Se você administra um site WordPress, sabe que spam é um problema muito irritante, seja em formulários de contato, comentários do WordPress ou registros de usuários.
A boa notícia é que parar spam no WordPress é muito mais fácil do que você imagina, e você também não precisa de ferramentas caras.
Passamos mais de 16 anos testando plugins e ferramentas anti-spam, e refinando estratégias para manter o WPBeginner e os nossos outros sites de negócios seguros contra ataques diários de spam.
Neste guia definitivo, vamos mostrar como bloquear cada tipo de spam do WordPress, passo a passo, do básico à proteção automatizada moderna avançada contra spam. Estes são os métodos exatos que usamos para proteger nossos próprios sites.

Cobrimos muita coisa neste guia definitivo, então use os links rápidos abaixo para pular direto para a seção sobre a qual você quer aprender primeiro:
- 1. Configurações Gratuitas Integradas para Ativar Primeiro
- 2. Configure Proteção Moderna contra Bots de Spam com IA para WordPress
- 3. Dicas para Usuários Avançados para Parar Spam de Comentários no WordPress
- 4. Parando Spam de Formulários de Contato do WordPress (Melhores Práticas)
- 5. Parando Spam de Registros de Usuários no WordPress (Melhores Práticas)
- 6. Adicione um Firewall WordPress para Todo o Site
- 7. Limpeza de Spam do WordPress e Monitoramento Contínuo
- Perguntas Frequentes sobre Proteção contra Spam no WordPress
1. Configurações Gratuitas Integradas para Ativar Primeiro
O WordPress vem com várias opções anti-spam que podem proteger seu site contra spam. Essas opções integradas não param todos os bots, mas removem os alvos mais fáceis imediatamente.
Sempre recomendamos ativar essas configurações primeiro, pois elas não custam nada e levam apenas alguns minutos para configurar.
Aperte suas Configurações de Discussão do WordPress
Para prevenir spam de comentários, as configurações de discussão integradas no WordPress agem como sua primeira linha de defesa. Elas permitem controlar quem pode postar, que tipo de links são permitidos e quanto controle você tem sobre a conversa.
Para configurar esses controles anti-spam, vá para Configurações » Discussão no seu painel do WordPress.

A ferramenta mais útil nesta tela é a fila de moderação de comentários. Essa ferramenta age como uma área de espera que mantém as submissões ocultas do público até que você tenha a chance de analisá-las.
Como nada vai ao ar automaticamente, o spam nunca chega aos seus visitantes, mesmo que consiga passar por seus outros filtros.
Para ativar isso, role para baixo até a seção ‘Antes que um comentário apareça’ e marque a caixa ao lado de ‘O comentário deve ser aprovado manualmente.’

Se desejar, você também pode ativar ‘O autor do comentário deve ter um comentário previamente aprovado.’ Isso permite que comentaristas recorrentes postem sem esperar pela aprovação. No entanto, certifique-se de revisar seus comentários publicados regularmente, pois eles não aparecerão na sua fila de moderação.
Depois disso, role até a caixa ‘Moderação de Comentários’, onde você encontrará uma configuração que limita links. Como comentários de spam quase sempre contêm endereços web, o WordPress pode reter automaticamente qualquer submissão que inclua muitos links.
O campo rotulado ‘Manter um comentário na fila se ele contiver [X] ou mais links’ está definido como 2 por padrão. Diminuir esse número para 1 ajudará você a capturar ainda mais lixo.

Na mesma tela, você pode usar a lista de bloqueio de comentários para filtrar automaticamente o conteúdo indesejado. Essa ferramenta procura por palavras específicas, nomes, endereços de e-mail ou endereços da web e envia qualquer comentário correspondente diretamente para a lixeira.
Na caixa ‘Chaves de Comentário Desautorizadas’, você pode colar suas próprias palavras de gatilho, colocando uma em cada linha, e então salvar suas alterações.

Exigir Nome e E-mail, e Segurar Comentaristas de Primeira Viagem
Discussões saudáveis começam com pessoas reais. Exigir que os comentaristas insiram um nome e e-mail incentiva conversas mais ponderadas e desencoraja comentários anônimos e superficiais.
A maioria dos visitantes genuínos não se importará em fornecer esses detalhes, e isso ajuda a criar uma comunidade mais acolhedora e confiável em torno do seu site.
Para habilitar isso, role até a seção ‘Outras configurações de comentários’ e marque a caixa ao lado de ‘O autor do comentário deve preencher nome e e-mail.’

Se você quiser dominar o processo de revisão e gerenciar sua fila com eficiência, nosso guia para iniciantes sobre moderação de comentários no WordPress cobre o fluxo de trabalho completo.
Desativar Comentários Onde Você Não Precisa Deles
Dependendo do tipo de site que você tem, você pode não precisar de uma seção de comentários. Se esse for o caso, você pode simplesmente desativar os comentários inteiramente e isso resolverá o problema de spam de comentários do WordPress de uma vez por todas.
A opção mais completa é o método de código, que desativa o suporte a comentários em todo o seu site de uma vez. É mais seguro adicionar o snippet com um plugin gratuito de snippets de código como o WPCode em vez de editar os arquivos do seu tema diretamente, para que uma atualização do tema não possa desfazê-lo.
add_action('admin_init', function () {
// Redirect any user trying to access comments page
global $pagenow;
if ($pagenow === 'edit-comments.php') {
wp_safe_redirect(admin_url());
exit;
}
// Remove comments metabox from dashboard
remove_meta_box('dashboard_recent_comments', 'dashboard', 'normal');
// Disable support for comments and trackbacks in post types
foreach (get_post_types() as $post_type) {
if (post_type_supports($post_type, 'comments')) {
remove_post_type_support($post_type, 'comments');
remove_post_type_support($post_type, 'trackbacks');
}
}
});
// Close comments on the front-end
add_filter('comments_open', '__return_false', 20, 2);
add_filter('pings_open', '__return_false', 20, 2);
// Hide existing comments
add_filter('comments_array', '__return_empty_array', 10, 2);
// Remove comments page in menu
add_action('admin_menu', function () {
remove_menu_page('edit-comments.php');
});
// Remove comments links from admin bar
add_action('init', function () {
if (is_admin_bar_showing()) {
remove_action('admin_bar_menu', 'wp_admin_bar_comments_menu', 60);
}
});
Nosso guia sobre como desativar completamente os comentários no WordPress detalha esse snippet junto com as outras opções.
Se você preferir não fazer isso em todo o site, também pode desativar os comentários em páginas individuais. Isso é útil quando você só quer que eles desapareçam em páginas específicas, como suas páginas de Contato ou Sobre, que raramente precisam de uma seção de comentários.
Para fazer isso, abra a página no editor de conteúdo do WordPress. Em seguida, clique na opção ‘Discussão’ na barra lateral direita e selecione ‘Fechado.’

Você também pode impedir que o spam se acumule em conteúdos mais antigos sem tocar em seus posts mais recentes. Se você não espera comentários em posts antigos, o WordPress pode fechá-los automaticamente após um número definido de dias.
Isso dá aos bots de spam menos chances de atingir seu conteúdo arquivado.
Para configurar isso, vá para Configurações » Discussão e encontre a seção ‘Outras configurações de comentários’. Marque a caixa ao lado de ‘Fechar automaticamente os comentários em posts com mais de [X] dias’, em seguida, defina um limite razoável como 30 ou 90 dias.

Desativar Trackbacks e Pingbacks
Trackbacks e pingbacks notificam você quando outro site afirma ter vinculado a um de seus posts de blog.
Embora originalmente projetados para ajudar blogueiros a conectar conversas entre diferentes sites, eles agora são comumente abusados por spammers para enviar notificações falsas de links.
Desativar este recurso remove completamente uma categoria inteira de notificações indesejadas do seu painel.
Para desativar essas notificações, vá para a tela Configurações » Discussão no seu painel do WordPress. Aqui, desmarque a caixa ao lado de ‘Permitir notificações de links de outros blogs (pingbacks e trackbacks) em novas postagens.’

Com isso feito, não se esqueça de clicar em ‘Salvar Alterações’ na parte inferior da tela.
Apenas esteja ciente de que alterar esta opção protege apenas as postagens que você publica a partir deste momento. Se você deseja limpar o conteúdo que já publicou no passado, pode seguir nosso guia passo a passo sobre como desativar trackbacks e pings em postagens existentes do WordPress.
2. Configure Proteção Moderna contra Bots de Spam com IA para WordPress
Na era da IA, onde o spam automatizado está aumentando, a melhor defesa contra ele é uma proteção moderna contra spam para WordPress, alimentada por IA.
Essas soluções de filtragem de spam detectam e bloqueiam automaticamente spam em seus comentários do WordPress, formulários de contato e registros de usuários sem o uso de CAPTCHA, que pode prejudicar as conversões.
No WPBeginner, usamos ActiveLayer para isso. Ele é alimentado por IA e roda no lado do servidor, então ele para o spam de forma invisível, sem CAPTCHA e está em conformidade com a GDPR.
Nos últimos 30 dias, ele bloqueou mais de 25.739 comentários de spam e envios de formulários de contato em nosso site. Ele até mostra uma pontuação de confiança e o motivo por trás de cada envio que ele sinaliza, não apenas um veredito de aprovação ou reprovação quando você olha os logs.

O plano gratuito inclui 1.000 verificações de spam sem cartão de crédito, e os planos pagos começam em cerca de US$ 4 por mês, faturados anualmente.
Os dois outros plugins populares de filtragem de spam para WordPress que você pode experimentar são Akismet ou CleanTalk.
Akismet é muito popular e ainda é uma boa opção para blogs pessoais, onde seu plano “pague o quanto quiser” pode ser gratuito para sites não comerciais. Mas eles aumentaram significativamente seus preços para sites comerciais, o que é bastante caro para pequenas empresas. Para um site comercial, recomendamos ActiveLayer ou CleanTalk.
Qualquer que seja a ferramenta que você escolher, use apenas uma, pois executar dois filtros de spam ao mesmo tempo pode causar conflitos e bloquear visitantes reais. O benefício desses plugins de proteção contra spam é que eles se integram com todos os outros plugins populares de formulário de contato por padrão.
3. Dicas para Usuários Avançados para Parar Spam de Comentários no WordPress
Até agora, configuramos as configurações de prevenção de spam integradas no WordPress e um plugin de filtragem de spam automatizado para WordPress. A combinação desses dois deve bloquear a maior parte do spam.
No entanto, se você não puder configurar a proteção moderna contra spam por IA devido a custos ou outro motivo, poderá usar uma das dicas abaixo para combater o spam de comentários no WordPress.
Adicione um CAPTCHA Gratuito ao Seu Formulário de Comentários
CAPTCHA é um teste simples que a maioria dos visitantes humanos passa sem esforço, enquanto scripts automatizados falham. Recomendamos adicionar o Cloudflare Turnstile CAPTCHA aos comentários do seu WordPress porque é gratuito e bastante simples de configurar.
Para configurá-lo, instale e ative o plugin gratuito Simple Cloudflare Turnstile. Você será solicitado a criar uma conta gratuita no site do Cloudflare e conectá-la ao plugin.
Depois que isso for feito, você pode rolar até a seção ‘Enable Turnstile on your forms’. Simplesmente marque as caixas para proteger todos os seus formulários do WordPress e clique em ‘Save Changes’.

Aqui está nosso guia detalhado sobre como adicionar Cloudflare Turnstile CAPTCHA no WordPress.
O Google reCAPTCHA é outra opção, que você pode adicionar com o plugin Advanced Google reCAPTCHA. Não o recomendamos mais porque o Google limitou seu nível gratuito a 10.000 avaliações por mês para toda a sua organização, enquanto o Cloudflare Turnstile permanece gratuito sem limites.
Limitar ou Exigir Login para Comentar
Outra maneira muito eficaz de parar spam de comentários no WordPress é controlar quem tem permissão para participar dos comentários.
Se sua seção de comentários estiver aberta a todos, os spammers poderão inundar continuamente seus formulários com links automatizados. Restringir comentários a usuários registrados garante que apenas usuários verificados possam postar. Isso força um nível de responsabilidade que a maioria dos bots não se dará ao trabalho de tentar contornar.
Como exige que os leitores passem pela etapa extra de criar e fazer login em uma conta, essa abordagem é mais adequada para sites de associação, fóruns online e comunidades privadas.
Se você administra um blog aberto e público, recomendamos usar um serviço de filtragem automatizado ou um desafio para o leitor, pois esses adicionam menos atrito.
Se você decidir ativar essa restrição, vá para Configurações » Discussão no seu painel do WordPress. Na seção ‘Outras configurações de comentários’, marque a caixa ao lado de ‘Os usuários devem estar registrados e logados para comentar.’

Como sempre, não se esqueça de salvar suas alterações.
Use Antispam Bee para Filtragem Gratuita de Palavras-chave e Padrões
Alguns spams passam por verificações básicas imitando a escrita humana. É aqui que um plugin de filtragem dedicado pode ajudar a proteger seu site.
Antispam Bee é um excelente plugin anti-spam gratuito e amigável à privacidade que não requer uma chave de API ou registro de conta. Instalar o Antispam Bee oferece um conjunto poderoso de regras locais para analisar dados de comentários antes mesmo de chegarem ao seu banco de dados.
Depois de ativado, você pode configurar suas regras indo para Configurações » Antispam Bee.

Recomendamos habilitar as opções para:
- Confiar em comentaristas aprovados.
- Marcar como spam.
- Não excluir.
- Usar expressões regulares (o que permite ao plugin procurar padrões de texto e links conhecidos).
Você também deve marcar a caixa para ‘Procurar no banco de dados de spam local’. Isso permite que o Antispam Bee cruze novas submissões com o histórico de spam anterior em seu site.

Em ‘Avançado’, você pode configurar o Antispam Bee para excluir spam existente após um número definido de dias, o que mantém seu banco de dados organizado sem nenhum esforço manual.
Recomendamos fortemente deixar as notificações por e-mail de spam desativadas nesta seção. Um site movimentado pode atrair centenas de envios automatizados por dia, e esses alertas inundarão sua caixa de entrada rapidamente.
Se você quiser tentar mais um ajuste gratuito, pode remover o campo de endereço do site do formulário de comentários.
Nosso guia passo a passo sobre como remover o campo de URL do site do formulário de comentários mostra como fazer isso em apenas algumas etapas rápidas.
4. Parando Spam de Formulários de Contato do WordPress (Melhores Práticas)
Formulários de contato e de leads estão entre as partes mais atacadas de qualquer site WordPress. Sabemos disso em primeira mão porque uma vez tivemos que combater mais de 18.000 entradas de spam inundando um único formulário.
Usamos WPForms para criar formulários no WPBeginner, e é um popular plugin de criação de formulários usado por mais de 5 milhões de sites. Sua versão gratuita inclui proteção inteligente contra spam, integrações CAPTCHA com Google / Cloudflare Turnstile, e os planos pagos adicionam as opções de filtragem que cobrimos abaixo.
Outros construtores de formulários populares como Gravity Forms e Fluent Forms têm configurações anti-spam semelhantes, então verifique as opções em qualquer plugin construtor de formulários que você usa. Mostraremos o WPForms aqui porque é o que usamos e consideramos o melhor para iniciantes.
Ativar Token Anti-Spam Padrão (ou HoneyPot Semelhante)
Para combater o spam em formulários de leads, o WPForms anexa silenciosamente um token exclusivo e sensível ao tempo ao seu formulário em cada carregamento de página. O token anti-spam bloqueia scripts automatizados, o que significa que as entradas de spam são bloqueadas antes de chegarem à sua caixa de entrada.
Ele está ativado por padrão para novos formulários, mas vale a pena confirmar.
Abra seu formulário, vá para Configurações » Proteção contra Spam e Segurança e certifique-se de que ‘Ativar proteção moderna contra spam’ esteja ativada.

Esta é uma versão moderna da tecnologia Honeypot que a maioria dos plugins de formulário WordPress vêm com, então pode ser rotulada como Honeypot em outra ferramenta de formulário que você possa estar usando.
Ativar um CAPTCHA em seu Formulário de Contato
Bots mais agressivos imitam a navegação humana e passam pelo token invisível. Adicionar um campo CAPTCHA visível os impede, forçando um desafio que eles não conseguem ler ou resolver.
O WPForms tem Cloudflare Turnstile e Google reCAPTCHA integrados, e usamos o Turnstile por padrão aqui. É gratuito para todos e executa suas verificações em segundo plano, então a maioria dos visitantes reais passa sem resolver um quebra-cabeça.
Para configurá-lo, vá para WPForms » Configurações » CAPTCHA e escolha ‘Cloudflare Turnstile’.

Em seguida, adicione a Chave do Site e a Chave Secreta de sua conta Cloudflare e salve suas configurações.
Finalmente, adicione o campo CAPTCHA a cada formulário que você deseja proteger.

Para um guia completo, veja nosso guia sobre como adicionar CAPTCHA Cloudflare Turnstile no WordPress.
O Google reCAPTCHA também pode ser selecionado na mesma tela WPForms » Configurações » CAPTCHA. Usamos o Turnstile por padrão porque é gratuito e ilimitado, mas o reCAPTCHA ainda funciona se você preferir.
Se você preferir não enviar dados de visitantes para o Google ou Cloudflare, o campo Captcha Personalizado do WPForms (disponível em qualquer plano pago) cria o desafio em seu próprio servidor.
Adicione o campo, depois defina-o para um problema matemático aleatório ou sua própria pergunta e resposta.

Use Verificações Comportamentais Baseadas em Tempo para Interromper Spam em Formulários de Contato
Uma pessoa real precisa de vários segundos para ler uma pergunta e preencher um formulário, enquanto um bot envia em uma fração de segundo. As verificações baseadas em tempo sinalizam envios impossivelmente rápidos sem alterar nada que o visitante vê.
Com o WPForms, a opção 'Habilitar tempo mínimo para envio' está ativada por padrão com um tempo mínimo de envio de 2 segundos. No entanto, você pode atualizar o tempo mínimo para qualquer valor que desejar.

Bloquear Envio de Formulário por País, IP, Endereço de E-mail e Mais
Alguns envios de spam em formulários ainda passam a menos que você verifique o conteúdo em si. Na versão Pro, o WPForms permite bloquear entradas por endereço de e-mail específico, por palavra-chave e por país ou endereço IP.
Para bloquear um remetente, abra seu formulário, selecione o campo E-mail, abra a aba Avançado, escolha Lista Negra e insira os endereços ou domínios a serem banidos. Um curinga como *@example.com bloqueia um domínio inteiro.

Para bloquear frases de spam, vá para Configurações » Proteção contra Spam e Segurança.
Ative 'Habilitar filtro de palavras-chave', abra 'Editar lista de palavras-chave' e adicione cada termo em sua própria linha.

E se você atende apenas a certas regiões, ative 'Habilitar filtro de país' na mesma tela para permitir ou negar locais.

Alternativamente, se sua solução de formulário WordPress não tiver essa opção, você também pode bloquear endereços IP no WordPress.
5. Parando Spam de Registros de Usuários no WordPress (Melhores Práticas)
Em um site de associação ou loja WooCommerce, registros de spam são mais do que um incômodo. Contas falsas entopem seu banco de dados de usuários e distorcem suas métricas de clientes e e-mail.
Veja o que você pode fazer para evitar spam em registros de usuários no WordPress.
Desative o Registro Quando Não Precisar Dele
Se você não está administrando um site de associação ou uma loja de comércio eletrônico, provavelmente não precisa permitir o registro de usuários. A maneira mais fácil de evitar spam de registro de usuários é desativá-lo.
Simplesmente vá para Configurações » Geral em sua área de administração do WordPress e desmarque a caixa 'Qualquer pessoa pode se registrar'.

Exigir Confirmação de E-mail Antes que uma Conta Seja Ativada
Se você precisa de registro aberto, o objetivo é permitir apenas pessoas reais, mantendo os bots de spam fora. A configuração que impede o maior número de cadastros falsos é exigir um endereço de e-mail confirmado, ou uma revisão manual, antes que uma conta seja ativada.
Onde esse controle está localizado depende de qual plugin você está usando para gerenciar o registro de usuários no WordPress. Você vai querer começar com a configuração padrão da sua plataforma em vez de adicionar um plugin de formulário geral a um sistema que já lida com isso.
Se você administra uma loja WooCommerce, vá para WooCommerce » Configurações » Contas e Privacidade. É aqui que você decide se os compradores podem criar uma conta, limitar a criação de contas ao checkout ou manter o checkout de convidado ativado para que nenhuma criação de conta seja necessária.

O WooCommerce principal não adiciona uma etapa separada de confirmação por e-mail por conta própria. Se você quiser uma, precisará de uma extensão personalizada de verificação de e-mail ou do formulário de inscrição personalizado abordado abaixo.
Outras plataformas de associação e cursos lidam com a verificação de conta em suas próprias configurações, então comece por aí:
- MemberPress: O WordPress cria a conta no registro, então combine-o com o plugin gratuito User Verification para manter a conta inativa até que a pessoa confirme seu e-mail. Veja a documentação do MemberPress para obter detalhes completos.
- BuddyPress e BuddyBoss: a ativação por e-mail é integrada, então novos membros permanecem inativos até clicarem no link de ativação. Ative o registro em Configurações » Geral (BuddyPress) ou BuddyBoss » Configurações » Login e Registro. Veja a documentação do BuddyPress e a documentação do BuddyBoss para mais detalhes.
- LearnDash: o registro é executado no próprio sistema de usuários do WordPress, portanto, não há etapa nativa de confirmação por e-mail. Uma conta entra em vigor no momento em que alguém se inscreve. Para reter novas contas até que o e-mail seja verificado, adicione essa verificação no nível do WordPress ou do formulário, usando um plugin de verificação de usuário ou o formulário de registro personalizado do WPForms abordado abaixo.
Se você estiver criando um formulário de registro personalizado em vez de usar um dos sistemas acima, poderá usar o addon de Registro de Usuário do WPForms, que permite ativar a ativação por e-mail nas configurações de Registro de Usuário do formulário, com um link de confirmação por e-mail ou aprovação manual do administrador.

Opções semelhantes estão disponíveis no Gravity Forms, WSForm e outros plugins populares de formulários do WordPress. Para o guia completo, veja nosso guia sobre como moderar novos registros de usuários.
Adicionar CAPTCHA e Honeypot ao Formulário de Inscrição do WordPress
As mesmas dicas que protegem seus formulários de contato do WordPress também funcionam no formulário de inscrição do WordPress. Como você já configurou o Cloudflare Turnstile anteriormente, pode ativá-lo para o seu formulário de registro em um clique.
Para um guia dedicado, veja nosso guia sobre como adicionar um CAPTCHA aos seus formulários de login e registro.
Se você estiver usando a página de registro padrão do WordPress, poderá adicionar campos ocultos de honeypot ao seu formulário de registro com o plugin gratuito WP Armour. O plugin registra todos os bots que ele bloqueia em WP Armour » Estatísticas.

Use Ferramentas com Tecnologia de IA para Bloquear Spam de Registro do WordPress
Honeypots e CAPTCHAs param bots óbvios, mas não conseguem detectar alguém se inscrevendo com um e-mail descartável ou de um endereço IP conhecido como ruim.
É aí que a detecção automatizada ajuda. Ela verifica cada novo cadastro em relação a dados de reputação em tempo real e bloqueia aqueles que parecem fraudulentos.
ActiveLayer e CleanTalk oferecem isso para registros no WordPress, e você pode ativá-lo para seu formulário de cadastro da mesma forma que fez para seus formulários de contato.
6. Adicione um Firewall WordPress para Todo o Site
Um Firewall de Aplicação Web (WAF) verifica cada visitante e bloqueia solicitações maliciosas antes que cheguem ao seu site. Como a maioria dos spams de formulário é automatizada, um bom firewall pode impedir grande parte deles no perímetro.
Recomendamos um firewall em nível de DNS, que filtra o tráfego na rede do provedor antes que ele toque seu servidor.
No WPBeginner, usamos o Cloudflare, que tem um plano gratuito com proteção básica de firewall (a configuração requer que você aponte os nameservers do seu domínio para o Cloudflare).

Nosso guia sobre como configurar o CDN e firewall gratuito do Cloudflare explica o processo.
Além disso, nossa lista dos melhores plugins de firewall para WordPress compara as outras opções se você quiser avaliá-las.
7. Limpeza de Spam do WordPress e Monitoramento Contínuo
Parar spam novo é apenas metade do trabalho. Se você é como a maioria dos sites, já tem um acúmulo de lixo antigo que precisa ser limpo.
Uma limpeza rápida mantém seu banco de dados organizado e ajuda suas novas ferramentas a funcionarem no seu melhor.
🚨 Sempre crie um backup completo do WordPress antes de excluir qualquer coisa em massa. Essas ações apagam dados permanentemente, sem botão de desfazer se você cometer um erro.
Excluir Comentários de Spam Existentes em Massa
O filtro de spam do WordPress marca comentários lixo, mas não os exclui, então eles podem se acumular em sua pasta de spam e ocupar espaço no banco de dados até que você os limpe.
No seu painel, vá em Comentários, clique no filtro ‘Spam’ no topo e em ‘Esvaziar Spam’ para limpar permanentemente tudo que seus filtros capturaram.

Se você tem milhares de comentários lixo, o painel pode travar ou expirar. Um plugin gratuito como o WP Bulk Delete é mais rápido e confiável para grandes acúmulos.
Para outros métodos, veja nosso guia sobre como excluir comentários do WordPress em massa.
Limpar Contas de Usuário Falsas Existentes
Deixar perfis de bots em seu banco de dados é um risco de segurança e distorce suas análises. É por isso que é importante limpar essas contas falsas.
Para um punhado, vá em Usuários » Todos os Usuários, clique no filtro de nível de usuário ‘Assinante’ (o nível que quase todos os bots de registro usam), selecione as contas falsas e escolha Excluir no menu ‘Ações em massa’.
⚠️ Tenha muito cuidado para selecionar apenas contas de Assinante falsas e nunca uma conta de Administrador.

Para milhares de contas, o plugin gratuito WP Bulk Delete pode remover usuários por nível, inatividade ou data de registro em uma única varredura.
Para mais informações, veja nosso guia sobre como excluir usuários do WordPress em massa por nível.
Lidar com Falsos Positivos
Nenhum filtro é perfeito, então nunca exclua automaticamente sua pasta de spam sem uma rápida olhada primeiro.
Em Comentários » Spam, passe o mouse sobre um comentário legítimo e clique em ‘Não é Spam’. Isso também ensina seu filtro a reconhecer comentários semelhantes como seguros no futuro.

Estabeleça uma Rotina Mensal de Revisão Anti-Spam
Alguns minutos por mês evitam que o spam se acumule novamente. Adicione estas três verificações à sua rotina de manutenção:
- Verifique falsos positivos: examine sua pasta de comentários de spam e entradas de formulário para que nenhuma mensagem real tenha sido capturada por acidente.
- Esvazie suas pastas de spam: depois de resgatar qualquer coisa real, limpe-as para manter seu banco de dados enxuto.
- Verifique sua lista de usuários: dê uma olhada nos novos registros em busca de nomes de usuário sem sentido ou domínios de e-mail suspeitos que passaram.
Principais Conclusões
Aqui está um resumo das melhores práticas que abordamos para proteger completamente seu site WordPress contra spam:
- Comece com as configurações gratuitas do WordPress: ative a moderação de comentários, restrinja seus limites de links, crie uma lista de bloqueio de comentários e desative os trackbacks. Isso não custa nada e elimina o spam mais fácil.
- Use filtragem automatizada e invisível: uma ferramenta do lado do servidor como ActiveLayer, Akismet ou CleanTalk bloqueia bots em segundo plano sem fazer com que visitantes reais resolvam quebra-cabeças.
- Camada nas defesas do seu formulário de contato: apenas honeypots não impedem mais bots modernos, então combine-os com verificações de tempo, validação de token e um filtro automatizado.
- Proteja seus registros: exija confirmação por e-mail para novas contas e verifique cada inscrição com uma ferramenta automatizada.
- Adicione um firewall para todo o site: um firewall em nível de DNS como o Cloudflare bloqueia muito spam automatizado no perímetro, antes mesmo que ele chegue aos seus formulários.
- Execute limpeza regular: exclua em massa comentários antigos de spam e contas falsas, depois gaste alguns minutos a cada mês verificando falsos positivos.
Perguntas Frequentes sobre Proteção contra Spam no WordPress
A filtragem gratuita estilo Akismet é suficiente ou preciso de mais?
Para um pequeno blog pessoal com apenas spam de comentários, um único filtro gratuito como o Akismet geralmente é suficiente. Assim que você adicionar formulários de contato, formulários de inscrição ou registro de usuário, você vai querer um serviço que proteja esses também, como ActiveLayer ou CleanTalk.
Adicionar um CAPTCHA prejudicará as conversões do meu formulário?
Pode. A etapa extra faz com que alguns visitantes reais desistam do formulário. É por isso que preferimos detecção invisível do lado do servidor que bloqueia bots sem pedir a ninguém para resolver um quebra-cabeça.
Por que ainda estou recebendo spam depois de instalar um plugin anti-spam?
Geralmente porque o plugin protege apenas um ponto de entrada. Se ele protege seus comentários, mas não seus formulários de inscrição ou contato, os bots simplesmente migram para esses em vez disso, e truques antigos como honeypots básicos não impedem mais bots modernos. A solução é uma configuração em camadas: suas configurações integradas do WordPress, um filtro automatizado e um firewall trabalhando juntos.
Como posso parar registros falsos de usuários sem desativar completamente as inscrições?
Ative a confirmação por e-mail para que novas contas permaneçam inativas até que a pessoa clique em um link em sua caixa de entrada, o que os bots não conseguem fazer. Combine isso com um honeypot e um filtro automatizado, e pessoas reais ainda podem se inscrever livremente.
O spam pode realmente prejudicar meu SEO ou fazer com que meu site seja colocado em uma lista negra?
Pode, mas depende de onde o spam está. O spam de comentários que fica na sua fila de moderação nunca é publicado, então os mecanismos de busca nunca o veem e seu SEO permanece seguro.
O spam publicado é o risco real, pois pode diminuir lentamente suas classificações. O WordPress marca os links de comentários como nofollow, o que limita os danos.
Esperamos que este artigo tenha ajudado você a aprender como proteger seu site WordPress contra spam. Você também pode querer conferir nosso guia definitivo de segurança do WordPress para melhorar a segurança do seu site.
Se você gostou deste artigo, por favor, inscreva-se em nosso Canal do YouTube para tutoriais em vídeo do WordPress. Você também pode nos encontrar no Twitter e no Facebook.
Tem alguma pergunta ou sugestão? Por favor, deixe um comentário para iniciar a discussão.