitatori reali.
- Stratifica le difese del tuo modulo di contatto: gli honeypot da soli non fermano più i bot moderni, quindi combinali con controlli temporali, validazione dei token e un filtro automatico.
- Proteggi le tue registrazioni: richiedi la conferma via email per i nuovi account e controlla ogni iscrizione con uno strumento automatico.
- Aggiungi un firewall per tutto il sito: un firewall a livello DNS come Cloudflare blocca molto spam automatico al perimetro, prima che raggiunga i tuoi moduli.
- Esegui pulizie regolari: elimina in blocco vecchi commenti spam e account falsi, quindi dedica qualche minuto ogni mese a controllare i falsi positivi.
Domande frequenti sulla protezione dallo spam di WordPress
Il filtraggio gratuito in stile Akismet è sufficiente, o ho bisogno di altro?
Per un piccolo blog personale con solo spam nei commenti, un singolo filtro gratuito come Akismet è solitamente sufficiente. Una volta aggiunti moduli di contatto, moduli di iscrizione o registrazione utenti, avrai bisogno di un servizio che protegga anche quelli, come ActiveLayer o CleanTalk.
Aggiungere un CAPTCHA danneggerà le conversioni dei miei moduli?
Può succedere. Il passaggio aggiuntivo fa sì che alcuni visitatori reali rinuncino al modulo. Ecco perché preferiamo il rilevamento invisibile lato server che blocca i bot senza chiedere a nessuno di risolvere un enigma.
Perché ricevo ancora spam dopo aver installato un plugin anti-spam?
Solitamente perché il plugin protegge solo un punto di ingresso. Se protegge i tuoi commenti ma non i tuoi moduli di iscrizione o di contatto, i bot si spostano semplicemente su quelli, e vecchi trucchi come gli honeypot di base non fermano più i bot moderni. La soluzione è una configurazione a strati: le tue impostazioni integrate di WordPress, un filtro automatico e un firewall che lavorano insieme.
Come posso fermare le registrazioni di utenti falsi senza disattivare completamente le iscrizioni?
Attiva la conferma via email in modo che i nuovi account rimangano inattivi finché la persona non fa clic su un link nella propria casella di posta, cosa che i bot non possono fare. Abbinalo a un honeypot e a un filtro automatico, e le persone reali potranno comunque registrarsi liberamente.
Lo spam può effettivamente danneggiare la mia SEO o far sì che il mio sito venga messo in una blacklist?
Può farlo, ma dipende da dove si trova lo spam. Lo spam nei commenti che si trova nella coda di moderazione non viene mai pubblicato, quindi i motori di ricerca non lo vedono mai e la tua SEO rimane al sicuro.
Lo spam pubblicato è il vero rischio, perché può lentamente abbassare il tuo ranking. WordPress tagga i link dei commenti come nofollow, il che limita i danni.
Speriamo che questo articolo ti abbia aiutato a imparare come proteggere il tuo sito WordPress dallo spam. Potresti anche voler consultare la nostra guida definitiva alla sicurezza di WordPress per migliorare la sicurezza del tuo sito web.
Se ti è piaciuto questo articolo, iscriviti al nostro Canale YouTube per tutorial video su WordPress. Puoi trovarci anche su Twitter e Facebook.


Hai una domanda o un suggerimento? Lascia un commento per iniziare la discussione.