Infelizmente, sofrer com SPAM no WordPress é uma situação comum para os usuários da plataforma. Essas mensagens indesejadas chegam a sua caixa de entrada e além de atrapalharem a leitura dos e-mails e comentários realmente importantes, acabam pondo em risco a sua segurança, com links enganosos e propagandas de sites perigosos.
Por causa disso, reunimos aqui a forma definitiva de proteger o seu site para reduzir consideravelmente a quantidade de SPAM no WordPress. Temos certeza esse tutorial acabará de uma vez por todas com as mensagens estranhas que está recebendo e criará uma camada extra de segurança para a sua instalação para:
- Diminuir drasticamente o SPAM recebido no WordPress.
- Usar filtros automáticos que vão deletar os comentários indesejados.
- Dar muito mais segurança para seus visitantes.
Logo, pedimos que todos os passos sejam feitos de forma idêntica ao que ensinarmos aqui, para garantir que estará realmente protegido contra SPAM e até mesmo contra ataques que utilizam o formulário de contato e os comentários como possíveis brechas de invasão.
O que é SPAM?
SPAM é um termo digital utilizado para indicar mensagens indesejadas, como propaganda ou outras formas de comunicação enganosas, enviados normalmente de forma robótica e automática. Essas mensagens são enviadas normalmente em massa (várias de uma só vez) e podem conter vírus. A prática de enviar spam é proibida por lei em muitos países e pode resultar em sanções legais.
No Brasil a legislação não é tão específica, da forma que se espera, em relação ao SPAM, o que dificulta até mesmo o combate a essa prática, visto que ela se estende não apenas a formulários de contato, mas também a ligações telefônicas ou a mensagens indesejadas no WhatsApp.
A Lei Geral de Proteção de Dados (LGPD) no Brasil pode ser uma forma atual de tentar minimizar o SPAM e outras demandas que envolvem a privacidade dos usuários. A lei brasileira se alinha com regulamentos semelhantes, como o Regulamento Geral sobre a Proteção de Dados (GDPR) na União Europeia e o California Consumer Privacy Act of 2018 (CCPA) nos Estados Unidos.
Há quem diga também que SPAM significa Sending and Posting Advertisement in Mass (envio e postagem de anúncios em massa, em tradução livre). Ou seja, é o conjunto de mensagens eletrônicas enviadas de forma automática em um curto espaço de tempo para pessoas que não as solicitaram.
Como o SPAM surgiu?
Embora não exista uma “data de criação”, podemos dizer que o SPAM nasceu com o e-mail, ainda no início da internet, quando as mensagens eletrônicas se tornaram acessíveis a usuários comuns e algumas empresas começaram a utilizá-las para divulgar produtos e serviços em massa (de forma não autorizada pelo detentor do e-mail).
O termo "SPAM" foi definido a partir de uma cena cômica do Monty Python's Flying Circus, série de televisão de comédia do Reino Unido. Na cena em específico, um grupo de pessoas está tentando pedir comida em um café, mas são interrompidos várias vezes por outros personagens que entram cantando "SPAM, SPAM, SPAM, SPAM, SPAM" enquanto o menu é dito.
Outra versão dessa história é contada, dizendo que a esquete apresentava duas pessoas interagindo em um café em que praticamente todos os pratos levavam SPAM, a marca do presunto produzida pela Hormel Foods em 1937. E, por mais que insistissem, de uma forma ou de outra o ingrediente "insistente" entrava no prato.
Independente da versão e da interpretação da cena, ela acabou representando o excesso de mensagens não solicitadas recebidas pelos personagens, e assim o termo "SPAM" acabou sendo usado para descrever essa mesma atitude vinculada às mensagens eletrônicas.
Como funciona o SPAM no WordPress
O SPAM no WordPress funciona através dos comentários, em que várias respostas com links e mensagens, muitas vezes em outro idioma, são feitas para espalhar conteúdo de terceiros, e também através de formulários de contato, em que mensagens são enviadas se passando por alguém, como forma de gerar leads ou visualizações de página.
Como o SPAM em comentários é mais comum, nos atentaremos a ele. Entretanto, a forma de solucionar o SPAM nos formulários de contato é bem parecida.
Características de uma mensagem de SPAM
Te exigem uma ação imediata
O objetivo de qualquer spammer (pessoa que cria o SPAM) é te fazer clicar em um link suspeito ou baixar um anexo com vírus. Por isso, se utilizam de títulos sensacionalistas que te pedem para tomar uma ação imediata, quando utilizado em e-mails. Títulos em português comuns nesse sentido são:
- CPF cancelado ou pendente de regularização - verifique; seu CPF está cancelado
- Declaração de Imposto de Renda de [ ano ] Ministério da Fazenda - CPF Cancelado ou Pendente de Regularização
- Mensagem de [ qualquer nome de usuário ] no Tinder: “A gente pode se encontrar esse final de semana?”
- BB: você foi vencedor da nossa promoção exclusiva para correntistas!
- Registrosbr - seu domínio será cancelado por falta de pagamento
Detalhe: essa é uma característica comum em SPAM, mas não é necessariamente todo SPAM que terá essa forma de exigir uma ação imediata.
Conteúdo de propaganda
Normalmente esse tipo de SPAM é capturado rapidamente pelos filtros dos provedores de e-mail. Mas é possível chegar até a sua caixa de entrada ou de comentários. Eles são anúncios específicos voltados para assuntos gerais (que podem atingir várias pessoas) como emagrecimento, beleza e principalmente oportunidades para ganhar dinheiro.
Incluem anexos “suspeitos”
Vinculados aos tipos de mensagem que exigem ação imediata, os anexos (que nem sempre são tão suspeitos assim) ou links se tornam iscas para implantar vírus e outras brechas para roubar dados e até dinheiro de quem baixar o arquivo.
Outras características importantes
- Possuem links postados de forma genérica.
- São elogiosos, mas irrelevantes. Coisas como: "Muito bom!", "post muito interessante", "demais!". E com comentários assim, incluem links no campo de "site", de forma a esconder um conteúdo malicioso.
- Contém palavras incomuns.
- O nome de usuário ou conteúdo é uma chamada para outra página.
- Faz uma oferta indireta. Algo como: "Muito bom o post, uma coisa que me ajudou a fazer isso foi o produto x (link para o produto)".
Por que ter SPAM no WordPress é um problema?
Por alguns motivos bem relevantes, levando em consideração as especificidades de cada site e conteúdo, claro. Por causa do SPAM:
- Pode ser difícil encontrar comentários legítimos de visitantes do seu site, uma vez que, a depender da quantidade de SPAM, sua caixa de comentários fica massivamente cheia deles.
- Os e-mails enviados por contar links maliciosos com vírus para seu dispositivo.
- O SPAM aprovado automaticamente (como muitos autores deixam) no seu site pode fazer com que ele pareça pouco profissional.
- O alto envio de mensagens assim gera uma desorganização na sua instalação e caixa de entrada.
- Os dados dos seus leitores estão em risco, já que esses comentários com SPAM possuem links maliciosos projetados para enganar as pessoas e roubar informações delas.
- Eles podem causar sobrecarga no seu servidor, de forma a diminuir as defesas e possibilitar um ataque em massa.
É extremamente vital que todos esses problemas sejam evitados o quanto antes. Existem maneiras práticas de automatizar a luta contra o SPAM no WordPress. Falaremos sobre elas logo abaixo:
O passo a passo para acabar com SPAM nos comentários do WordPress
1. Diminua o número de links permitidos nos comentários
Como foi dito antes, boa parte dos comentários em SPAM tem o objetivo de redirecionar a atenção do leitor para páginas maliciosas. Logo, é comum que eles apresentem diversos links.
No WordPress, existe uma opção de impedir que comentários com links sejam aprovados. Para ativar esse recurso, vá no menu lateral -> Configurações -> Discussão. Desça um pouco a tela até encontrar a opção mostrada na imagem abaixo.
A opção de "2 ou mais links" já vem por padrão. No entanto, caso queira ser mais restritivo, deixe "1 ou mais links". Dessa forma, qualquer comentário que tenha uma url inserida vai ser automaticamente retido.
Após essa alteração, os comentários com links ainda aparecerão no seu painel, mas eles ficarão indisponíveis no seu site. Dessa forma, ele não prejudica a experiência dos visitantes.
2. Crie um lista de palavras proibidas
Alguns comentários de SPAM possuem palavras em comum, como "oferta", "oportunidade", "grátis", "visite meu site", dentre outros. Essas palavras podem ser bloqueadas, para que as respostas que as possuem fiquem retidas.
Para isso, na mesma página que estávamos antes, a Configurações -> Discussão, no campo "Comentários não permitidos" defina a lista de palavras que deseja excluir.
Abaixo deixarei algumas sugestões, mas lembre-se que elas são opcionais e dependem do contexto do site. Por exemplo, não faz sentido um blog sobre marketing de conteúdo bloquear a palavra-chave "meu site", uma vez que seus visitantes podem escrever isso.
Ou então, não faz sentido um blog sobre ganhar dinheiro bloquear o termo "oferta" nos comentários, uma vez que alguma pergunta dos visitantes pode utilizar essa palavra.
Palavras a serem usadas nos filtros de SPAM
Como o SPAM pode vir de outros países, é praticamente impossível definir todas as palavras a serem evitadas. Felizmente, existe um documento completíssimo com mais de 46 mil palavras, frases e padrões utilizados em mensagens desse tipo, prontos para copiar e colar nas configurações do seu WordPress.
Todas as palavras podem ser vistas aqui nesse documento. E fique tranquilo, esse arquivo contém palavras em diversos idiomas (inclusive o nosso português brasileiro).
Após a inserção dos termos, as configurações da lista de palavras proibidas ficou assim:
3. Configure os comentários para serem aprovados manualmente
Se quiser mais restrição do que o passo anterior oferece, é possível configurar todos os comentários para serem mostrados apenas quando aprovados por um administrador. No entanto, embora essa opção resolva o SPAM mostrado para os visitantes do seu site, vai te dar um trabalho para gerenciar os comentários recebidos.
Logo, é interessante aprovar manualmente os comentários apenas se o seu site ainda receber poucos deles. Caso se receba mais de 10 comentários por dia, por exemplo, começa a se tornar insustentável a rotina de aprovação e resposta de cada um.
Felizmente, isso só acontece em sites com tráfego massivo. Já que a cultura de comentários em blogs não é tão evidente aqui no Brasil.
Para configurar os comentários para serem aprovados manualmente, na mesma página do passo anterior: menu lateral do WordPress -> Configurações -> Discussão, marque o checkbox "O comentário deve ser aprovado manualmente".
Dessa forma, cada comentário feito aparecerá como "Pendente", até que um administrador o aprove.
4. Remova o campo de "site" no formulário de comentários
Alguns robôs são programados para varrerem sites e escreverem comentários "normais", mas inserirem o link de sites maliciosos em seu perfil (ao invés de fazer isso diretamente no texto). Para evitar que isso aconteça, há a possibilidade de remover o campo "site" do formulário de resposta dos posts.
Para fazer isso, copie e cole o código abaixo no arquivo functions.php do seu tema. Entretanto, fica a recomendação de realizar um backup antes.
add_filter('comment_form_default_fields', 'unset_url_field');
function unset_url_field($fields){
if(isset($fields['url']))
unset($fields['url']);
return $fields;
}5. Use um plugin anti-spam
Existem plugins feitos especialmente para impedir SPAM nos comentários do WordPress. Um deles já vêm instalado por padrão, o Akismet Spam Protection.
Akismet Spam Protection
Esse plugin está conectado a bases de dados atualizadas de SPAM. Algo parecido com o arquivo que compartilhamos com mais de 46 mil termos comumente usados em anúncios em massa, só que com o diferencial de atualização constante, de forma a sempre estar preparado para novos tipos de mensagens maliciosas.
Com essa base de dados, o Akismet é uma opção consolidada para boa parte dos usuários. Entretanto, há outras alternativas interessantes como:
Antispam Bee
O Antispam bee é, para muitos, a melhor opção para lidar com SPAM nos comentários do WordPress. Com ele, se protege o formulário de resposta de posts com captchas sem enviar os dados do usuário para outro local (isso é um diferencial válido, principalmente levando em consideração a nova LGPD).
O plugin é totalmente gratuito e vem com recursos interessantes, por exemplo:
- Permitir comentários apenas em certo idioma.
- Validar o endereço IP dos usuários que comentarem.
- Deletar comentários inconvenientes após x dias (o administrador decide).
- Estatísticas de SPAM no painel do WordPress.
- Bloquear comentários feitos em outros países (mesmo sendo em português brasileiro).
Spam Protection, AntiSpam, FireWall by Cleantalk
O CleanTalk tem alguns diferenciais em relação aos demais plugins do mercado. Ele, por exemplo:
- Não usa Captcha (que é um pouco desanimador para visitantes).
- Sem matemática.
- Bloqueia SPAM também em e-mails e formulários de pesquisa.
- Esconde os campos do formulário de comentário contra robôs.
Além do mais, ele possui conexão nativa com diversos outros plugins como Gravity Forms, Elementor e Contact Form 7, o que garante uma proteção ideal, independente de outras funções instaladas.
6. Use um sistema de comentários diferente
Todas as alterações acima com certeza te farão ter menos comentários com SPAM. No entanto, se quiser se livrar deles com mais facilidade, é possível optar por sistemas de terceiros. Um dos mais conhecidos é o:
Sistema de Comentários Disqus
Ele é usado, até hoje, por portais de notícias e de cultura POP, uma vez que esses sites recebem muitos visitantes e ter um sistema de comentários próprio daria muito trabalho de manter.
Entretanto, é importante afirmar que o plugin do Disqus, antes amado, não é atualizado há cerca de um ano, o que o fez perder uma base boa de usuários. Felizmente, há como instalá-lo manualmente (sem depender de um plugin).
Ultimate Social Comments - Email Notification & Lazy Load
O Ultimate Social Comments te permite usar os comentários do Facebook nos seus posts utilizando o Lazy Load. Ou seja, o recurso de só mostrar os comentários quando o usuário descer até o final do artigo.
Essa função é interessante porque os sistemas de comentários são feitos através de scripts e eles pesam no carregamento da página. Porém, com o Lazy Load, a página não sofre nenhuma queda de desempenho e o usuário pode escrever e visualizar comentários da mesma forma.
É um plugin simples e útil, uma vez que é extremamente customizável e compatível com criadores de página, como o Elementor.
7. Bloqueie o SPAM através de um Firewall de Aplicação Web
O Firewall de aplicação web (também conhecido como WAF) te ajuda a reduzir de forma objetiva a quantidade de comentários com SPAM recebidos no seu site.
Alguns desses Firewalls são disponibilizados por empresas grandes de segurança, como a Sucuri ou Cloudflare e funcionam da seguinte maneira:
- O serviço de Firewall cria uma "barreira virtual" no seu site.
- Essa barreira bloqueia e filtra todo o tráfego proxy e bot (eles conseguem diferenciar os padrões de navegação).
- Ao notar um comportamento estranho, ele impede a escrita dos comentários e o acesso ao site.
Essas ferramentas, por serem mais potentes em processamento e defesa de dados, tendem a ser pagas. Logo, o investimento nelas fica a seu critério. Felizmente, tanto a Sucuri, quanto o Cloudflare vem com um conjunto impressionante de funções capazes de contribuir muito com seu conteúdo digital.
Para ter ideia, a Sucuri ajudou a bloquear cerca de meio milhão de ataques a sites WordPress em apenas 3 meses.
8. Desative os comentários por completo
Não é a solução ideal, mas dependendo da quantidade de comentários do seu site, vale mais a pena desativar essa opção, do que ter que lidar com SPAM constante.
Claro, desativar os comentários impede que os leitores entrem em contato contigo ou tirem dúvidas sobre o conteúdo. Entretanto, possui a vantagem de destacar uma call to action, de forma a facilitar cliques em um botão ou link no final do artigo.
Essa é uma estratégia, por exemplo, utilizada por afiliados de produtos digitais. Como os cliques nas páginas de produtos valem mais (financeiramente falando) que comentários escritos, é uma forma de ganhar mais dinheiro.
Logicamente, a decisão de desativar os comentários é algo bem pessoal. Nossa equipe prefere lutar contra o SPAM e manter um espaço aberto para tirar dúvidas, já que criamos muitos tutoriais, do que desativar a opção de resposta e, com isso, te impedir de ter espaço para falar com a gente.
Como evitar SPAM no formulário de contato
Para impedir SPAM no formulário de contato do seu site, utilizaremos o plugin Captcha/Honeypot (CF7, Avada, Elementor, Comments) – GDPR ready, conhecido antigamente como “Captcha for Contact Form 7, ele expandiu suas funcionalidades e se adequou a diversos outros tipos de formulário de contato.
Detalhe: o plugin é adequado ao GDPR (Regulamento Geral sobre a Proteção de Dados), sendo também ao LGPD (Lei Geral de Proteção de Dados, no Brasil), sim, aquela que orienta o aviso de cookies.
1. Instale e ative o plugin Captcha/Honeypot (CF7, Avada, Elementor, Comments) – GDPR ready
2. Ative a proteção em todos os formulários de contato
Caso tenha diversos formulários de contato e não vê necessidade de uma estilização dentre eles, é possível ativar o Captcha por padrão em todos através das configurações do plugin que ficam em Menu lateral do WordPress → Forge12 Spam Protection → Contact Form 7 e ativar a opção Enable the Captcha for every Contact Form 7 available on this system (colocar o Captcha para cada formulário de contato do Contact Form 7 disponível nessa instalação).
Depois escolha o tipo de proteção que deseja utilizar no formulário de contato. O plugin disponibiliza 3:
- Honeypot Captcha: uma espécie de Captcha oculto que cria uma armadilha para robôs, os fazendo preencher campos que só eles conseguiriam preencher, impedindo que os mesmos mandem mensagens.
- Arithmetic Captcha: antes de enviar a mensagem do formulário, é solicitado ao usuário para resolver um pequeno cálculo aritmético como “5 + 3”.
- Image Captcha: pede para selecionar imagens específicas como ônibus, chapéus ou
pessoas.
Se utiliza o formulário de contato do Elementor, há uma opção equivalente em Menu Lateral do WordPress → Forge 12 Spam Protection → Elementor Forms.
3. Ative a funcionalidade de Captcha no seu formulário de contato isoladamente (se quiser ou precisar)
No Contact Form 7, por exemplo, basta clicar no botão Captcha mostrado na imagem abaixo.
Para esse tutorial, preferimos a última opção de método de Captcha, a Honeyot, por não atrapalhar tanto o usuário no momento de enviar a mensagem. Mas se mesmo depois da instalação ainda receber SPAM, aconselhamos mudar a forma de proteção, seja por imagem ou por cálculo aritmético.
A versão final do formulário ficou dessa forma:
Feito isso, o formulário de contato está protegido pelo plugin.
O que fazer após proteger o formulário de contato contra SPAM?
Há alguns passos recomendados, os principais são:
- Teste o envio e recebimento de e-mails pelo formulário. É muito difícil de acontecer, mas por incompatibilidade, há chances do formulário não funcionar como deveria. Por desencargo de consciência, é bom testar.
- Verifique semanalmente se a quantidade de SPAM diminuiu. Caso contrário, mude o tipo de proteção. A HoneyPot é interessante por não atrapalhar o usuário, mas pode ser que as outras formas de Captcha protejam mais o formulário, a depender do site.
- Avalie os SPAM recebidos pelo formulário de contato e pelo seu e-mail. Há uma diferença entre eles. Seu site terá o SPAM reduzido nos envios do formulário e não necessariamente em todos os e-mails recebidos.
Plugins que impedem SPAM no formulário de contato do WordPress
Utilizamos o Captcha/Honeypot (CF7, Avada, Elementor, Comments) – GDPR ready, mas existem outros plugins interessantes que talvez deseje testar. São eles:
1. Friendly Captcha for WordPress
O Friendly Captcha é uma extensão para prevenir SPAM. Diferente dos outros Captchas que podem ser um pouco intrusivos, visualmente e em relação à privacidade, o Friendly Captcha é mais “respeitoso”, nesses quesitos.
Ele não utiliza cookies, não armazena nenhuma informação pessoal da conexão e do usuário, com processamento de dados descentralizado.
2. Captcha by BestWebSoft – Spam Protection, Security Plugin for WordPress Forms
O plugin Captcha by BestWebSoft é autodeclarada a melhor solução de segurança que protege os formulários do seu site WordPress contra mensagens de SPAM e robôs. A extensão pode ser usada para login, registro, recuperação de senha, e demais formulários do WordPress, apesar dessas funcionalidades, é extremamente fácil de usar.
3. ReCaptcha v2 for Contact Form 7
O plugin habilita a função de ReCaptcha do Google em formulários de contato feitos com o Contact Form 7. Ele existe porque o o CF7 removeu o suporte para reCaptcha v2 com o shortocode/tag [recaptcha] em dezembro de 2018. O plugin traz a funcionalidade de volta.
Por que? Porque muitos usuários alegam que a versão v2 do ReCaptcha é bem mais estável que a v3. Então o plugin se mostra uma solução viável para isso.
Perguntas frequentes sobre impedir SPAM no formulário de contato do WordPress
Contrariando alguns outros posts sobre o tema, só é necessário se estiver recebendo mensagens indesejadas no seu e-mail ou seção de comentários. Caso isso não esteja acontecendo, não há a necessidade de realizar qualquer ação nesse sentido.
Dizemos isso porque muitas vezes um plugin instalado (principalmente os de segurança) já pode proteger seus formulários e e-mails de forma automática, sem falar na própria proteção oferecida pelos plugins padrão de formulários desse tipo.
Entretanto, se quiser proteger seus formulários mesmo não enfrentando SPAM, tudo bem. Um plugin a mais instalado com esse objetivo não afetaria de maneira significativa o carregamento dos seus formulários ao ponto disso ser considerado um problema.
Se for SPAM no seu e-mail, vá nas configurações e clique em “Denunciar SPAM”, “Marcar como SPAM”, “Enviar para SPAM” ou opção equivalente, a depender do sistema utilizado.
Fazer isso indica ao algoritmo que tipo de mensagens escaparam do filtro dele, até ao ponto de entender que mensagens iguais não foram solicitadas.
Entretanto, para SPAM vindo de formulário de contato de site, é recomendável não denunciar ou enviar para uma caixa específica de mensagens indesejadas, porque essa ação pode filtrar outras mensagens semelhantes (enviadas por visitantes do seu site mesmo) e o sistema as excluir ou filtrar, as considerando inseguras, mesmo sendo genuínas.
Existe SPAM de diversos tipos e muitas vezes eles se mesclam, os mais comuns são:
Correntes: muito famosas antigamente e presentes até hoje no WhatsApp e Telegram, as correntes envolvem conteúdo “emotivo” ou alarmista e pedem que a mensagem seja repassada adiante.
Propagandas: as mais recebidas via e-mail, são enviados por sites e pessoas que compram listas de destinatários para envio de mensagens em massa. Normalmente, são filtradas facilmente pelos sistemas antispam. Porém, atualmente o número desse tipo de mensagens no WhatsApp tem aumentado, devido à solicitação do seu número em diversos sites e até mesmo vazamento de dados.
Fake News: notícias falsas visando angariar devotos a determinada ideologia ou ideia. Muito usado em época de campanhas políticas.
Estelionato (também conhecido por phishing): quando o SPAM te direciona para uma página que é cópia de uma página existente, te fazendo inserir seus dados, achando que está fazendo login em um site verdadeiro, mas que só captura seus dados.
Conclusão: como acabar com SPAM no WordPress
O SPAM nos comentários do WordPress pode facilmente prejudicar o seu site e os visitantes que acessam ele. Limpar cada uma dessas mensagens maliciosas é algo desafiador, mas com as dicas desse artigo com certeza se impede delas aparecerem nas suas páginas.
Além do mais, vimos ferramentas externas que te ajudam nessa função, bem como plugins com o objetivo de eliminar essas mensagens incômodas de uma vez por todas.
Qualquer dúvida, sugestão ou opinião, fique a vontade para trazer nos comentários. Sem SPAM, claro. hehe.
Um forte abraço!
