Protéger un formulaire de contact avec Google reCAPTCHA : réduire efficacement le spam dans WordPress

Les formulaires de contact sont indispensables pour de nombreux sites WordPress. Ils permettent aux visiteurs d’envoyer rapidement une demande, un message de support, une demande d’offre ou un retour sur vos services. En même temps, les formulaires non protégés font partie des cibles préférées des robots de spam.

Les robots de spam parcourent automatiquement Internet à la recherche de formulaires et envoient massivement des messages indésirables. Ceux-ci contiennent souvent de la publicité, des liens de phishing, du spam SEO, des références à des logiciels malveillants ou du contenu totalement dénué de sens. Google reCAPTCHA peut aider à détecter et bloquer ces envois automatisés de formulaires.

En bref : reCAPTCHA est une protection anti-bot de Google. Elle aide les plugins de formulaires à distinguer les vrais visiteurs des robots de spam automatisés. Pour WordPress, reCAPTCHA v3 est souvent utilisé, car il fonctionne en arrière-plan et n’affiche pas d’énigmes visuelles.

Pourquoi les formulaires de contact doivent être protégés

Un formulaire de contact non protégé peut rapidement devenir une source de spam. Les robots remplissent automatiquement les champs du formulaire et envoient des messages à haute fréquence. Ce n’est pas seulement gênant, cela peut aussi avoir des conséquences techniques et organisationnelles.

Les problèmes typiques causés par le spam de formulaires sont :

  • boîtes mail saturées : Les vraies demandes clients se perdent parmi les messages de spam.
  • perte de temps : Le spam doit être supprimé et vérifié manuellement.
  • risque de sécurité : Les messages peuvent contenir des liens dangereux.
  • charge serveur : Un très grand nombre d’appels de formulaires peut solliciter les ressources.
  • problèmes de distribution : Des e-mails de formulaires envoyés en masse peuvent compliquer la vue d’ensemble et le traitement des e-mails.
  • mauvaise expérience utilisateur : Si les mesures de protection sont mal configurées, de vrais visiteurs peuvent être bloqués.

Une bonne protection anti-spam doit donc atteindre deux objectifs à la fois : bloquer les robots et déranger le moins possible les vrais visiteurs.

Qu’est-ce que Google reCAPTCHA ?

Google reCAPTCHA est un service qui aide les sites web à détecter les accès automatisés, le spam et les abus. Selon la version, les utilisateurs sont vérifiés activement ou évalués en arrière-plan.

Google distingue notamment reCAPTCHA v2, reCAPTCHA v3 et reCAPTCHA Enterprise. Selon Google, reCAPTCHA v3 fournit un score pour chaque requête sans interrompre les utilisateurs par une tâche visible. Ce score est basé sur les interactions avec le site web.

Pour les formulaires de contact WordPress, reCAPTCHA v3 est souvent utilisé, car il fonctionne en arrière-plan. Les énigmes visuelles telles que « Sélectionnez tous les feux de signalisation » ne sont normalement pas nécessaires.

reCAPTCHA v2 ou reCAPTCHA v3 ?

La version appropriée dépend du plugin de formulaire, du concept de protection des données et du volume de spam. De nombreux plugins de formulaires modernes prennent directement en charge reCAPTCHA v3.

Variante Fonctionnement Adapté pour
reCAPTCHA v2 Les utilisateurs doivent souvent confirmer activement ou résoudre une tâche. Formulaires avec forte pression de spam, lorsque la vérification visible est acceptable.
reCAPTCHA v3 Fonctionne en arrière-plan et évalue les requêtes à l’aide d’un score. Formulaires de contact pour lesquels la convivialité est importante.
reCAPTCHA Enterprise Variante avancée pour des analyses de sécurité et de risque plus complètes. Projets plus importants avec un besoin de protection accru.

Contact Form 7 prend en charge nativement reCAPTCHA v3 depuis la version 5.1 ; ceux qui souhaitent y utiliser reCAPTCHA v2 ont besoin d’une solution supplémentaire. WPForms propose également des options CAPTCHA dans ses réglages, notamment Google reCAPTCHA, hCaptcha et Cloudflare Turnstile.

1. Créer des clés reCAPTCHA chez Google

Pour que reCAPTCHA fonctionne sur votre site web, vous avez besoin de deux clés : une clé de site, aussi appelée Site Key, et une clé secrète, aussi appelée Secret Key.

Google explique la différence ainsi : la Site Key est utilisée sur le site web pour appeler reCAPTCHA. La Secret Key sert à la communication entre votre application et le serveur reCAPTCHA et doit rester protégée.

La procédure typique :

  1. Ouvrez la Google reCAPTCHA Admin Console.
  2. Connectez-vous avec votre compte Google.
  3. Enregistrez un nouveau site web.
  4. Sélectionnez le type reCAPTCHA approprié, par exemple reCAPTCHA v3.
  5. Saisissez votre domaine, par exemple example.ch.
  6. Acceptez les conditions, le cas échéant.
  7. Créez les clés.
  8. Copiez la Site Key et la Secret Key dans votre plugin de formulaire WordPress.
Important : La Secret Key ne doit pas être visible publiquement. Saisissez-la uniquement dans les réglages prévus de votre plugin de formulaire.

2. Saisir correctement le domaine

Lors de la création des clés reCAPTCHA, vous devez enregistrer correctement votre domaine. Utilisez le domaine sans chemin. Donc par exemple :

example.ch

Pas :

https://www.example.ch/kontakt/

Si votre site web est accessible avec et sans www ou utilise des sous-domaines, vérifiez quelles variantes de domaine doivent être saisies dans l’administration reCAPTCHA.

3. Configurer reCAPTCHA dans Contact Form 7

Contact Form 7 propose sa propre intégration pour reCAPTCHA v3. Le plugin décrit reCAPTCHA comme une protection contre le spam et les abus automatisés.

La procédure typique dans WordPress :

  1. Dans le tableau de bord WordPress, ouvrez Contact > Intégration.
  2. Recherchez la section reCAPTCHA.
  3. Cliquez sur Configurer l’intégration ou un bouton comparable.
  4. Insérez la Site Key.
  5. Insérez la Secret Key.
  6. Enregistrez les réglages.
  7. Testez votre formulaire de contact.

Avec Contact Form 7 v3, reCAPTCHA fonctionne en arrière-plan. En règle générale, vous n’avez pas besoin d’ajouter un shortcode reCAPTCHA supplémentaire dans le formulaire.

4. Configurer reCAPTCHA dans WPForms

WPForms prend également en charge différentes méthodes CAPTCHA. Selon la documentation WPForms, vous trouverez les réglages CAPTCHA sous WPForms > Settings dans l’onglet CAPTCHA. Vous pouvez y sélectionner Google reCAPTCHA et configurer le type souhaité.

La procédure typique :

  1. Ouvrez WPForms > Settings.
  2. Passez à l’onglet CAPTCHA.
  3. Sélectionnez reCAPTCHA.
  4. Sélectionnez le type reCAPTCHA approprié.
  5. Saisissez la Site Key et la Secret Key.
  6. Enregistrez les réglages.
  7. Ouvrez votre formulaire dans le constructeur WPForms.
  8. Activez reCAPTCHA pour le formulaire souhaité.
  9. Enregistrez et testez le formulaire.

Selon le plugin de formulaire, la procédure exacte diffère légèrement. Vérifiez donc toujours la documentation du plugin de formulaire utilisé.

5. Activer reCAPTCHA dans le formulaire

La saisie des clés ne suffit pas avec tous les plugins. Certains plugins exigent en plus que reCAPTCHA soit activé dans le formulaire concerné.

Vérifiez donc :

  • La Site Key et la Secret Key sont-elles correctement enregistrées ?
  • reCAPTCHA est-il activé dans le formulaire lui-même ?
  • La bonne version de reCAPTCHA est-elle utilisée ?
  • Le domaine est-il correctement enregistré dans la console Google ?
  • Le formulaire s’affiche-t-il correctement après l’enregistrement ?
  • Une demande de test fonctionne-t-elle ?

Avec reCAPTCHA v3, un petit logo ou badge reCAPTCHA apparaît souvent sur le site web. Selon l’intégration et les exigences de Google, l’indication relative à reCAPTCHA et aux conditions de Google doit être correctement visible ou liée.

6. Comprendre le score reCAPTCHA v3

reCAPTCHA v3 ne fonctionne pas avec une énigme visible, mais avec une évaluation du risque. Google indique que reCAPTCHA v3 renvoie un score pour les requêtes afin que les sites puissent réagir de manière appropriée.

En termes simples :

  • Score élevé : La requête semble plutôt digne de confiance.
  • Score faible : La requête semble plutôt suspecte.

La sévérité avec laquelle un formulaire réagit dépend du plugin et de ses réglages. Si la vérification est trop stricte, de vrais utilisateurs peuvent être bloqués. Si elle est trop permissive, le spam continue de passer.

7. Tester le formulaire après la configuration

Après l’activation, vous devez absolument tester le formulaire. Envoyez une demande de test normale et vérifiez si le message arrive correctement.

Testez :

  • navigateur de bureau,
  • smartphone,
  • différents navigateurs,
  • formulaire avec champs obligatoires,
  • formulaire avec messages d’erreur,
  • formulaire avec un message plus long,
  • formulaire après vidage du cache,
  • formulaire en fenêtre de navigation privée.

Vérifiez également si l’envoi des e-mails fonctionne correctement. reCAPTCHA bloque le spam, mais ne remplace pas une configuration SMTP propre.

8. Protection des données : utiliser reCAPTCHA consciemment

reCAPTCHA est un service externe de Google. Des données peuvent donc être transmises à Google lors du chargement ou de l’utilisation du formulaire. Cela doit être pris en compte dans votre examen de protection des données.

Vérifiez notamment :

  • reCAPTCHA est-il mentionné dans votre déclaration de confidentialité ?
  • reCAPTCHA est-il chargé dès l’appel de la page ou seulement avec le formulaire ?
  • Un consentement est-il nécessaire ?
  • Un gestionnaire de consentement est-il utilisé ?
  • Existe-t-il une alternative plus respectueuse de la protection des données ?
  • L’intégration correspond-elle à la nLPD suisse et, le cas échéant, au RGPD ?
Mention juridique : Ce guide ne constitue pas un conseil juridique. Vérifiez reCAPTCHA, la déclaration de confidentialité et les réglages de consentement en fonction de votre site web, de votre marché cible et des services utilisés.

9. reCAPTCHA et temps de chargement

reCAPTCHA charge des scripts externes de Google. Cela peut influencer le temps de chargement et le nombre de requêtes externes. En particulier pour les sites web sensibles aux performances, reCAPTCHA doit être chargé de manière ciblée et non inutilement sur chaque page.

Vérifiez :

  • reCAPTCHA est-il chargé uniquement sur les pages avec formulaire ?
  • Le script est-il intégré globalement par un plugin de formulaire ?
  • reCAPTCHA influence-t-il les valeurs PageSpeed ?
  • Existe-t-il des conflits avec la mise en cache ou l’optimisation JavaScript ?
  • reCAPTCHA fonctionne-t-il toujours après minification et cache ?

Si votre formulaire se trouve uniquement sur la page de contact, reCAPTCHA ne devrait idéalement pas être chargé sur chaque sous-page de votre site web.

10. Alternatives à reCAPTCHA

reCAPTCHA n’est pas la seule possibilité pour réduire le spam de formulaires. Selon les exigences de protection des données, l’expérience utilisateur et le volume de spam, des alternatives peuvent être utiles.

Alternatives ou compléments possibles :

  • Honeypot : Champ invisible qui détecte de nombreux robots simples.
  • Cloudflare Turnstile : Alternative CAPTCHA avec une autre orientation technique.
  • hCaptcha : Solution CAPTCHA alternative.
  • Plugins antispam : Plugins WordPress spécifiques contre le spam de formulaires et de commentaires.
  • Rate Limiting : Limitation de très nombreuses requêtes en peu de temps.
  • Règles de pare-feu : Blocage des accès suspects.
  • Validation de formulaire : Vérification des saisies côté serveur.

Pour de nombreux formulaires de contact normaux, une combinaison de honeypot, validation de formulaire et protection côté serveur suffit déjà. En cas de spam plus intense, reCAPTCHA peut constituer une couche de protection supplémentaire.

11. Combiner reCAPTCHA avec la protection d’hébergement

reCAPTCHA protège le formulaire au niveau applicatif. En complément, une protection d’hébergement peut aider à détecter ou bloquer les requêtes malveillantes à un stade précoce.

Chez CURIAWEB, selon l’environnement d’hébergement, une protection supplémentaire peut être utilisée au niveau serveur, par exemple des mécanismes de sécurité contre les accès malveillants, les logiciels malveillants ou les activités suspectes. Ces couches de protection ne remplacent pas complètement reCAPTCHA, mais complètent la stratégie de sécurité.

Conseil de sécurité CURIAWEB : Utilisez plusieurs couches de protection : validation propre des formulaires, protection anti-spam, plugins à jour, version PHP sécurisée, SSL, sauvegardes et mécanismes de sécurité côté serveur.

12. Erreurs fréquentes avec reCAPTCHA

Si reCAPTCHA ne fonctionne pas, cela est souvent dû à de petites erreurs de configuration. Vérifiez systématiquement avant de changer de plugin.

  • Mauvais type de clé : Des clés v2 sont utilisées pour v3 ou inversement.
  • Domaine non saisi : Le domaine du site web n’est pas correctement enregistré dans la console reCAPTCHA.
  • Secret Key insérée publiquement : La clé secrète a été utilisée de manière incorrecte.
  • reCAPTCHA non activé dans le formulaire : Les clés sont enregistrées, mais la protection du formulaire n’est pas active.
  • Conflit de cache : JavaScript est retardé, combiné ou bloqué.
  • Bloqueur de consentement bloque reCAPTCHA : Le formulaire ne fonctionne qu’après consentement ou pas du tout.
  • Évaluation trop stricte : De vrais utilisateurs sont bloqués à tort.
  • Aucune demande de test : Les erreurs passent inaperçues jusqu’à la première vraie demande client.

13. SEO et GEO : pourquoi la protection anti-spam est indirectement importante

reCAPTCHA n’est pas un facteur de classement SEO direct. Un formulaire bien protégé peut toutefois contribuer indirectement à la qualité de votre site web. Les vraies demandes arrivent plus fiablement, le spam est réduit et les visiteurs découvrent un site web plus professionnel.

Pour le GEO, c’est-à-dire Generative Engine Optimization, la confiance est importante. Un site web avec un formulaire de contact fonctionnel, une déclaration de confidentialité claire, des moyens de contact visibles et une technique stable paraît plus fiable qu’un site avec des formulaires défectueux ou des problèmes de spam.

Ce qui est important :

  • les formulaires doivent fonctionner de manière fiable,
  • la protection anti-spam ne doit pas bloquer les vrais visiteurs,
  • la protection des données doit être expliquée de manière transparente,
  • les possibilités de contact doivent être clairement visibles,
  • les erreurs techniques doivent être évitées.

Procédure recommandée

  1. Vérifier le volume de spam : Le spam arrive-t-il via le formulaire de contact, les commentaires ou l’inscription ?
  2. Vérifier le plugin de formulaire : Prend-il en charge reCAPTCHA v3, v2 ou des alternatives ?
  3. Créer les clés reCAPTCHA : Générer la Site Key et la Secret Key dans la console Google.
  4. Saisir correctement le domaine : Vérifier le domaine principal et les sous-domaines pertinents.
  5. Enregistrer les clés dans le plugin : Insérer proprement la Site Key et la Secret Key.
  6. Activer la protection du formulaire : Activer reCAPTCHA dans le formulaire selon le plugin.
  7. Envoyer une demande de test : Vérifier le fonctionnement et la distribution des e-mails.
  8. Vérifier la protection des données : Adapter la déclaration de confidentialité et le concept de consentement.
  9. Contrôler la performance : Vérifier si reCAPTCHA ne se charge que là où il est nécessaire.
  10. Observer le taux de spam : Adapter au besoin les seuils ou mesures de protection supplémentaires.

Questions fréquentes sur reCAPTCHA dans WordPress

Qu’est-ce que Google reCAPTCHA ?

Google reCAPTCHA est un service de protection anti-bot qui aide les sites web à détecter le spam et les abus automatisés. Il est souvent utilisé pour les formulaires de contact, les inscriptions et les connexions.

Quelle est la différence entre Site Key et Secret Key ?

La Site Key est utilisée sur le site web pour appeler reCAPTCHA. La Secret Key sert à la communication sécurisée avec le serveur et doit rester protégée.

reCAPTCHA v3 est-il meilleur que v2 ?

reCAPTCHA v3 est plus convivial, car il fonctionne en arrière-plan. reCAPTCHA v2 peut être judicieux en cas de forte pression de spam, mais dérange plus souvent les visiteurs par des vérifications visibles.

Pourquoi le logo reCAPTCHA apparaît-il en bas de mon site web ?

Avec reCAPTCHA v3, un badge est souvent affiché. Selon l’intégration et les exigences de Google, il doit être visible que reCAPTCHA est utilisé et que les conditions de Google s’appliquent.

reCAPTCHA peut-il bloquer tous les messages de spam ?

Non. reCAPTCHA réduit de nombreuses tentatives de spam automatisées, mais ne constitue pas une protection complète contre tout abus. Une combinaison avec honeypot, pare-feu, validation de formulaire et mises à jour est judicieuse.

reCAPTCHA est-il pertinent pour la protection des données ?

Oui. reCAPTCHA est un service externe de Google et doit être pris en compte dans l’examen de protection des données, la déclaration de confidentialité et, le cas échéant, la gestion du consentement.

Pourquoi mon formulaire ne fonctionne-t-il plus après l’activation de reCAPTCHA ?

Les causes possibles sont des clés incorrectes, un mauvais type reCAPTCHA, des conflits de cache, l’optimisation JavaScript, des bloqueurs de consentement ou un domaine mal enregistré.

Existe-t-il des alternatives à reCAPTCHA ?

Oui. Selon le plugin de formulaire, honeypot, hCaptcha, Cloudflare Turnstile, plugins antispam ou mécanismes de protection côté serveur peuvent constituer des alternatives ou des compléments.

La sécurité avant tout

Un formulaire de contact protégé n’est qu’une partie d’un site WordPress sécurisé. Avec l’hébergement WordPress de CURIAWEB, vous bénéficiez d’une infrastructure suisse stable, de SSL inclus, d’une technologie NVMe rapide et d’une base solide pour des projets web professionnels.

En savoir plus sur les stratégies de sauvegarde
Cette réponse était-elle pertinente? 0 Utilisateurs l'ont trouvée utile (0 Votes)

Les plus consultés

Comment installer WordPress via l'auto-installateur Softaculous

Comment installer WordPress via l'auto-installateur Softaculous WordPress est le premier...
Comment installer manuellement WordPress via une archive d'installation

Comment installer manuellement WordPress via une archive d'installation Dans ce tutoriel, nous...
Configuration WordPress : Comment optimiser les réglages généraux

Configuration WordPress : Comment optimiser les réglages généraux Après l'installation...
Qu'est-ce qu'une extension (Plugin) WordPress et comment l'installer ?

Qu'est-ce qu'une extension WordPress et comment en installer une nouvelle ? Introduction Les...
Comment installer un nouveau Thème dans WordPress

Comment installer un nouveau design (Thème) dans WordPress Introduction Il est évident que le...