Réduire le spam sur les courriels WordPress

Si vous possédez un formulaire de contact sur votre site et que celui-ci est accessible publiquement, vous courrez le risque de recevoir des commentaires indésirables qui s’apparent aux courriels indésirables (spam) que vous recevez dans votre boîte de courriels. Mais quelle en est la raison derrière et comment les prévenir?

 

Pourquoi le spam est-il si courant?

Le spam est courant parce qu’il est très simple pour des spammeurs de mettre en place des scripts automatisés qui vont parcourir les sites webs à la recherche de formulaires dans lesquels soumettre du contenu indésirable. Ces scripts automatisés, communément appelés « bots » (court pour « robot »), ont la tâche d’injecter des commentaires indésirables sur un site.

 

Qu’est-ce que les spammeurs ont à y gagner?

Le but de leurs opérations est, par exemple, d’aller chercher des « backlinks », des liens qui référeraient des visiteurs de votre site vers le site du spammeur et augmenterait ainsi artificiellement la notoriété de leur propre site. Il faut savoir que Google augmente le classement d’un site vers lequel pointent plusieurs autres sites. Plus votre site est considéré une autorité sur un sujet donné, plus il sera convoité par les spammeurs.

Par conséquent, des gens malhonnêtes profitent de ce principe en créant des robots (bots) qui spamment des formulaires en y envoyant des liens vers leur propre site. Lorsque ces liens se retrouvent sur votre site, le référencement naturel du site du spammeur augmente dans le classement des moteurs de recherche. Cette méthode de marketing n’est plus efficace comme elle a pu l’être auparavant, mais tout de même, elle n’exige que l’exécution d’un script pour y arriver. Le niveau d’effort est donc très bas pour un bénéfice potentiel.

 

Quel impact cela peut-il avoir ?

Dans certains cas, les spammeurs peuvent configurer une adresse courriel associée à un groupe d’utilisateurs qu’ils ajoutent dans le champ courriel du formulaire. Ils y ajoutent un texte avec des liens à l’intérieur du champ message. Si une réponse automatique a été configurée, en soumettant le formulaire, vous enverrez involontairement un courriel indésirable à une liste de courriels.

Dans la pire des situations, certains robots peuvent arriver à injecter du code malveillant dans votre site web. Ces robots peuvent endommager des pages du site ou même la base de données, récolter des informations sensibles concernant les usagers de votre site ou même désactiver complètement le site web.

 

Quelle est la prochaine étape ?

Inutile de vous dire à quel point il devient important de mettre en place une stratégie anti-spam sur tous vos formulaires, et cela vaut même pour le formulaire de connexion de WordPress (accessible généralement via la racine de votre site à /wp-admin). Rappelez-vous que votre site est attaqué de toute part plus de 40 fois par jour en moyenne. Plusieurs stratégies peuvent être mises en place, qui ont pour but de prévenir la réception et l’acceptation automatisée de commentaires indésirables.

 

Quelles sont nos recommandations ?

Ajouter un CAPTCHA ou ReCaptcha

Tout d’abord, qu’est-ce qu’un CAPTCHA?

À la base, c’est un test qui, en théorie, ne peut être réussi que par un humain.

Ça peut prendre la forme d’une image avec plusieurs lettres et chiffres déformés à identifier, de sélectionner des images contenant un certain type d’objet parmi un choix ou tout simplement une case à cocher.

Google ReCaptcha - I'm not a robot

Ces techniques empêchent un bot de vous envoyer des commentaires indésirables, car ces scripts automatisés ne sont pas en mesure d’interpréter le contenu des images, par exemple.

ReCAPTCHA est une version abrégée d’un de ces tests, conçu par Google. Ce service nécessite moins de travail de la part de l’utilisateur. Au lieu de répondre à une question complexe, les utilisateurs n’ont qu’à cliquer sur un bouton Je ne suis pas un robot pour s’identifier comme humain.

 

Utiliser une double confirmation (Double Opt-In)

Si vous recevez beaucoup de commentaires indésirables par l’entremise de vos formulaires web, vous pouvez prendre avantage d’un mécanisme de double confirmation, aussi appelé communément Double Opt-In. Ceci aura l’avantage supplémentaire de ne pas perturber vos données analytiques et de vous coûter de l’argent inutilement dans vos campagnes Google Ads et Facebook Ads.

Comment la double confirmation atteint-elle ce résultat?

  1. Les usagers doivent soumettre leur adresse courriel via votre formulaire
  2. Par la suite, ceux-ci doivent aller dans leur boîte de réception et cliquer sur le lien de confirmation dans un courriel que vous leur envoyez.

La deuxième étape est essentielle. Les robots ne termineront pas la deuxième étape. Les spammeurs utilisant de fausses adresses de courriel, il n’y a donc aucun moyen de les joindre et donc aucun moyen pour eux de confirmer leur inscription.

Lors de la sélection de votre outil marketing (ex. Mailchimp, CyberImpact, Drip, ConvertKit, ActiveCampaign, etc), assurez-vous que celui-ci offre l’option de double confirmation. Si vous capturez plutôt vos courriels via un formulaire standard sur votre site, l’extension WordPress Gravity Forms offre la possibilité de configurer une double confirmation.

 

Ajouter une question logique

Une question logique, c’est une question que n’importe quel usager devrait être en mesure de répondre.

Il ne s’agit pas d’ajouter une question à très haute complexité, le but étant simplement d’empêcher un robot de la résoudre. Un robot ne fait que soumettre le formulaire, il n’est pas programmé pour comprendre autre chose que le fait de remplir des champs de Nom, Adresse courriel, Téléphone et Message.

Voici quelques exemples de questions logiques :

  • Un calcul simple (ex.: 2 + deux = ___ )
  • Des couleurs présentes sur un certain type d’animal ou un objet (ex.: une abeille est jaune et ___)
  • Une quantité qui ne change pas et qui est attribuée à un animal ou un objet (ex.: une chaise a ___ pattes)

On suppose qu’un usager qui n’est pas en mesure de répondre à l’une de ces questions est fort probablement un robot. La majeure partie des extensions de formulaire sur WordPress offrent de telles possibilités. Ne vous en privez pas!

 

Ajouter un champ de type honeypot

Un honeypot est un moyen d’afficher un champ que seuls les robots seront en mesure de voir, puisque celui-ci sera caché du visiteur sur votre site web. Comme l’usager ne le voit pas, sa réponse au champ est toujours vide lorsque celui-ci soumet le formulaire. Au contraire, le robot va tenter de remplir le champ et c’est à ce moment qu’il est identifié et que l’envoi du formulaire lui est refusé.

La solution n’est cependant pas sans faille, l’utilisateur malveillant pourrait avoir une fonction de remplissage automatique qui remplit les champs du formulaire à sa place. Cela invaliderait donc une soumission de formulaire par ailleurs valide.

Si vous n’utilisez pas de solution comme Gravity Forms sur votre site WordPress, assurez-vous simplement de styliser votre champ afin que celui-ci soit caché et ne le mettez pas comme un champ de type requis.

 

Ajouter l’extension Akismet

L’extension WordPress Akismet vérifie les commentaires soumis à un formulaire en temps réel et les compare à une base de données mondiale de spammeurs connus. Si Akismet identifie une soumission comme un commentaire indésirable potentiel, le service peut filtrer le commentaire pour vous permettre de le relire ou peut simplement le mettre à la corbeille afin que vous ne la voyiez jamais.

Une grande partie du travail de filtrage est faite pour vous. Akismet surveille automatiquement chaque soumission et commentaire.

Akismet Anti-Spam Process

 

Cacher la page de votre formulaire

Lorsque vos formulaires sont bombardés de commentaires indésirables, il devient tentant de rendre l’accessibilité de votre formulaire plus difficile.

Si vous croyez que votre formulaire est ciblé, on peut toujours changer l’adresse URL de la page contenant le formulaire. Ceci obligera le spammeur en question à devoir rechercher manuellement l’URL dans lequel votre formulaire se trouve.

Vous pouvez également considérer la désindexation de vos pages contenant des formulaires. Si vous croyez que votre formulaire est trop facile à trouver via les moteurs de recherche et pousse les spammeurs à vous envoyer des commentaires indésirables, vous pouvez tout simplement masquer cette page aux robots d’exploration de Google Microsoft et autres engins de recherche. Google, par exemple, offre la possibilité de cacher des pages via Google Search Console ou par l’entremise du fichier robots.txt (parfois géré par des extensions comme Yoast SEO, SEOPress, Rank Math, The SEO Framework, etc).

 

Ajouter un affichage conditionnel du bouton de soumission

Comme le but des spammeurs est d’insérer sur votre site des liens à cliquer vers des sites malhonnêtes, la meilleure façon de les empêcher, c’est en éliminant la possibilité d’ajouter des liens dans une réponse de formulaire. Si vous ne voulez recevoir que du contenu texte, il est possible, par exemple dans Gravity Forms, d’activer la logique conditionnelle. En activant cette fonctionnalité, on peut cacher le bouton de soumission du formulaire si l’usager entre un lien dans la boîte de message ou autre champ quelconque de votre formulaire.

De plus, il peut arriver qu’un spammeur utilise votre nom de domaine comme adresse de courriel pour s’identifier. Par exemple, si vous utilisez des adresses courriels qui se terminent par @votredomaine.com, le spammeur soumettra le formulaire avec comme adresse usager@votredomaine.com.

Si un usager utilise votre nom de domaine pour la soumission de votre formulaire, vous pouvez décider qu’il y a une mauvaise intention dans l’envoi du formulaire. De ce fait, vous pourrez tout simplement désactiver le bouton d’envoi si le courriel utilisé par le répondant utilise votre nom de domaine!

 

Capturer l’adresse IP des visiteurs

Dans les paramètres de formulaire de Gravity Forms, il existe une option qui permet de récupérer les adresses IP des visiteurs qui soumettent votre formulaire.

Pourquoi capturer l’adresse IP des usagers? Parce que, même si vous bloquez les visiteurs qui soumettent votre formulaire en utilisant votre nom de domaine, cela ne les arrêtera pas pour autant. En cas de dernier recours, si vous avez tout essayé pour bloquer les commentaires indésirables et que le même robot continue de vous en soumettre, bloquer son adresse IP pourrait être la solution.

 

Configurer une extension de sécurité comme iThemes Security

L’extension iThemes Security est reconnue pour son efficacité dans les domaines suivants : prévenir le piratage, les infractions à la sécurité et les infections de votre site par des logiciels malveillants (malware). Cette extension est donc très efficace lorsqu’on souhaite protéger nos formulaires de connexion à WordPress.

Secure WordPress Login

Tout comme il est recommandé de protéger les formulaires de votre site, le formulaire de connexion est tout aussi important, sinon plus. On ne voudrait pas que quelqu’un de mal intentionné puisse accéder au tableau de bord de votre site WordPress.

Avec iThemes Security, plusieurs fonctionnalités intéressantes (et gratuites) peuvent être activées afin de sécuriser votre formulaire de connexion :

  1. Bloquer un usager qui tenterait de se connecter avec le nom d’utilisateur « admin »
  2. Bloquer un usager après un certain nombre de tentatives de connexion échouées
  3. Bloquer une adresse IP (blacklist) automatiquement ou manuellement (si vous connaissez l’adresse IP)

 

En conclusion

Le spam ne date pas d’hier et ne disparaîtra probablement pas demain. Il existe de plus en plus de spammeurs et de tentatives malveillantes qui essaient de vous bombarder de commentaires indésirables. Protéger votre site web demeure la meilleure façon de réduire les entrées malveillantes à vos formulaires.

Les conseils mentionnés plus haut peuvent avoir un réel impact sur votre référencement SEO, la sécurité et la performance de votre site web. N’hésitez pas à demander les conseils d’un expert comme SatelliteWP, avant d’effectuer l’une de ces stratégies.

L'article "Arrêtez le SPAM dans vos formulaires" a été modifié la dernière fois le 12 mai 2020 par Nicolas Johnson.

Laissez un commentaire