Offrire una funzionalità di registrazione per gli utenti può essere un ottimo modo per generare lead e incoraggiare la fedeltà al brand. Tuttavia, può anche attirare registrazioni spam.
Fortunatamente, puoi approfittare dei vantaggi delle registrazioni senza esporre il tuo sito ai pericoli. Con alcune semplici precauzioni, puoi impedire a bot e hacker di creare account e accedere alla tua bacheca di WordPress.
In questo articolo, parleremo di come le registrazioni spam possono danneggiare il tuo sito. E condivideremo con te otto modi per fermare le registrazioni indesiderate.
Cosa sono le registrazioni utente spam?
Le registrazioni utente spam si verificano quando utenti indesiderati registrano un account per scopi diversi da quelli previsti. Potrebbero farlo per pubblicare commenti maligni o addirittura ottenere accesso alla tua bacheca di WordPress.
Anche se molti sanno che lo spam è un enorme problema per quasi tutti i siti, le registrazioni utente indesiderate sono un tipo di spam che viene spesso trascurato.
Se permetti agli utenti di creare un account, il modulo di registrazione predefinito di WordPress si trova all’indirizzo https://example.com/wp-login.php?action=register. Chiunque può scegliere un nome utente, inserire un indirizzo e-mail e creare un account.
Terze parti maligne e bot possono usarlo per creare account spam. Possono aggiungere la stessa URL a qualsiasi dominio WordPress, inserire delle informazioni e creare un account: è facilissimo.
Perché gli spammers creano registrazioni false?
Una volta registrati sul tuo sito, possono diffondere più spam. Ad esempio, potrebbero inviare commenti contenenti link maligni o autopromozione, che possono immediatamente rendere il tuo sito meno professionale. I commenti indesiderati danneggiano l’esperienza dei visitatori e possono influire negativamente sulla tua ottimizzazione per i motori di ricerca (SEO).
A seconda di come gestisci le registrazioni, questi account spam potrebbero persino avere privilegi elevati: moderazione dei commenti, creazione di nuovi articoli o accesso alla tua bacheca di WordPress.
Se uno spammer riesce a raggiungere la tua bacheca di WordPress, potrebbe provocare guai seri. Solitamente, gli spammer vogliono diffondere più spam, ma potrebbero perfino lanciare attacchi più sofisticati, come ad esempio la cancellazione dei tuoi contenuti, il furto dei tuoi dati o persino l’installazione di software pericolosi.
Come fermare le registrazioni spam su WordPress
Gli hacker e i bot inventano costantemente nuove tecniche da usare nelle registrazioni spam. Per questo motivo, ti consigliamo di utilizzare diverse strategie anti-spam per avere più possibilità di individuare spambot e terze parti maligne. Ecco otto modi per fermare le registrazioni spam su WordPress.
1. Disabilita le registrazioni utente
Le registrazioni utente possono essere vantaggiose per motivi diversi. Possono essere il primo passo per monetizzare i tuoi contenuti. La registrazione gratuita può anche essere un ottimo modo per generare lead o creare mailing list.
Tuttavia, non tutti i siti richiedono agli utenti di registrarsi. Se gestisci un blog personale o un sito per la tua attività, potresti non aver bisogno di questa funzionalità.
A seconda del tuo obiettivo, potrebbero esserci altri modi più sicuri per ottenere gli stessi risultati. Ad esempio, se vuoi usare la registrazione per generare lead, puoi creare una newsletter o un modulo di richiesta di richiamata. Entrambe queste tecniche possono generare lead senza esporre il tuo sito a registrazioni utente spam.
È anche possibile accettare contributi di ospiti senza registrazione. Se vuoi pubblicare articoli di contributori ospiti sul tuo sito, puoi usare un plugin come User Submitted Posts.
Disabilitare la registrazione degli utenti non è una scelta giusta per tutti i siti. Per i siti per membri, forum e siti di e-commerce, la registrazione utente è fondamentale e i vantaggi superano di gran lunga gli svantaggi.
Se decidi di disabilitare la registrazione, vai su Impostazioni → Generale nella tua bacheca di WordPress. Trova Membri e deseleziona Può registrarsi chiunque.
In questo modo, nessuno può più registrarsi sul tuo sito WordPress. Nemmeno quei fastidiosi spambot!
2. Cambia l’URL di registrazione di WordPress
Per impostazione predefinita, tutte le pagine di registrazione di WordPress si trovano all’indirizzo /wp-login.php?action=register. Questo facilita l’acceso al modulo di registrazione del tuo sito per script automatizzati e bot. Da lì, possono creare centinaia o addirittura migliaia di account spam e inondare il tuo sito di contenuti indesiderati.
Puoi ridurre questo traffico generato dai bot cambiando l’URL della tua pagina di registrazione. Gli hacker umani saranno ancora in grado di accedere al modulo, ma un URL non noto può quasi eliminare gli attacchi di spam dei bot.
Il modulo di registrazione utente fa parte della pagina di accesso di WordPress, quindi puoi utilizzare qualsiasi plugin che modifica l’URL di accesso, come WPS Hide Login.
Dopo aver installato e attivato questo plugin, vai su Impostazioni → WPS Hide Login. Inserisci il tuo nuovo URL. Per rendere la vita difficile ai bot, scegli un indirizzo che non sia facile da indovinare.
A seconda di come è configurato il tuo sito, potresti dover aggiornare tutti i collegamenti, i menu o altri contenuti che puntano al vecchio URL della pagina di registrazione.
3. Esegui la verifica dell’indirizzo e-mail
Ogni volta che qualcuno cerca di registrarsi sul tuo sito, puoi inviare un’e-mail al loro indirizzo. Dall’e-mail, gli utenti possono fare clic su un link. La verifica dell’e-mail può prevenire lo spam generato dai bot e impedisce anche agli spammer umani di registrarsi con informazioni di contatto false.
Lo svantaggio è che la verifica dell’e-mail aggiunge un altro passaggio al processo di registrazione. Per aumentare le conversioni, è una buona idea rendere la registrazione il più semplice possibile. La verifica dell’indirizzo e-mail è un fastidio in più per gli utenti.
La buona notizia è che la verifica dell’e-mail è ampiamente utilizzata. La maggior parte degli utenti di Internet conosce questa tecnica e la accetterà come parte necessaria per la creazione di un account.
Per impostazione predefinita, WordPress non supporta la verifica dell’e-mail. Ma puoi aggiungere questa funzionalità utilizzando il plugin User Verification.
Dopo aver installato e attivato il plugin, vai su Utenti → Verifica utente. Scegli Sì in Abilita verifica e-mail.
Puoi anche configurare alcune opzioni aggiuntive, come ad esempio la pagina a cui reindirizzare gli utenti dopo la verifica.
Questo plugin include anche template predefiniti da usare per le tue e-mail di verifica. Per dargli un’occhiata, fai clic su Template e-mail.
Qui puoi esplorare i vari template ed effettuare modifiche. Una volta finito, scorri in fondo alla pagina e fai clic su Salva modifiche.
4. Richiedi l’approvazione delle registrazioni agli amministratori
Uno dei modi migliori per fermare gli spammer è quello di esaminare ogni registrazione. Si tratta di una procedura manuale: se il tuo sito ha un gran numero di iscritti, l’operazione può diventare rapidamente un lavoro lungo e frustrante per i tuoi amministratori WordPress. Per questo motivo, l’approvazione manuale è una buona scelta solo per i siti con un numero di registrazioni limitato.
Puoi scegliere questo metodo anche se la registrazione è limitata a pochi membri. Ad esempio, se gestisci un portale della tua compagnia per soli dipendenti, potrebbe avere senso esaminare manualmente ogni registrazione.
Se hai valutato i pro e i contro e deciso che l’approvazione manuale è il modo giusto per gestire le registrazioni utente, puoi aggiungere questa funzionalità con il plugin New User Approve.
Il plugin è già pronto per l’uso, senza il bisogno di configurare niente. Una volta attivato, il pugin aggiunge una notifica di approvazione degli amministratori al tuo modulo di registrazione.
Ogni volta che gli utenti completano il modulo, riceverai una notifica via e-mail. Puoi esaminare la registrazione andando su Approva nuovi utenti → Nuovi utenti in sospeso.
5. Aggiungi un CAPTCHA
Un CAPTCHA è un puzzle che i visitatori devono risolvere per registrarsi al tuo sito. Può essere un modo semplice per differenziare tra registrazioni genuine e spam.
I CAPTCHA possono essere efficaci, ma non sono particolarmente popolari tra gli utenti. Secondo alcune ricerche, i CAPTCHA possono ridurre i tassi di conversione fino al 40 percento.
Se aggiungi un CAPTCHA alla tua pagina di registrazione, assicurati che sia facile da risolvere. Assicurati che il processo di registrazione sia il più indolore possibile, anche con un CAPTCHA.
Gli utenti con problemi alla vista potrebbero trovare più difficile completare alcuni CAPTCHA. In particolare, ti consigliamo di evitare puzzle basati su immagini e scegliere quelli basati sui testi.
Se usi il plugin Contact Form 7 per il tuo modulo di registrazione, puoi aggiungere un CAPTCHA con il plugin Really Simple CAPTCHA.
Puoi anche aggiungere un CAPTCHA semplice basato su testo al modulo di accesso usando Simple Login Captcha. Potrebbe non impedire agli spammer di registrarsi sul tuo sito, ma impedisce ai bot e agli script automatizzati di accedere ai loro nuovi account. Simple Login Captcha può ridurre al minimo i danni degli spammer sul tuo sito.
6. Scegli il reCAPTCHA di Google
Il CAPTCHA non è l’unica opzione per eliminare i bot. Nel 2014, Google ha rilasciato No CAPTCHA reCAPTCHA, che richiede ai visitatori solo di fare clic nella casella Non sono un robot.
Questo è molto più veloce e facile rispetto ai puzzle basati sulle immagini dei CAPTCHA. È anche accessibile a un numero maggiore di utenti, in particolare a persone con problemi di vista che potrebbero accedere al tuo sito usando uno screen reader.
È importante sapere che il reCAPTCHA di Google ha generato preoccupazioni relative alla privacy. In particolare, alcuni ricercatori hanno teorizzato che Google usi i cookie per determinare se sei un umano o un bot.
Puoi aggiungere un reCAPTCHA al tuo sito utilizzando un plugin come reCaptcha by BestWebSoft. Questo plugin ha funzionalità aggiuntive che possono rendere l’autenticazione reCAPTCHA meno invasiva, come ad esempio la possibilità di nascondere il campo reCAPTCHA per gli indirizzi IP in whitelist.
Dopo aver installato e attivato questo plugin, vai su reCaptcha → Impostazioni. Nella sezione Generale, puoi scegliere quale versione di reCaptcha usare:
La versione 2 richiede ai visitatori solo di fare clic su una casella. Google determina se sei un bot utilizzando un’analisi avanzata del pericolo.
Con la versione 3, puoi scegliere se utilizzare una casella di controllo o un CAPTCHA invisibile, che distingue tra utenti legittimi e bot eseguendo uno script dietro le quinte. Poiché i visitatori non devono selezionare manualmente una casella di controllo, questo metodo ti permette di proteggere il tuo sito dagli spammer senza influire sull’esperienza degli utenti.
L’opzione finale è quella “Invisibile”. Come suggerisce il nome, l’impostazione valuta i visitatori eseguendo uno script poco invasivo. Anche in questo caso, riduce al minimo le registrazioni spam senza aggiungere attrito all’esperienza di registrazione. Una volta scelta la versione che preferisci, devi generare una chiave del sito e una chiave segreta, seguire le istruzioni di Google e configurare il tuo reCAPTCHA.
7. Utilizza un plugin di geolocalizzazione
Alcuni siti hanno un forte legame con determinate località. Questo è particolarmente vero per negozi online che spediscono solo in determinati Paesi e siti che trattano notizie locali. In casi simili, è improbabile che persone al di fuori di queste località abbiano bisogno di registrarsi.
In casi come questi, potrebbe essere una buona idea rilevare la località dei tuoi visitatori utilizzando un plugin di geolocalizzazione. In base alla località, puoi permettere o meno l’accesso al modulo di registrazione di WordPress.
Questo può ridurre al minimo le registrazioni spam sul tuo sito WordPress. Ma potrebbe anche impedire a utenti legittimi di registrarsi. Qualcuno potrebbe voler creare un account da una località diversa. Per esempio, qualcuno potrebbe provare a registrarsi sul tuo negozio online con sede in Europa mentre è in vacanza negli Stati Uniti.
Prima di abilitare la geolocalizzazione, è una buona idea esaminare il tuo traffico con uno strumento come Google Analytics. Valutando da dove provengono i tuoi visitatori, puoi identificare aree che potresti bloccare senza perdere conversioni.
Puoi limitare l’accesso alla tua pagina di registrazione utilizzando il plugin IP2Location Redirection. A differenza di altri plugin di geolocalizzazione, IP2Location ti permette di reindirizzare i visitatori a una pagina alternativa in base alla loro posizione.
Questo migliora l’esperienza per eventuali visitatori legittimi che potrebbero tentare di registrarsi da un Paese bloccato. Una volta attivato il plugin, seleziona Redirection nel menu a sinistra. Registrati per generare una chiave di scaricamento. Una volta inserita la chiave nella bacheca di WordPress, vai su Redirection → Rules.
Nel campo From, puoi bloccare l’accesso alla tua pagina di registrazione o al tuo intero sito. Puoi specificare tutte le località da bloccare.
Proteggi i tuoi moduli di registrazione dagli utenti falsi
Molti siti utilizzano le registrazioni per monetizzare i loro contenuti, generare lead e creare rapporti con i visitatori. Ma non ci sono solo vantaggi! Le registrazioni utente spam su WordPress possono inondare il tuo database di spazzatura e persino mettere a rischio il tuo sito.
Anche se puoi disabilitare le registrazioni utente, questa non è la scelta migliore per tutti i siti. Fortunatamente, molti plugin ti permettono di offrire questa funzionalità senza rischi. Alcuni esempi includono la verifica dell’e-mail tramite il plugin User Verification e l’aggiunta di un CAPTCHA visibile o invisibile con reCaptcha by BestWebSoft.
Akismet 