Quando abbiamo iniziato a fare blog non abbiamo pensato molto al nostro modulo di contatto, finché non abbiamo iniziato a essere sommersi da spam e messaggi strani.
Se avete mai aggiunto un modulo al vostro sito WordPress, probabilmente ci siete passati anche voi.
I moduli sono incredibilmente utili per consentire ai visitatori di entrare in contatto, iscriversi alle newsletter, prenotare appuntamenti e altro ancora. Ma possono anche essere una porta aperta per hacker e spammer, se non si fa attenzione.
Ecco perché una delle domande più frequenti che riceviamo è: “Come faccio a creare un modulo di contatto sicuro?” E onestamente è una domanda intelligente. 🌟
Abbiamo costruito e gestito moduli di ogni tipo sui nostri siti web aziendali. E in base alla nostra esperienza, renderli sicuri non è facoltativo.
In questa guida condivideremo come creare un modulo di contatto sicuro in WordPress mantenendo le cose semplici per voi e per i vostri visitatori.
Ecco un riepilogo di ciò che verrà messo in copertina in questo articolo:
- What Do You Need to Secure WordPress Forms?
- Creating a Secure Contact Form in WordPress 🔒
- Tip 1: Securing WordPress Contact Form Email Notifications
- Tip 2: Securing WordPress Forms Against Spam and DDoS Attacks
- Enable Google reCAPTCHA in Your Forms
- Enable Custom CAPTCHA for Your WordPress Forms
- Tip 3: Restricting WordPress Forms Access to Certain Users
- Bonus Tip 💡: Keeping Your WordPress Site Secure
Di cosa avete bisogno per proteggere i moduli di WordPress?
Per rendere i moduli di contatto di WordPress completamente sicuri, sono necessarie due cose:
- Un plugin sicuro per i moduli di contatto di WordPress
- Un ambiente di hosting WordPress sicuro
Cominciamo con il plugin dei moduli.
1. Scegliere un modulo di contatto sicuro
Un plugin per moduli di contatto sicuri consente di salvare le voci dei moduli in modo sicuro sul vostro sito web. Inoltre, consente di utilizzare metodi di posta elettronica sicuri per inviare le notifiche dei moduli.
Vi consigliamo di utilizzare WPForms, il miglior modulo di contatto per WordPress presente sul mercato, affidabile e utilizzato da oltre 6 milioni di siti web. Tra questi ci siamo anche noi!
Utilizziamo WPForms in WPBeginner per chi siamo: moduli di contatto, sondaggi tra gli utenti, invio di prodotti e persino il modulo di richiesta di migrazione del sito. È flessibile, facile da usare per i principianti e fa il suo lavoro. Per maggiori dettagli, consultate la nostra recensione completa di WPForms.
È dotato di tonnellate di potenti funzioni per proteggere i moduli WordPress e proteggere il vostro sito web da spam, hacking e furto di dati.
È disponibile anche una versione gratuita, chiamata WPForms Lite. È altrettanto sicura, ma ha funzioni limitate.
2. Scegliere una piattaforma di hosting sicura
La scelta del giusto hosting WordPress è fondamentale per la sicurezza del vostro sito web e dei vostri moduli di contatto.
Consigliamo di utilizzare Bluehost. Si tratta di una delle più grandi aziende di hosting al mondo e di un fornitore di hosting WordPress ufficialmente raccomandato.
Ma soprattutto, offre agli utenti di WPBeginner un generoso sconto, oltre a un dominio gratuito e a un certificato SSL (necessario per migliorare la sicurezza del modulo WordPress).
È possibile utilizzare anche altre società di hosting per WordPress come SiteGround, Hostinger, HostGator e così via, perché offrono tutte un SSL gratuito.
Che cos’è l’SSL? E perché ne avete bisogno per proteggere i moduli WordPress?
SSL è l’acronimo di Secure Sockets Layer. Consente di passare il sito WordPress da HTTP a HTTPS (HTTP sicuro).
Noterete un’icona a forma di lucchetto accanto al vostro sito web, che indica l’utilizzo del protocollo SSL per il trasferimento dei dati.
L’SSL protegge le informazioni dell’utente criptando il trasferimento dei dati tra il browser dell’utente e il sito web. Questo aggiunge il supporto per la crittografia dei moduli di WordPress, che rende più difficile per gli hacker rubare i dati.
Per maggiori dettagli, consultate il nostro articolo su come ottenere un certificato SSL gratuito per il vostro sito web.
Detto questo, vediamo ora come creare un modulo di contatto sicuro in WordPress.
Creazione di un modulo di contatto sicuro in WordPress 🔒
Creare un modulo di contatto sicuro su WordPress è facile se avete già selezionato i requisiti di cui sopra. Se non l’avete ancora fatto, consultate il nostro tutorial su come add-onare rapidamente un semplice modulo di contatto in WordPress.
Una volta fatto questo, è il momento di aggiungere livelli di sicurezza al modulo di contatto di WordPress. Questo vi aiuta a mantenere i dati del modulo al sicuro, a ridurre lo spam e a migliorare le prestazioni del sito web.
Di seguito sono riportati alcuni dei modi più comuni in cui qualcuno può rubare informazioni o abusare dei vostri moduli WordPress.
In primo luogo, possono “sniffare” le informazioni. Lo sniffing delle informazioni è come se qualcuno ascoltasse o catturasse segretamente i dati mentre viaggiano su Internet. Se si invia un modulo di contatto su un sito web non protetto (ad esempio senza crittografia HTTPS), un hacker potrebbe “sniffare” la rete o rubare le informazioni inviate.
Potete indirizzare questo problema utilizzando una piattaforma di hosting WordPress sicura e abilitando la crittografia SSL sul vostro sito web.
La parte successiva è quella in cui il modulo WordPress invia le e-mail di notifica.
I servizi diposta elettronica aziendale non fanno parte di WordPress e se non si inviano correttamente le e-mail, le informazioni in esse contenute possono facilmente trapelare.
Infine, i moduli di WordPress possono essere sfruttati per inviare messaggi di spam e attacchi DDoS. Se utilizzate un modulo di accesso personalizzato per WordPress, gli hacker possono utilizzare attacchi di forza bruta per accedere al vostro sito WordPress.
Ora, indirizziamo ciascuno di essi per rendere più sicuri i moduli di WordPress.
Suggerimento 1: proteggere le notifiche email del modulo di contatto di WordPress
Come abbiamo già detto, le email non sicure possono essere spiate e non sono sicure. Ci sono due modi per gestire le email di notifica dei moduli.
1. Noninviare i dati del modulo tramite notifiche via e-mail
La prima cosa da considerare è quella di non inviare i dati del modulo via e-mail.
Ad esempio, quando qualcuno invia il modulo di contatto, si riceve solo un’e-mail di avviso che qualcuno ha inviato il modulo e non i dati del modulo stesso.
WordPressForms è dotato di un sistema di gestione delle voci integrato che memorizza i dati dei moduli nel database di WordPress.
È sufficiente andare alla pagina WPForms ” Inserimenti dalla dashboard di WordPress per visualizzare tutti i moduli inviati.
📝 Nota: per le caratteristiche di gestione delle voci è necessario passare alla versione a pagamento di WPForms.
2. Inviare e-mail sicure di notifica dei moduli WordPress
Per alcuni utenti, l’invio di e-mail di notifica dei moduli è necessario per la loro attività.
Ad esempio, se avete un modulo d’ordine, di registrazione, di pagamento o di donazione online, potreste aver bisogno di inviare notifiche via email ai vostri utenti.
A tal fine, è necessario impostare un servizio SMTP adeguato per inviare email in modo sicuro.
SMTP è l’acronimo di Secure Mail Transfer Protocol. È lo standard industriale per l’invio sicuro di e-mail su Internet.
Si consiglia di utilizzare Google Workspace, che consente di creare un indirizzo email professionale per le aziende. Powered by Google, consente di utilizzare la familiare interfaccia di Gmail per inviare e ricevere email.
Tuttavia, se invierete molte email, vi consigliamo di utilizzare SendLayer, Brevo, Amazon SES o qualsiasi altro fornitore di servizi SMTP affidabile.
Per maggiori dettagli, consultate il nostro tutorial su come configurare correttamente le impostazioni e-mail di WordPress.
Successivamente, è necessario collegare il proprio servizio di posta elettronica a WordPress, in modo che tutte le notifiche dei moduli di WordPress vengano inviate tramite la propria connessione e-mail sicura.
Per farlo, è necessario installare e attivare il plugin WP Mail SMTP. Funziona con qualsiasi servizio di posta elettronica SMTP e consente di inviare email a WordPress in modo sicuro.
Per istruzioni dettagliate, consultate la nostra guida su come configurare WP Mail SMTP in WordPress.
Suggerimento 2: Proteggere i moduli di WordPress da spam e attacchi DDoS
I moduli del vostro sito web sono accessibili pubblicamente. Ciò significa che chiunque può accedervi e compilarli. Nella prossima fase ci occuperemo della limitazione dell’accesso ai moduli a utenti specifici, ma in questa fase ci occuperemo dei moduli pubblici.
Quando il vostro modulo è accessibile a chiunque su Internet, può diventare un bersaglio per spammer e hacker. Mentre gli spammer cercano di utilizzare il modulo per attività fraudolente, gli hacker possono tentare di sfruttarlo per accedere al vostro sito web o addirittura farlo cadere.
Fortunatamente, WPForms protegge automaticamente i moduli con un token anti-spam nascosto che gli spam non possono vedere. A differenza di metodi più vecchi come gli honeypot, questo token non influisce sull’esperienza dell’utente.
Per verificare che l’antispam sia abilitato sul modulo, è sufficiente passare alla scheda “Protezione e sicurezza antispam”.
Da qui, basta attivare/disattivare l’interruttore “Abilita protezione antispam”. I vostri moduli saranno ora completamente sicuri.
Per aggiungere un ulteriore livello di sicurezza, è possibile utilizzare i seguenti strumenti di protezione dallo spam:
1. Abilitare Google reCAPTCHA nei propri moduli
WPForms è dotato di supporto per Google reCAPTCHA.
Per abilitare questa funzione, basta andare alla pagina WPForms ” Impostazioni dalla barra laterale dell’amministrazione e passare alla scheda CAPTCHA.
Qui dovrete selezionare l’opzione reCAPTCHA.
Una volta fatto ciò, scegliete la versione del reCAPTCHA. Si consiglia di selezionare l’opzione reCAPTCHA v2, perché è più facile da usare.
Successivamente, avrete bisogno di una chiave del sito e di una chiave segreta per abilitare il reCAPTCHA sul vostro sito.
Per farlo, basta andare sul sito web di reCAPTCHA e fare clic sul pulsante “v3 Admin Console” in alto.
Si aprirà una nuova schermata in cui si dovrà fornire un’etichetta per il sito e selezionare l’opzione “Sfida (v2)”.
Si apriranno nuove impostazioni in cui si dovrà scegliere la casella “Non sono un robot”.
Quindi, fare clic sul pulsante Submit (Invia) per continuare.
A questo punto verranno mostrate le chiavi API.
Copiate queste chiavi e incollatele nella pagina delle impostazioni di WPForms. Non dimenticate di cliccare sul pulsante “Salva impostazioni” per memorizzare le modifiche.
Ora è possibile modificare il modulo e aggiungere il campo reCAPTCHA al modulo.
Verrà visualizzata una notifica che indica che reCAPTCHA è ora abilitato per il modulo. Si può procedere a salvare il modulo.
Se non avete già aggiunto un modulo al vostro sito web, potete semplicemente modificare la pagina o la pubblicazione di WordPress in cui volete incorporare il modulo e aggiungere il blocco WPForms all’area dei contenuti.
Basta selezionare il modulo dal menu a discesa e WPForms ne caricherà un’anteprima.
Ora è possibile salvare il post o la pagina e visitarla in una nuova scheda del browser per vedere il modulo con il campo reCAPTCHA in azione.
2. Abilitare il CAPTCHA personalizzato per i moduli di WordPress
Se non volete usare Google reCAPTCHA, potete usare i vostri quiz o domande di matematica con l’addon WPForms Custom Captcha.
📝 Nota: per accedere all’add-on Custom Captcha è necessaria la versione pro del plugin WPForms.
Basta andare alla pagina WPForms ” Addons per installare e attivare l’addon Custom Captcha.
Una volta fatto ciò, lo stato dell’add-on verrà modificato in “attivato”.
Successivamente, è possibile modificare il modulo di contatto e aggiungere il campo “Captcha” al modulo.
Per impostazione predefinita, aggiunge una domanda matematica casuale.
È possibile modificarlo per aggiungere un captcha personalizzato, cambiando il tipo di captcha in testo.
A questo punto è possibile salvare il modulo facendo clic sul pulsante “Salva” in alto.
Da qui, è possibile aggiungere il modulo a una pagina o a un post utilizzando il blocco WPForms.
Ora è possibile visitare la propria pubblicazione o pagina per vedere il CAPTCHA personalizzato in azione.
Suggerimento 3: Limitare l’accesso ai moduli di WordPress a determinati utenti
Un altro modo per proteggere i moduli di WordPress è quello di limitare l’accesso ai membri connessi o di utilizzare una password unica per il modulo.
WPForms è dotato di un addon Form Locker che consente di attivare vari permessi per i moduli e regole di controllo degli accessi.
📝 Nota: per accedere all’add-on Form Locker è necessaria la versione pro del plugin WPForms.
Con Form Locker è possibile:
- Protezione dei moduli con password – È necessario che gli utenti inseriscano una password per inviare il modulo. Questa protezione aggiuntiva aiuta a ridurre il numero di invii indesiderati di moduli.
- Chiudere gli invii di moduli dopo una data/ora specifica – Questa funzione è ideale per i moduli di richiesta di lavoro o per altri moduli sensibili al fattore tempo.
- Limitare il numero di iscrizioni totali – Questo è ottimo per i concorsi o gli omaggi. Una volta raggiunto il numero massimo di iscrizioni, WPForms chiuderà automaticamente il modulo.
- Limita una voce per persona – Se volete evitare invii doppi, questa opzione vi piacerà. È molto utile per le domande di borse di studio, per i concorsi, ecc.
- Limitare i moduli ai soli membri – Potete limitare i moduli agli utenti connessi del vostro sito WordPress. È un’ottima soluzione per i siti di iscrizione o per le aziende che vogliono limitare il supporto ai soli clienti paganti.
È possibile accedere alle impostazioni del Form Locker all’interno del pannello Impostazioni del costruttore di moduli:
Per un tutorial dettagliato, consultate la nostra guida passo-passo su come proteggere con password i moduli di WordPress.
Suggerimento bonus 💡: Mantenere sicuro il sito WordPress
La sicurezza dei moduli WordPress dipende dalla sicurezza dell’intero sito web. Con pochi semplici passi, potete migliorare la sicurezza del vostro sito web WordPress.
Consigliamo di utilizzare Cloudflare, in quanto è il miglior plugin per la sicurezza di WordPress presente sul mercato. È dotato di un firewall per siti web che blocca qualsiasi attività sospetta ancor prima che raggiunga il vostro sito.
Per ulteriori consigli pratici, consultate la nostra guida completa alla sicurezza di WordPress per i principianti.
Speriamo che questo articolo vi abbia aiutato a creare un modulo di contatto sicuro in WordPress. Vi consigliamo di consultare anche la nostra guida passo-passo su come proteggere con password i moduli di WordPress e la nostra guida definitiva all’uso dei moduli di WordPress.
Se questo articolo vi è piaciuto, iscrivetevi al nostro canale YouTube per le esercitazioni video su WordPress. Potete trovarci anche su Twitter e Facebook.
Dennis Muthomi
This is a really helpful guide on securing WordPress forms!
can WPForms also detect and block temporary/disposable email addresses from being submitted in forms?
and is it possible to block the IP address of anyone trying to abuse the forms? Being able to blacklist those kinds of bad actors would be an awesome extra layer of security.
Thanks!
WPBeginner Comments
For the best ways to stop disposable email addresses, check out this guide:
https://www.wpbeginner.com/plugins/how-to-block-disposable-email-addresses-in-wordpress/
The the second method in the above guide works with WPForms.
Also, for automatic IP address blocking, you will want to use a Web Application Firewall: https://www.wpbeginner.com/plugins/best-wordpress-firewall-plugins-compared/
Dennis Muthomi
wow! thanks for the response and sharing those helpful resources.
I really appreciate you taking the time to provide those additional guides on blocking disposable email addresses and using a firewall for IP blocking.
I’ll be sure to check out those guides you linked and get those security measures implemented.
your support is awesome!
Lucky Roy
This article content is awesome and easy to understandable. This content help me a lot to understand about a contact form in a blog of any wordpress and by custom code sites. Personally I really thanks to wpbeginner members for uploading such a great content.
WPBeginner Support
Glad our guide was helpful
Admin
Jatin
Great article on securing the forms. I’m new to blogging, and noticed I already had WP forms installed after I read your article I was able to install recaptcha successfully and that helped reduce my work a lot. I used to get a lot of spam comments. Now from 30-50 comments down to 1 or 2 but legit. Thank you for sharing your knowledge with me.
WPBeginner Support
You’re welcome, glad our guide was helpful
Admin