{"id":167038,"date":"2025-09-15T09:00:00","date_gmt":"2025-09-15T09:00:00","guid":{"rendered":"https:\/\/gtechgroup.it\/blog\/gravity-forms-anti-spam-recaptcha-honeypot\/"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T22:00:00","slug":"gravity-forms-anti-spam-recaptcha-honeypot","status":"publish","type":"post","link":"https:\/\/gtechgroup.it\/blog\/gravity-forms-anti-spam-recaptcha-honeypot\/","title":{"rendered":"Protezione Anti-Spam in Gravity Forms: reCAPTCHA e Honeypot"},"content":{"rendered":"

Protezione Anti-Spam in Gravity Forms: reCAPTCHA e Honeypot<\/h2>\n

Lo spam è uno dei problemi più fastidiosi per chi gestisce moduli online. Bot automatizzati scansionano il web alla ricerca di form da compilare con messaggi pubblicitari, link malevoli e tentativi di phishing. Senza una protezione adeguata, la tua casella email si riempirà di submission inutili e le tue entry diventeranno impossibili da gestire. Gravity Forms offre diversi strumenti anti-spam, dal semplice honeypot alla potente protezione reCAPTCHA di Google. In questa guida vedremo come configurare ogni livello di protezione per mantenere i tuoi moduli puliti e funzionali.<\/p>\n

Capire lo Spam nei Moduli Web<\/h3>\n

Prima di addentrarci nelle soluzioni, è importante capire come funziona lo spam nei moduli. I bot spam operano in diversi modi:<\/p>\n

Bot semplici:<\/strong> Script automatizzati che cercano tag <form><\/code> nelle pagine web e compilano tutti i campi con testo predefinito. Sono i più facili da bloccare.<\/p>\n

Bot avanzati:<\/strong> Utilizzano headless browser (come Puppeteer o Selenium) per simulare il comportamento umano. Possono eseguire JavaScript, cliccare pulsanti e persino risolvere CAPTCHA semplici.<\/p>\n

Spam manuale:<\/strong> Persone reali (spesso in paesi con basso costo del lavoro) che compilano moduli manualmente. Sono i più difficili da bloccare perché il loro comportamento è indistinguibile da un utente legittimo.<\/p>\n

Una strategia anti-spam efficace utilizza più livelli di protezione per bloccare ogni tipo di spam con il minimo impatto sull’esperienza degli utenti legittimi.<\/p>\n

Honeypot: La Trappola Invisibile<\/h3>\n

L’honeypot è il primo livello di protezione anti-spam in Gravity Forms ed è abilitato per impostazione predefinita. Il funzionamento è semplice ma elegante: Gravity Forms aggiunge un campo nascosto al modulo che gli utenti reali non vedono (è nascosto con CSS) ma che i bot compilano automaticamente perché non distinguono i campi visibili da quelli nascosti.<\/p>\n

Se il campo honeypot contiene un valore al momento dell’invio, Gravity Forms sa che la submission proviene da un bot e la rifiuta silenziosamente.<\/p>\n

Come configurare l’honeypot:<\/strong><\/p>\n

    \n
  1. Apri il modulo nell’editor di Gravity Forms.<\/li>\n
  2. Vai su Settings > Form Settings<\/strong>.<\/li>\n
  3. Nella sezione Form Options<\/strong>, assicurati che l’opzione Anti-spam honeypot<\/strong> sia attivata.<\/li>\n<\/ol>\n

    L’honeypot è completamente trasparente per gli utenti: non richiede alcuna interazione e non modifica l’aspetto del modulo. Tuttavia, non è efficace contro i bot più avanzati che sono in grado di identificare e ignorare i campi honeypot. Per questo motivo, è consigliabile abbinarlo ad altri metodi di protezione.<\/p>\n

    \"Impostazioni<\/p>\n

    Google reCAPTCHA v2: Checkbox<\/h3>\n

    Google reCAPTCHA v2 con checkbox è la versione più conosciuta del CAPTCHA: mostra la famosa casella “Non sono un robot” che l’utente deve spuntare prima di inviare il modulo. In molti casi, basta il click per superare la verifica. In caso di sospetto, viene mostrata una sfida visuale (seleziona le immagini con semafori, biciclette, ecc.).<\/p>\n

    Configurazione:<\/strong><\/p>\n

      \n
    1. Vai su Google reCAPTCHA Admin<\/a> e registra il tuo sito.<\/li>\n
    2. Seleziona “reCAPTCHA v2 – Checkbox”.<\/li>\n
    3. Inserisci il dominio del tuo sito e genera le chiavi (Site Key e Secret Key).<\/li>\n
    4. In WordPress, vai su Forms > Settings > reCAPTCHA<\/strong>.<\/li>\n
    5. Seleziona “reCAPTCHA v2 (Checkbox)” come tipo.<\/li>\n
    6. Incolla la Site Key e la Secret Key.<\/li>\n
    7. Salva le impostazioni.<\/li>\n
    8. Nel modulo, aggiungi il campo CAPTCHA<\/strong> dalla sezione Advanced Fields.<\/li>\n<\/ol>\n

      Pro:<\/strong> Molto efficace contro i bot, familiarare per gli utenti, gratuito.<\/p>\n

      Contro:<\/strong> Richiede un’interazione attiva dall’utente, le sfide visuali possono essere frustranti, impatto negativo sulla UX.<\/p>\n

      Google reCAPTCHA v2: Invisible<\/h3>\n

      La variante “Invisible” di reCAPTCHA v2 funziona in modo simile alla checkbox ma senza richiedere alcuna interazione nella maggior parte dei casi. Il sistema analizza il comportamento dell’utente (movimenti del mouse, velocità di compilazione, cronologia di navigazione) e, solo se rileva un comportamento sospetto, mostra la sfida visuale.<\/p>\n

      La configurazione è identica alla versione checkbox, con l’unica differenza che devi selezionare “reCAPTCHA v2 (Invisible)” sia nella console Google che nelle impostazioni di Gravity Forms.<\/p>\n

      Pro:<\/strong> Nessuna interazione richiesta nella maggior parte dei casi, buona UX.<\/p>\n

      Contro:<\/strong> Meno efficace della v3 nel rilevare bot avanzati, la sfida visuale appare comunque per utenti con comportamenti atipici.<\/p>\n

      Google reCAPTCHA v3: Protezione Basata sul Punteggio<\/h3>\n

      reCAPTCHA v3 è la versione più avanzata e rappresenta la scelta migliore per la maggior parte dei siti. Funziona completamente in background, senza alcuna interazione da parte dell’utente. Il sistema monitora il comportamento del visitatore durante tutta la sessione di navigazione e assegna un punteggio da 0.0 (sicuramente bot) a 1.0 (sicuramente umano).<\/p>\n

      Configurazione:<\/strong><\/p>\n

        \n
      1. Registra il sito nella console reCAPTCHA selezionando “reCAPTCHA v3”.<\/li>\n
      2. In Gravity Forms, seleziona “reCAPTCHA v3” come tipo e inserisci le chiavi.<\/li>\n
      3. Imposta la soglia di punteggio (score threshold). Il valore predefinito è 0.5: le submission con punteggio inferiore vengono bloccate.<\/li>\n<\/ol>\n

        Regolazione della soglia:<\/strong> La soglia determina quanto è restrittivo il filtro. Un valore di 0.7 è più restrittivo (blocca più submission ma rischia di bloccare anche utenti legittimi). Un valore di 0.3 è più permissivo (lascia passare più spam ma non blocca quasi mai utenti legittimi). Inizia con 0.5 e regola in base ai risultati.<\/p>\n

        Con reCAPTCHA v3 non è necessario aggiungere un campo CAPTCHA nel modulo: la protezione è automatica per tutti i moduli.<\/p>\n

        \"Dashboard<\/p>\n

        Akismet: Filtro Anti-Spam Intelligente<\/h3>\n

        Akismet è il filtro anti-spam più utilizzato su WordPress (lo stesso che protegge i commenti dei blog) e si integra nativamente con Gravity Forms. Invece di richiedere un’interazione dall’utente, Akismet analizza il contenuto della submission e lo confronta con un database globale di spam conosciuto.<\/p>\n

        Configurazione:<\/strong><\/p>\n

          \n
        1. Assicurati che il plugin Akismet sia installato e attivato su WordPress con una chiave API valida.<\/li>\n
        2. Nell’editor del modulo, vai nelle impostazioni dei campi che vuoi proteggere (tipicamente nome, email e messaggio).<\/li>\n
        3. Nella sezione Advanced di ogni campo, imposta il campo Akismet appropriato: “Author” per il nome, “Author Email” per l’email, “Author URL” per il sito web.<\/li>\n<\/ol>\n

          Quando Akismet identifica una submission come spam, Gravity Forms la contrassegna come spam invece di eliminarla. Puoi rivedere le entry marcate come spam e, se necessario, ripristinare eventuali falsi positivi.<\/p>\n

          Tecniche Anti-Spam Personalizzate<\/h3>\n

          Oltre agli strumenti integrati, puoi implementare tecniche anti-spam aggiuntive:<\/p>\n

          Validazione temporale:<\/strong> I bot compilano i moduli in pochi millisecondi, molto più velocemente di un umano. Puoi aggiungere una validazione che rifiuta le submission inviate entro pochi secondi dall’apertura del modulo. Gravity Forms non include questa funzionalità nativamente, ma può essere implementata con un hook PHP personalizzato.<\/p>\n

          Domanda di sicurezza:<\/strong> Aggiungi un campo con una domanda semplice che solo un umano può rispondere, come “Quanto fa 3 + 5?” o “Di che colore è il cielo?”. Usa un campo di testo con la validazione condizionale per verificare la risposta.<\/p>\n

          Blocco IP:<\/strong> Se ricevi spam ripetuto dallo stesso indirizzo IP, puoi bloccare quell’IP a livello di server (tramite .htaccess o firewall) per impedire l’accesso al modulo.<\/p>\n

          Rate limiting:<\/strong> Limita il numero di submission che un singolo IP può inviare in un determinato periodo. Questo previene i bombardamenti di spam da una singola sorgente.<\/p>\n

          Confronto tra i Metodi Anti-Spam<\/h3>\n

          Ogni metodo anti-spam ha punti di forza e debolezze. Ecco un confronto per aiutarti a scegliere:<\/p>\n