I moduli consentono agli utenti di inviare informazioni sul vostro sito web. Tuttavia, possono anche essere utilizzati dagli hacker per rubare informazioni, attaccare siti web e installare codice maligno.
Ecco perché la creazione di un modulo di contatto sicuro è necessaria per proteggere il vostro sito web e i suoi utenti da spam e attacchi dannosi. Salvaguarda le informazioni sensibili e migliora la fiducia degli utenti.
Nel corso degli anni, abbiamo aggiunto moduli di ogni tipo ai nostri siti web. Una cosa che è rimasta costante è il nostro focus sulla creazione di moduli sicuri. Questo ci ha permesso di acquisire un’esperienza diretta su come costruire e mantenere moduli che danno priorità alla sicurezza.
In questo articolo vi mostreremo come creare facilmente un modulo di contatto sicuro in WordPress. Vi spiegheremo come garantire l’invio sicuro di moduli WordPress sul vostro sito.
Ecco un riepilogo di ciò che verrà messo in copertina in questo articolo:
Di cosa avete bisogno per proteggere i moduli di WordPress?
Per rendere i moduli di contatto di WordPress completamente sicuri, sono necessarie due cose:
- Un plugin sicuro per i moduli di contatto di WordPress
- Un ambiente di hosting WordPress sicuro
Cominciamo con il plugin dei moduli.
1. Scegliere un modulo di contatto sicuro
Un plugin per moduli di contatto sicuri consente di salvare le voci dei moduli in modo sicuro sul vostro sito web. Inoltre, consente di utilizzare metodi di posta elettronica sicuri per inviare le notifiche dei moduli.
Consigliamo di utilizzare WPForms, il miglior modulo di contatto per WordPress presente sul mercato, affidabile e utilizzato da oltre 6 milioni di siti web.
È dotato di tonnellate di potenti funzioni per proteggere i moduli WordPress e proteggere il vostro sito web da spam, hacking e furto di dati.
È disponibile anche una versione gratuita, chiamata WPForms Lite. È altrettanto sicura, ma ha funzioni limitate.
2. Scegliere una piattaforma di hosting sicura
La scelta del giusto hosting WordPress è fondamentale per la sicurezza del vostro sito web e dei vostri moduli di contatto.
Consigliamo di utilizzare Bluehost. Si tratta di una delle più grandi società di hosting al mondo e di un provider di hosting WordPress ufficialmente raccomandato.
Ma soprattutto, offre agli utenti di WPBeginner un generoso sconto, oltre a un dominio gratuito e a certificati SSL (necessari per una migliore sicurezza del modulo WordPress).
È possibile utilizzare anche altre società di hosting WordPress popolari come SiteGround, WP Engine, HostGator e così via, perché offrono tutte un SSL gratuito.
Che cos’è l’SSL? E perché ne avete bisogno per proteggere i moduli WordPress?
SSL è l’acronimo di Secure Sockets Layer. Consente di passare il sito WordPress da HTTP a HTTPS (HTTP sicuro).
Noterete un’icona a forma di lucchetto accanto al vostro sito web, che indica l’utilizzo del protocollo SSL per il trasferimento dei dati.
L’SSL protegge le vostre informazioni criptando il trasferimento dei dati tra il browser dell’utente e il sito web. Questo aggiunge il supporto per la crittografia dei moduli di WordPress, che rende più difficile per gli hacker rubare i dati.
Per maggiori dettagli, consultate il nostro articolo su come ottenere un certificato SSL gratuito per il vostro sito web.
Detto questo, vediamo ora come creare un modulo di contatto sicuro in WordPress.
Creare un modulo di contatto sicuro in WordPress
Creare un modulo di contatto sicuro in WordPress è facile se avete già verificato i requisiti sopra citati. Se non l’avete ancora fatto, consultate il nostro tutorial su come aggiungere rapidamente un semplice modulo di contatto in WordPress.
Una volta fatto questo, è il momento di aggiungere altri livelli di sicurezza al vostro modulo di contatto WordPress.
Ciò consente di mantenere al sicuro i dati dei moduli e di ridurre lo spam e migliorare le prestazioni del sito web.
Di seguito sono riportati alcuni dei modi più comuni in cui qualcuno può rubare informazioni o abusare dei vostri moduli WordPress.
In primo luogo, possono sniffare le informazioni quando vengono inviate tramite un modulo. Potete risolvere questo problema utilizzando una piattaforma di hosting WordPress sicura e attivando la crittografia SSL sul vostro sito web.
La parte successiva è quella in cui il modulo WordPress invia le e-mail di notifica.
I servizi diposta elettronica aziendale non fanno parte di WordPress e se non si inviano correttamente le e-mail, le informazioni in esse contenute possono facilmente trapelare.
Infine, i vostri moduli WordPress possono essere sfruttati per inviare messaggi di spam e attacchi DDoS. Se utilizzate un modulo di accesso personalizzato per WordPress, gli hacker possono utilizzare attacchi di forza bruta per accedere al vostro sito WordPress.
Ora, indirizziamo ciascuno di essi per rendere più sicuri i moduli di WordPress.
Proteggere le notifiche via e-mail del modulo di contatto di WordPress
Come abbiamo già detto, le e-mail non sicure possono essere spiate e non sono sicure. Ci sono due modi per gestire le e-mail di notifica dei moduli.
1. Noninviare i dati del modulo tramite notifiche via e-mail
La prima cosa da considerare è quella di non inviare i dati del modulo via e-mail.
Ad esempio, quando qualcuno invia il modulo di contatto, si riceve solo un’e-mail di avviso che qualcuno ha inviato il modulo e non i dati del modulo stesso.
WPForms è dotato di un sistema di gestione delle voci integrato che memorizza i dati dei moduli nel database di WordPress.
È sufficiente andare alla pagina WPForms ” Inserimenti dalla dashboard di WordPress per visualizzare tutti i moduli inviati.
Nota: per le funzioni di gestione degli inserimenti è necessario passare alla versione a pagamento di WPForms.
2. Inviare e-mail sicure di notifica dei moduli WordPress
Per alcuni utenti, l’invio di e-mail di notifica dei moduli è necessario per la loro attività.
Ad esempio, se avete un modulo d’ordine online, un modulo di donazione, un modulo di registrazione o un modulo di pagamento, potreste aver bisogno di inviare notifiche email ai vostri utenti.
A tal fine, è necessario configurare un servizio SMTP adeguato per l’invio sicuro di e-mail.
SMTP è l’acronimo di Secure Mail Transfer Protocol. È lo standard industriale per l’invio sicuro di e-mail su Internet.
Si consiglia di utilizzare Google Workspace, che consente di creare un indirizzo email professionale per le aziende. Powered by Google, consente di utilizzare la familiare interfaccia di Gmail per inviare e ricevere email.
Tuttavia, se invierete molte email, vi consigliamo di utilizzare SendLayer, Brevo, Amazon SES o qualsiasi altro fornitore di servizi SMTP affidabile.
Per maggiori dettagli, consultate il nostro tutorial su come configurare correttamente le impostazioni e-mail di WordPress.
Successivamente, è necessario collegare il proprio servizio di posta elettronica a WordPress, in modo che tutte le notifiche dei moduli di WordPress vengano inviate tramite la propria connessione e-mail sicura.
Per farlo, è necessario installare e attivare il plugin WP Mail SMTP. Funziona con qualsiasi servizio di posta elettronica SMTP e consente di inviare facilmente e-mail di WordPress in modo sicuro.
Per istruzioni dettagliate, consultate la nostra guida su come configurare WP Mail SMTP in WordPress.
Proteggere i moduli WordPress dallo spam e dagli attacchi DDoS
I moduli del vostro sito web sono accessibili pubblicamente. Ciò significa che chiunque può accedervi e compilarli. Nella prossima fase ci occuperemo della limitazione dell’accesso ai moduli a utenti specifici, ma in questa fase ci occuperemo dei moduli pubblici.
Quando il vostro modulo è accessibile a chiunque su Internet, può diventare un bersaglio per spammer e hacker. Mentre gli spammer cercano di utilizzare il vostro modulo per attività fraudolente, gli hacker possono tentare di usarlo per ottenere l’accesso al vostro sito web o addirittura per distruggerlo.
Fortunatamente, WPForms protegge automaticamente i moduli con un token anti-spam nascosto che gli spam non possono vedere. A differenza di metodi più vecchi come gli honeypot, questo token non influisce sull’esperienza dell’utente.
Per verificare che l’antispam sia abilitato sul modulo, è sufficiente passare alla scheda “Protezione e sicurezza antispam”.
Da qui, basta attivare/disattivare l’interruttore “Abilita protezione antispam”. I vostri moduli saranno ora completamente sicuri.
Tuttavia, per aggiungere un ulteriore livello di sicurezza, è possibile utilizzare i seguenti strumenti di protezione dallo spam.
1. Abilitare Google reCAPTCHA nei propri moduli
WPForms è dotato di supporto per Google reCAPTCHA.
Per abilitare questa funzione, basta andare alla pagina WPForms ” Impostazioni dalla barra laterale dell’amministrazione e passare alla scheda CAPTCHA.
Qui dovrete selezionare l’opzione reCAPTCHA.
Una volta fatto ciò, scegliete la versione del reCAPTCHA. Si consiglia di selezionare l’opzione reCAPTCHA v2, perché è più facile da usare.
Successivamente, avrete bisogno di una chiave del sito e di una chiave segreta per abilitare reCAPTCHA sul vostro sito.
Per farlo, basta andare sul sito web di reCAPTCHA e fare clic sul pulsante “v3 Admin Console” in alto.
Si aprirà una nuova schermata in cui si dovrà fornire un’etichetta per il sito e selezionare l’opzione “Sfida (v2)”.
Si apriranno nuove impostazioni in cui si dovrà scegliere la casella “Non sono un robot”.
Quindi, fare clic sul pulsante Submit (Invia) per continuare.
A questo punto verranno mostrate le chiavi API.
Copiate queste chiavi e incollatele nella pagina delle impostazioni di WPForms. Non dimenticate di cliccare sul pulsante “Salva impostazioni” per memorizzare le modifiche.
Ora è possibile modificare il modulo e aggiungere il campo reCAPTCHA al modulo.
Verrà visualizzata una notifica che indica che reCAPTCHA è ora abilitato per il modulo. Si può procedere a salvare il modulo.
Se non avete ancora aggiunto un modulo al vostro sito web, potete semplicemente modificare la pagina o il post di WordPress in cui volete visualizzare il modulo e aggiungere il blocco WPForms all’area dei contenuti.
Basta selezionare il modulo nel menu a discesa e WPForms caricherà un’anteprima del modulo.
Ora è possibile salvare il post o la pagina e visitarla in una nuova scheda del browser per vedere il modulo con il campo reCAPTCHA in azione.
2. Abilitare i Captcha personalizzati per i moduli di WordPress
Se non volete usare Google reCAPTCHA, potete usare i vostri quiz o domande di matematica con l’addon WPForms Custom Captcha.
Nota: per accedere all’addon captcha personalizzato è necessaria la versione pro del plugin.
Basta andare alla pagina WPForms ” Addons per installare e attivare l’addon Custom Captcha.
Una volta fatto ciò, lo stato del componente aggiuntivo sarà cambiato in “Attivo”.
Successivamente, è possibile modificare il modulo di contatto e aggiungere il campo Captcha al modulo.
Per impostazione predefinita, aggiunge una domanda matematica casuale.
È possibile modificarlo per aggiungere un captcha personalizzato, cambiando il tipo di captcha in testo.
A questo punto è possibile salvare il modulo facendo clic sul pulsante “Salva” in alto.
Dopodiché, aggiungete il modulo a un post o a una pagina di vostro gradimento utilizzando il blocco WPForms.
Ora è possibile visitare il post o la pagina per vedere il captcha personalizzato in azione.
Limitare l’accesso ai moduli di WordPress a determinati utenti
Un altro modo per proteggere i moduli di WordPress è quello di limitare l’accesso ai soli membri loggati o attraverso una password unica per il modulo.
WPForms è dotato di un addon Form Locker che consente di attivare vari permessi per i moduli e regole di controllo degli accessi.
Con il form locker è possibile:
- Protezione dei moduli con password – richiede agli utenti di inserire una password per inviare il modulo. Questa protezione aggiuntiva contribuisce a ridurre il numero di invii indesiderati di moduli.
- Chiudere gli invii di moduli dopo una data/ora specifica – questa funzione è ideale per qualsiasi tipo di modulo di richiesta o altri moduli sensibili ai tempi.
- Limitare il numero di iscrizioni totali – questo è ottimo per i concorsi o gli omaggi. Una volta raggiunto il numero massimo di iscrizioni, WPForms chiuderà automaticamente il modulo.
- Limita un’iscrizione per persona – se volete evitare invii doppi, questa opzione vi piacerà. È molto utile per le domande di borse di studio, per i concorsi, ecc.
- Limitare i moduli ai soli membri – potete limitare i moduli agli utenti del vostro sito WordPress che hanno effettuato l’accesso. È un’ottima soluzione per i siti associativi o per le aziende che vogliono limitare l’assistenza ai soli clienti paganti.
È possibile accedere alle impostazioni del Form Locker all’interno del pannello Impostazioni del costruttore di moduli:
Per un tutorial dettagliato, consultate la nostra guida passo-passo su come proteggere con password i moduli di WordPress.
Mantenere il sito WordPress sicuro
La sicurezza dei vostri moduli WordPress dipende dalla sicurezza dell’intero sito web WordPress. Con alcuni semplici accorgimenti, potete rafforzare la sicurezza del vostro sito WordPress.
Consigliamo di utilizzare Cloudflare, in quanto è il miglior plugin per la sicurezza di WordPress presente sul mercato. È dotato di un firewall per siti web che blocca qualsiasi attività sospetta ancor prima che raggiunga il vostro sito.
Per ulteriori consigli pratici, consultate la nostra guida completa alla sicurezza di WordPress per i principianti.
Speriamo che questo articolo vi abbia aiutato a creare un modulo di contatto sicuro in WordPress. Vi consigliamo di consultare anche la nostra guida passo-passo su come proteggere con password i moduli di WordPress e la nostra guida definitiva all’uso dei moduli di WordPress.
Se questo articolo vi è piaciuto, iscrivetevi al nostro canale YouTube per le esercitazioni video su WordPress. Potete trovarci anche su Twitter e Facebook.
Dennis Muthomi
This is a really helpful guide on securing WordPress forms!
can WPForms also detect and block temporary/disposable email addresses from being submitted in forms?
and is it possible to block the IP address of anyone trying to abuse the forms? Being able to blacklist those kinds of bad actors would be an awesome extra layer of security.
Thanks!
WPBeginner Comments
For the best ways to stop disposable email addresses, check out this guide:
https://www.wpbeginner.com/plugins/how-to-block-disposable-email-addresses-in-wordpress/
The the second method in the above guide works with WPForms.
Also, for automatic IP address blocking, you will want to use a Web Application Firewall: https://www.wpbeginner.com/plugins/best-wordpress-firewall-plugins-compared/
Dennis Muthomi
wow! thanks for the response and sharing those helpful resources.
I really appreciate you taking the time to provide those additional guides on blocking disposable email addresses and using a firewall for IP blocking.
I’ll be sure to check out those guides you linked and get those security measures implemented.
your support is awesome!
Lucky Roy
This article content is awesome and easy to understandable. This content help me a lot to understand about a contact form in a blog of any wordpress and by custom code sites. Personally I really thanks to wpbeginner members for uploading such a great content.
WPBeginner Support
Glad our guide was helpful
Admin
Jatin
Great article on securing the forms. I’m new to blogging, and noticed I already had WP forms installed after I read your article I was able to install recaptcha successfully and that helped reduce my work a lot. I used to get a lot of spam comments. Now from 30-50 comments down to 1 or 2 but legit. Thank you for sharing your knowledge with me.
WPBeginner Support
You’re welcome, glad our guide was helpful
Admin