{"id":166928,"date":"2025-09-01T09:00:00","date_gmt":"2025-09-01T09:00:00","guid":{"rendered":"https:\/\/gtechgroup.it\/blog\/wpforms-protezione-spam-recaptcha-hcaptcha-honeypot\/"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T22:00:00","slug":"wpforms-protezione-spam-recaptcha-hcaptcha-honeypot","status":"publish","type":"post","link":"https:\/\/gtechgroup.it\/blog\/wpforms-protezione-spam-recaptcha-hcaptcha-honeypot\/","title":{"rendered":"Protezione Spam in WPForms: reCAPTCHA, hCaptcha e Honeypot"},"content":{"rendered":"

Protezione Spam in WPForms: reCAPTCHA, hCaptcha e Honeypot<\/h2>\n

Lo spam nei moduli di contatto \u00e8 uno dei problemi pi\u00f9 fastidiosi per chi gestisce un sito WordPress. Ogni giorno, bot automatizzati scansionano il web alla ricerca di form da bombardare con messaggi pubblicitari, link malevoli e contenuti indesiderati. Oltre a intasare la tua casella email, lo spam pu\u00f2 sovraccaricare il server e compromettere l’affidabilit\u00e0 dei dati raccolti. WPForms offre diverse soluzioni anti-spam che possono essere combinate per creare una difesa stratificata contro i bot. In questa guida analizzeremo tutte le opzioni disponibili e come configurarle al meglio.<\/p>\n

Il Problema dello Spam nei Form WordPress<\/h2>\n

Per comprendere come proteggersi efficacemente, \u00e8 utile capire come funziona lo spam nei moduli web. Esistono fondamentalmente due tipi di spam:<\/p>\n

Spam automatizzato (bot)<\/strong>: \u00e8 il tipo pi\u00f9 comune e rappresenta oltre il 90% dello spam. I bot sono programmi automatici che visitano migliaia di siti al giorno, individuano i moduli e li compilano automaticamente con contenuti predefiniti. Questi bot sono spesso piuttosto semplici: cercano campi con nomi come name<\/em>, email<\/em>, message<\/em> e li riempiono con testo generico o link a siti fraudolenti.<\/p>\n

Spam manuale<\/strong>: \u00e8 meno comune ma pi\u00f9 difficile da bloccare. Persone reali (o operatori di content farm) compilano manualmente i moduli con messaggi promozionali o link. Essendo compilati da esseri umani, superano facilmente la maggior parte delle protezioni anti-bot.<\/p>\n

WPForms offre strumenti efficaci contro entrambi i tipi di spam, con un approccio a pi\u00f9 livelli che ti permette di scegliere il giusto equilibrio tra sicurezza e usabilit\u00e0.<\/p>\n

Protezione Honeypot Integrata<\/h2>\n

La protezione honeypot \u00e8 la prima linea di difesa di WPForms ed \u00e8 attiva per impostazione predefinita<\/strong> su tutti i moduli. Non richiede alcuna configurazione aggiuntiva e, cosa pi\u00f9 importante, \u00e8 completamente invisibile per gli utenti reali.<\/p>\n

Come Funziona il Honeypot<\/h3>\n

Il concetto \u00e8 ingegnosamente semplice: WPForms aggiunge al modulo un campo nascosto tramite CSS che gli utenti reali non vedono e non possono compilare. I bot automatizzati, invece, non interpretano il CSS e vedono il campo come un normale campo del form, compilandolo automaticamente. Quando WPForms riceve un invio con questo campo nascosto compilato, sa che si tratta di un bot e scarta silenziosamente la richiesta.<\/p>\n

La bellezza del honeypot \u00e8 che non richiede alcuna azione da parte dell’utente: nessun puzzle da risolvere, nessuna casella da spuntare, nessuna immagine da selezionare. L’esperienza dell’utente reale \u00e8 completamente inalterata. Per questa ragione, il honeypot dovrebbe essere sempre attivo come base di protezione.<\/p>\n

Verificare che il Honeypot sia Attivo<\/h3>\n

Per verificare (o attivare) la protezione honeypot su un modulo specifico, apri il modulo nel form builder e vai su Impostazioni \u2192 Protezione spam e Sicurezza<\/strong>. Assicurati che l’opzione Abilita protezione anti-spam<\/strong> sia attiva. Nella stessa sezione trovi anche le opzioni per WPForms’ built-in anti-spam protection che puoi configurare.<\/p>\n

Limitazioni del Honeypot<\/h3>\n

Il honeypot \u00e8 efficace contro i bot pi\u00f9 semplici, ma i bot pi\u00f9 sofisticati possono essere programmati per riconoscere e ignorare i campi nascosti. Per una protezione pi\u00f9 robusta, \u00e8 consigliabile combinare il honeypot con una delle soluzioni CAPTCHA descritte di seguito.<\/p>\n

\"Impostazioni<\/p>\n

Google reCAPTCHA<\/h2>\n

Google reCAPTCHA \u00e8 il sistema anti-spam pi\u00f9 conosciuto e utilizzato al mondo. WPForms supporta tre versioni di reCAPTCHA, ognuna con caratteristiche diverse.<\/p>\n

reCAPTCHA v2 (Checkbox)<\/h3>\n

Questa \u00e8 la versione classica con la casella Non sono un robot<\/em>. L’utente deve cliccare sulla casella e, se il sistema sospetta che sia un bot, gli viene mostrata una sfida visiva (selezionare immagini con semafori, autobus, strisce pedonali, ecc.).<\/p>\n

Vantaggi<\/strong>: \u00e8 molto efficace e gli utenti lo conoscono gi\u00e0. Svantaggi<\/strong>: aggiunge un passaggio alla compilazione del form e le sfide visive possono essere frustranti, soprattutto su mobile. Pu\u00f2 anche presentare problemi di accessibilit\u00e0 per utenti con disabilit\u00e0 visive.<\/p>\n

reCAPTCHA v2 (Invisible)<\/h3>\n

Funziona come il v2 Checkbox ma \u00e8 invisibile nella maggior parte dei casi. La sfida visiva viene mostrata solo quando il sistema rileva un comportamento sospetto. Per la maggior parte degli utenti reali, la verifica avviene in background senza alcuna interazione.<\/p>\n

Vantaggi<\/strong>: esperienza utente migliore rispetto al v2 Checkbox. Svantaggi<\/strong>: occasionalmente mostra la sfida visiva, che pu\u00f2 confondere gli utenti che non se l’aspettano.<\/p>\n

reCAPTCHA v3 (Score-Based)<\/h3>\n

La versione pi\u00f9 recente e avanzata. Funziona interamente in background, analizzando il comportamento dell’utente sul sito (movimenti del mouse, tempo di permanenza, pattern di navigazione) e assegnando un punteggio da 0.0 (sicuramente bot) a 1.0 (sicuramente umano). Non richiede mai alcuna interazione da parte dell’utente.<\/p>\n

Vantaggi<\/strong>: esperienza utente perfetta, nessuna interruzione. Svantaggi<\/strong>: pu\u00f2 generare falsi positivi (bloccare utenti reali) se la soglia del punteggio \u00e8 troppo alta. Richiede un’attenta calibrazione. Inoltre, aggiunge un badge di Google visibile nell’angolo della pagina (pu\u00f2 essere nascosto via CSS, ma Google richiede che venga inclusa una nota nella privacy policy).<\/p>\n

Come Configurare reCAPTCHA in WPForms<\/h3>\n

La configurazione di reCAPTCHA in WPForms richiede due passaggi: ottenere le chiavi API da Google e inserirle nelle impostazioni del plugin.<\/p>\n

    \n
  1. Vai su google.com\/recaptcha\/admin<\/a> e accedi con il tuo account Google<\/li>\n
  2. Registra il tuo sito inserendo il nome, selezionando la versione di reCAPTCHA desiderata e aggiungendo il dominio del tuo sito<\/li>\n
  3. Google ti fornir\u00e0 una Site Key<\/strong> e una Secret Key<\/strong><\/li>\n
  4. In WordPress, vai su WPForms \u2192 Impostazioni \u2192 CAPTCHA<\/strong><\/li>\n
  5. Seleziona reCAPTCHA<\/strong> come provider<\/li>\n
  6. Scegli la versione (v2 Checkbox, v2 Invisible o v3)<\/li>\n
  7. Incolla la Site Key e la Secret Key nei campi corrispondenti<\/li>\n
  8. Salva le impostazioni<\/li>\n<\/ol>\n

    Dopo la configurazione globale, devi attivare reCAPTCHA su ogni singolo modulo. Apri il form nel builder e trascina il campo reCAPTCHA<\/strong> nell’area del modulo (lo trovi nella sezione Campi Standard). Vedrai un indicatore che conferma l’attivazione.<\/p>\n

    \"Screenshot<\/p>\n

    hCaptcha: L’Alternativa Privacy-Friendly<\/h2>\n

    hCaptcha \u00e8 un’alternativa a Google reCAPTCHA che sta guadagnando popolarit\u00e0 grazie al suo approccio pi\u00f9 rispettoso della privacy degli utenti. A differenza di reCAPTCHA, hCaptcha non traccia gli utenti per scopi pubblicitari e si conforma al GDPR senza necessit\u00e0 di ulteriori configurazioni.<\/p>\n

    Perch\u00e9 Scegliere hCaptcha<\/h3>\n