Proteggere il modulo di contatto con Google reCAPTCHA: ridurre efficacemente lo spam in WordPress

I moduli di contatto sono indispensabili per molti siti WordPress. Consentono ai visitatori di inviare rapidamente una richiesta, una segnalazione di supporto, una richiesta di offerta o un feedback sui vostri servizi. Allo stesso tempo, i moduli non protetti sono tra i bersagli preferiti degli spam bot.

Gli spam bot scandagliano automaticamente Internet alla ricerca di moduli e inviano grandi quantità di messaggi indesiderati. Questi contengono spesso pubblicità, link di phishing, spam SEO, riferimenti a malware o contenuti del tutto privi di senso. Google reCAPTCHA può aiutare a riconoscere e bloccare tali invii automatizzati di moduli.

In breve: reCAPTCHA è una protezione anti-bot di Google. Aiuta i plugin per moduli a distinguere i visitatori reali dagli spam bot automatizzati. Per WordPress viene spesso utilizzato reCAPTCHA v3, perché funziona in background e non mostra enigmi con immagini.

Perché i moduli di contatto dovrebbero essere protetti

Un modulo di contatto non protetto può diventare rapidamente una fonte di spam. I bot compilano automaticamente i campi del modulo e inviano messaggi ad alta frequenza. Questo non è solo fastidioso, ma può anche avere conseguenze tecniche e organizzative.

Problemi tipici causati dallo spam nei moduli sono:

  • caselle di posta sovraccariche: Le vere richieste dei clienti si perdono tra i messaggi di spam.
  • perdita di tempo: Lo spam deve essere cancellato e controllato manualmente.
  • rischio di sicurezza: I messaggi possono contenere link pericolosi.
  • carico del server: Un numero molto elevato di invii di moduli può gravare sulle risorse.
  • problemi di recapito: Invii massivi di e-mail da moduli possono rendere più difficile la panoramica e la gestione delle e-mail.
  • cattiva esperienza utente: Se le misure di protezione sono configurate in modo errato, i veri visitatori possono essere bloccati.

Una buona protezione anti-spam dovrebbe quindi raggiungere due obiettivi allo stesso tempo: bloccare i bot e disturbare il meno possibile i visitatori reali.

Che cos’è Google reCAPTCHA?

Google reCAPTCHA è un servizio che aiuta i siti web a riconoscere accessi automatizzati, spam e abusi. A seconda della versione, gli utenti vengono controllati attivamente o valutati in background.

Google distingue, tra gli altri, tra reCAPTCHA v2, reCAPTCHA v3 e reCAPTCHA Enterprise. Secondo Google, reCAPTCHA v3 restituisce una valutazione per ogni richiesta senza interrompere gli utenti con un compito visibile. Questa valutazione si basa sulle interazioni con il sito web.

Per i moduli di contatto WordPress viene spesso utilizzato reCAPTCHA v3, perché funziona in background. Enigmi visibili con immagini come “Seleziona tutti i semafori” normalmente non sono necessari.

reCAPTCHA v2 o reCAPTCHA v3?

Quale versione sia sensata dipende dal plugin del modulo, dal concetto di protezione dei dati e dal volume di spam. Molti plugin per moduli moderni supportano direttamente reCAPTCHA v3.

Variante Funzionamento Adatto per
reCAPTCHA v2 Gli utenti devono spesso confermare attivamente o risolvere un compito. Moduli con forte pressione di spam, quando una verifica visibile è accettabile.
reCAPTCHA v3 Funziona in background e valuta le richieste sulla base di un punteggio. Moduli di contatto in cui la facilità d’uso è importante.
reCAPTCHA Enterprise Variante avanzata per analisi di sicurezza e rischio più estese. Progetti più grandi con maggiori esigenze di protezione.

Contact Form 7 supporta nativamente reCAPTCHA v3 dalla versione 5.1; chi desidera utilizzare reCAPTCHA v2 ha bisogno di una soluzione aggiuntiva. Anche WPForms offre opzioni CAPTCHA nelle sue impostazioni, tra cui Google reCAPTCHA, hCaptcha e Cloudflare Turnstile.

1. Creare le chiavi reCAPTCHA presso Google

Affinché reCAPTCHA funzioni sul vostro sito web, sono necessarie due chiavi: una chiave del sito, detta anche Site Key, e una chiave segreta, detta anche Secret Key.

Google spiega la differenza così: la Site Key viene utilizzata sul sito web per richiamare reCAPTCHA. La Secret Key serve per la comunicazione tra la vostra applicazione e il server reCAPTCHA e deve rimanere protetta.

La procedura tipica:

  1. Aprite la Google reCAPTCHA Admin Console.
  2. Accedete con il vostro account Google.
  3. Registrate un nuovo sito web.
  4. Scegliete il tipo di reCAPTCHA adatto, ad esempio reCAPTCHA v3.
  5. Inserite il vostro dominio, ad esempio example.ch.
  6. Accettate le condizioni, se applicabile.
  7. Create le chiavi.
  8. Copiate Site Key e Secret Key nel vostro plugin per moduli WordPress.
Importante: La Secret Key non deve essere visibile pubblicamente. Inseritela solo nelle impostazioni previste del vostro plugin per moduli.

2. Inserire correttamente il dominio

Quando create le chiavi reCAPTCHA, dovete inserire correttamente il vostro dominio. Utilizzate il dominio senza percorso. Quindi ad esempio:

example.ch

Non:

https://www.example.ch/kontakt/

Se il vostro sito web è raggiungibile con e senza www o utilizza sottodomini, verificate quali varianti di dominio devono essere inserite nella gestione reCAPTCHA.

3. Configurare reCAPTCHA in Contact Form 7

Contact Form 7 offre una propria integrazione per reCAPTCHA v3. Il plugin descrive reCAPTCHA come protezione contro spam e abusi automatizzati.

La procedura tipica in WordPress:

  1. Aprite nella dashboard di WordPress Contatto > Integrazione.
  2. Cercate la sezione reCAPTCHA.
  3. Fate clic su Configura integrazione o su un pulsante simile.
  4. Inserite la Site Key.
  5. Inserite la Secret Key.
  6. Salvate le impostazioni.
  7. Testate il vostro modulo di contatto.

Con Contact Form 7 v3, reCAPTCHA funziona in background. Di norma non dovete inserire alcuno shortcode reCAPTCHA aggiuntivo nel modulo.

4. Configurare reCAPTCHA in WPForms

Anche WPForms supporta diversi metodi CAPTCHA. Secondo la documentazione WPForms, trovate le impostazioni CAPTCHA sotto WPForms > Settings nella scheda CAPTCHA. Qui potete selezionare Google reCAPTCHA e configurare il tipo desiderato.

La procedura tipica:

  1. Aprite WPForms > Settings.
  2. Passate alla scheda CAPTCHA.
  3. Selezionate reCAPTCHA.
  4. Scegliete il tipo di reCAPTCHA adatto.
  5. Inserite Site Key e Secret Key.
  6. Salvate le impostazioni.
  7. Aprite il vostro modulo nel builder WPForms.
  8. Attivate reCAPTCHA per il modulo desiderato.
  9. Salvate e testate il modulo.

A seconda del plugin per moduli, la procedura esatta può variare leggermente. Verificate quindi sempre la documentazione del plugin per moduli utilizzato.

5. Attivare reCAPTCHA nel modulo

L’inserimento delle chiavi non è sufficiente per ogni plugin. Alcuni plugin richiedono inoltre che reCAPTCHA sia attivato nel rispettivo modulo.

Verificate quindi:

  • Site Key e Secret Key sono salvate correttamente?
  • reCAPTCHA è attivato nel modulo stesso?
  • Viene utilizzata la versione reCAPTCHA corretta?
  • Il dominio è registrato correttamente nella console Google?
  • Il modulo viene visualizzato correttamente dopo il salvataggio?
  • Una richiesta di test funziona?

Con reCAPTCHA v3 compare spesso un piccolo logo o badge reCAPTCHA sul sito web. A seconda dell’integrazione e delle indicazioni di Google, l’avviso su reCAPTCHA e le condizioni di Google devono essere correttamente visibili o linkati.

6. Comprendere lo score di reCAPTCHA v3

reCAPTCHA v3 non funziona con un enigma visibile, ma con una valutazione del rischio. Google descrive che reCAPTCHA v3 restituisce uno score per le richieste, affinché i siti web possano reagire in modo appropriato.

In parole semplici:

  • Score alto: La richiesta appare più affidabile.
  • Score basso: La richiesta appare più sospetta.

Quanto severamente reagisce un modulo dipende dal plugin e dalle sue impostazioni. Se il controllo è troppo severo, utenti reali possono essere bloccati. Se è troppo permissivo, lo spam continua ad arrivare.

7. Testare il modulo dopo la configurazione

Dopo l’attivazione dovreste assolutamente testare il modulo. Inviate una normale richiesta di test e verificate se il messaggio arriva correttamente.

Testate:

  • browser desktop,
  • smartphone,
  • browser diversi,
  • modulo con campi obbligatori,
  • modulo con messaggi di errore,
  • modulo con messaggio più lungo,
  • modulo dopo lo svuotamento della cache,
  • modulo in finestra di navigazione in incognito.

Verificate inoltre se l’invio delle e-mail funziona correttamente. reCAPTCHA blocca lo spam, ma non sostituisce una configurazione SMTP pulita.

8. Protezione dei dati: utilizzare reCAPTCHA consapevolmente

reCAPTCHA è un servizio esterno di Google. Di conseguenza, durante il caricamento o l’utilizzo del modulo possono essere trasmessi dati a Google. Questo deve essere considerato nella vostra verifica della protezione dei dati.

Verificate in particolare:

  • reCAPTCHA è menzionato nella vostra informativa sulla privacy?
  • reCAPTCHA viene caricato già all’apertura della pagina o solo con il modulo?
  • È necessario un consenso?
  • Viene utilizzato un consent manager?
  • Esiste un’alternativa più rispettosa della privacy?
  • L’integrazione è compatibile con la nLPD svizzera ed eventualmente con il GDPR?
Nota legale: Questa guida non costituisce consulenza legale. Verificate reCAPTCHA, informativa sulla privacy e impostazioni di consenso in base al vostro sito web, al vostro mercato di riferimento e ai servizi utilizzati.

9. reCAPTCHA e tempo di caricamento

reCAPTCHA carica script esterni da Google. Questo può influire sul tempo di caricamento e sul numero di richieste esterne. Soprattutto per siti web critici dal punto di vista delle prestazioni, reCAPTCHA dovrebbe essere caricato in modo mirato e non inutilmente su ogni pagina.

Verificate:

  • reCAPTCHA viene caricato solo sulle pagine con modulo?
  • Lo script viene integrato globalmente da un plugin per moduli?
  • reCAPTCHA influisce sui valori PageSpeed?
  • Ci sono conflitti con caching o ottimizzazione JavaScript?
  • reCAPTCHA funziona ancora dopo minificazione e cache?

Se il vostro modulo si trova solo sulla pagina contatti, idealmente reCAPTCHA non dovrebbe essere caricato su ogni sottopagina del vostro sito web.

10. Alternative a reCAPTCHA

reCAPTCHA non è l’unico modo per ridurre lo spam nei moduli. A seconda dei requisiti di protezione dei dati, dell’esperienza utente e del volume di spam, le alternative possono essere utili.

Possibili alternative o integrazioni:

  • Honeypot: Campo invisibile che riconosce molti bot semplici.
  • Cloudflare Turnstile: Alternativa CAPTCHA con un diverso orientamento tecnico.
  • hCaptcha: Soluzione CAPTCHA alternativa.
  • Plugin antispam: Plugin WordPress specifici contro spam nei moduli e nei commenti.
  • Rate Limiting: Limitazione di moltissime richieste in breve tempo.
  • Regole firewall: Blocco di accessi sospetti.
  • Validazione del modulo: Controllo lato server degli inserimenti.

Per molti normali moduli di contatto è già sufficiente una combinazione di honeypot, validazione del modulo e protezione lato server. In caso di spam più intenso, reCAPTCHA può essere un ulteriore livello di protezione.

11. Combinare reCAPTCHA con la protezione hosting

reCAPTCHA protegge il modulo a livello applicativo. Inoltre, una protezione hosting può aiutare a riconoscere o bloccare tempestivamente richieste dannose.

Presso CURIAWEB, a seconda dell’ambiente di hosting, può essere utilizzata una protezione aggiuntiva a livello server, ad esempio meccanismi di sicurezza contro accessi dannosi, malware o attività sospette. Tali livelli di protezione non sostituiscono completamente reCAPTCHA, ma completano la strategia di sicurezza.

Consiglio di sicurezza CURIAWEB: Utilizzate più livelli di protezione: validazione pulita dei moduli, protezione anti-spam, plugin aggiornati, versione PHP sicura, SSL, backup e meccanismi di sicurezza lato server.

12. Errori frequenti con reCAPTCHA

Se reCAPTCHA non funziona, spesso la causa sono piccoli errori di configurazione. Verificate sistematicamente prima di cambiare plugin.

  • Tipo di chiave errato: Le chiavi v2 vengono usate per v3 o viceversa.
  • Dominio non inserito: Il dominio del sito web non è registrato correttamente nella console reCAPTCHA.
  • Secret Key inserita pubblicamente: La chiave segreta è stata utilizzata in modo errato.
  • reCAPTCHA non attivato nel modulo: Le chiavi sono salvate, ma la protezione del modulo non è attiva.
  • Conflitto di cache: JavaScript viene ritardato, combinato o bloccato.
  • Consent blocker blocca reCAPTCHA: Il modulo funziona solo dopo il consenso o non funziona affatto.
  • Valutazione troppo severa: Utenti reali vengono bloccati erroneamente.
  • Nessuna richiesta di test: Gli errori restano inosservati fino alla prima vera richiesta del cliente.

13. SEO e GEO: perché la protezione anti-spam è indirettamente importante

reCAPTCHA non è un fattore di ranking SEO diretto. Tuttavia, un modulo ben protetto può contribuire indirettamente alla qualità del vostro sito web. Le richieste reali arrivano in modo più affidabile, lo spam viene ridotto e i visitatori percepiscono un sito web più professionale.

Per GEO, cioè Generative Engine Optimization, la fiducia è importante. Un sito web con modulo di contatto funzionante, informativa sulla privacy chiara, canali di contatto visibili e tecnologia stabile appare più affidabile di un sito con moduli difettosi o problemi di spam.

È importante che:

  • i moduli funzionino in modo affidabile,
  • la protezione anti-spam non blocchi i visitatori reali,
  • la protezione dei dati sia spiegata in modo trasparente,
  • le possibilità di contatto siano chiaramente visibili,
  • gli errori tecnici siano evitati.

Procedura consigliata

  1. Verificare il volume di spam: Lo spam arriva tramite modulo di contatto, commenti o registrazione?
  2. Verificare il plugin del modulo: Supporta reCAPTCHA v3, v2 o alternative?
  3. Creare le chiavi reCAPTCHA: Generare Site Key e Secret Key nella console Google.
  4. Inserire correttamente il dominio: Verificare dominio principale e sottodomini rilevanti.
  5. Salvare le chiavi nel plugin: Inserire correttamente Site Key e Secret Key.
  6. Attivare la protezione del modulo: Attivare reCAPTCHA nel modulo a seconda del plugin.
  7. Inviare una richiesta di test: Verificare funzionamento e recapito e-mail.
  8. Verificare la protezione dei dati: Adattare informativa sulla privacy e concetto di consenso.
  9. Controllare le prestazioni: Verificare se reCAPTCHA viene caricato solo dove è necessario.
  10. Monitorare il tasso di spam: Se necessario, adattare soglie o misure di protezione aggiuntive.

Domande frequenti su reCAPTCHA in WordPress

Che cos’è Google reCAPTCHA?

Google reCAPTCHA è un servizio di protezione anti-bot che aiuta i siti web a riconoscere spam e abusi automatizzati. Viene spesso utilizzato per moduli di contatto, registrazioni e login.

Qual è la differenza tra Site Key e Secret Key?

La Site Key viene utilizzata sul sito web per richiamare reCAPTCHA. La Secret Key serve per la comunicazione sicura con il server e deve restare protetta.

reCAPTCHA v3 è migliore di v2?

reCAPTCHA v3 è più user-friendly perché funziona in background. reCAPTCHA v2 può essere sensato in caso di forte pressione di spam, ma disturba più spesso i visitatori con verifiche visibili.

Perché il logo reCAPTCHA appare in basso sul mio sito web?

Con reCAPTCHA v3 viene spesso mostrato un badge. A seconda dell’integrazione e delle indicazioni di Google, deve essere visibile che viene utilizzato reCAPTCHA e che valgono le condizioni di Google.

reCAPTCHA può bloccare tutti i messaggi di spam?

No. reCAPTCHA riduce molti tentativi di spam automatizzati, ma non è una protezione completa contro ogni abuso. È utile una combinazione con honeypot, firewall, validazione dei moduli e aggiornamenti.

reCAPTCHA è rilevante per la protezione dei dati?

Sì. reCAPTCHA è un servizio esterno di Google e dovrebbe essere considerato nella verifica della protezione dei dati, nell’informativa sulla privacy e, se necessario, nella gestione del consenso.

Perché il mio modulo non funziona più dopo l’attivazione di reCAPTCHA?

Possibili cause sono chiavi errate, tipo reCAPTCHA sbagliato, conflitti di cache, ottimizzazione JavaScript, consent blocker o un dominio non inserito correttamente.

Esistono alternative a reCAPTCHA?

Sì. A seconda del plugin per moduli, honeypot, hCaptcha, Cloudflare Turnstile, plugin antispam o meccanismi di protezione lato server possono essere alternative o integrazioni.

La sicurezza viene prima di tutto

Un modulo di contatto protetto è solo una parte di un sito WordPress sicuro. Con l’hosting WordPress di CURIAWEB beneficiate di un’infrastruttura svizzera stabile, SSL incluso, veloce tecnologia NVMe e una base solida per progetti web professionali.

Scoprire di più sulle strategie di backup
Hai trovato utile questa risposta? 0 Utenti hanno trovato utile questa risposta (0 Voti)

Gli articoli più popolari

Come installare WordPress tramite l'auto-installatore Softaculous

Come installare WordPress tramite l'auto-installatore Softaculous WordPress è il sistema di...
Come installare manualmente WordPress tramite archivio di installazione

Come installare manualmente WordPress tramite archivio di installazione In questo tutorial ti...
Configurazione WordPress: Guida completa alle impostazioni generali

Configurazione WordPress: Guida completa alle impostazioni generali Dopo l'installazione...
Cos'è un Plugin WordPress e come si installa?

Cos'è un Plugin WordPress e come si installa un nuovo plugin? Introduzione I plugin sono...
Come installare un nuovo Tema in WordPress

Come installare un nuovo design (Tema) in WordPress Introduzione È evidente quanto sia...