Le spam sur formulaires WordPress est rarement un « petit souci ». Il fait perdre du temps, pollue les boîtes e-mail, et masque parfois de vraies demandes. Une protection efficace doit faire deux choses en même temps : bloquer les robots, sans compliquer la vie des personnes réelles. Cette approche est valable partout en Suisse romande, que vos clients écrivent depuis Lausanne et Yverdon-les-Bains (Vaud), Genève et Meyrin (Genève), Fribourg et Bulle (Fribourg), Sion et Martigny (Valais), Neuchâtel et Le Locle (Neuchâtel), Delémont et Porrentruy (Jura).
Sources officielles : Google reCAPTCHA, Guide développeur reCAPTCHA (v2, v3, Enterprise), FAQ reCAPTCHA (différences v2/v3), Cloudflare Turnstile (docs), Cloudflare Turnstile (présentation), Akismet (plugin officiel WordPress.org).
1) Les 3 couches utiles (simple et robuste)
- Couche 1 : validation serveur (indispensable). Le formulaire doit refuser les envois incomplets, incohérents, ou manifestement automatisés.
- Couche 2 : challenge anti-bot (reCAPTCHA ou Turnstile) pour filtrer avant l’envoi, avec un minimum de friction.
- Couche 3 : filtrage anti-spam (ex. Akismet) pour analyser le contenu et bloquer ce qui ressemble à du spam même si le robot a « passé » la couche 2.
En pratique, la couche 1 évite beaucoup de bruit. Les couches 2 et 3 réduisent les attaques automatisées et les vagues de spam qui ciblent des formulaires publics.
2) reCAPTCHA : v2, v3, Enterprise, comment choisir
Google reCAPTCHA protège un site du spam et des abus en s’appuyant sur des techniques d’analyse de risque. Plusieurs options existent, notamment v2, v3 et reCAPTCHA Enterprise. Le choix dépend surtout du niveau de friction acceptable et du type d’attaque rencontrée.
- v2 : expérience plus visible, souvent plus compréhensible quand un défi apparaît.
- v3 : approche basée sur un score de risque, souvent plus fluide, mais peut demander des réglages (seuils) pour éviter des faux positifs.
- Enterprise : davantage orienté environnements et besoins avancés (selon votre contexte).
Point important : si des utilisateurs légitimes sont bloqués, la cause vient fréquemment du niveau de sévérité (score/threshold) ou d’un signal de risque. Dans ce cas, mieux vaut ajuster et tester sur mobile, plutôt que durcir encore.
3) Cloudflare Turnstile : alternative centrée sur l’expérience
Cloudflare Turnstile est présenté comme une alternative aux CAPTCHA classiques, avec l’idée de confirmer qu’un visiteur est humain sans lui imposer de puzzles. Cloudflare indique aussi un positionnement orienté confidentialité (notamment sur l’absence de collecte pour le reciblage publicitaire), ce qui peut être un critère selon votre contexte.
Turnstile peut être un bon choix quand l’objectif prioritaire est de réduire la friction sur mobile, tout en bloquant une grande part des robots.
4) Akismet : utile en complément, surtout si le spam ressemble à du contenu « humain »
Akismet vérifie les commentaires et soumissions de formulaires de contact via une base globale de spam, afin de bloquer des contenus indésirables. Cela devient particulièrement utile quand le spam passe les challenges (ou quand le spam est semi-manuel).
- Avantage : filtrage de contenu, même si l’attaquant adapte ses méthodes.
- Limite : il reste préférable de garder une couche anti-bot en amont pour réduire la charge.
5) Stratégie recommandée (PME Suisse romande)
- Volume faible à moyen : Turnstile ou reCAPTCHA + validation serveur (et Akismet si spam persistant).
- Vagues de spam : activer le challenge sur tous les formulaires publics + ajouter Akismet + durcir la validation (longueur minimale, champs requis, contrôle e-mail).
- Boutique WooCommerce : protéger aussi la création de compte, la page contact, et toute entrée publique (formulaires, commentaires si activés).
Checklist (20 minutes) avant de valider
- Tester sur mobile : envoi formulaire, message de confirmation, réception e-mail.
- Tester en navigation privée : vérifier que le challenge apparaît si nécessaire.
- Simuler 3 envois « suspects » (liens, répétitions, texte court) : vérifier que le filtrage réagit.
- Vérifier que la page Contact reste rapide et simple (pas d’étapes inutiles).
- Mettre un suivi : nombre de spams bloqués par semaine, et taux de faux positifs (si un lead légitime a été bloqué).
FAQ Anti-spam WordPress (Suisse romande)
reCAPTCHA v2 ou v3 : lequel est le plus adapté à un site vitrine ?
v3 est souvent plus fluide, car il évite des défis visibles, mais il demande parfois d’ajuster les seuils pour limiter les faux positifs. v2 est plus explicite quand un défi se déclenche. Le choix dépend de votre tolérance à la friction et du niveau d’attaque.
Turnstile est-il compatible avec un site WordPress sans Cloudflare ?
Cloudflare indique que Turnstile peut être intégré sur un site sans faire passer le trafic par Cloudflare. L’intégration se fait au niveau du site, via la configuration du formulaire ou un module adapté.
Akismet suffit-il à lui seul contre le spam de formulaires ?
Akismet est utile pour analyser le contenu et bloquer du spam « bien rédigé », mais un challenge anti-bot en amont réduit fortement la quantité de soumissions indésirables. La combinaison est souvent plus efficace.
Comment éviter de perdre des demandes légitimes à Genève, Fribourg ou en Valais ?
Tester sur mobile, éviter une protection trop agressive, et surveiller les faux positifs. Une protection trop stricte peut coûter plus cher que le spam qu’elle bloque.
Besoin d’un anti-spam propre, sans dégrader la conversion ?
Pour protéger vos formulaires WordPress, choisir entre reCAPTCHA et Turnstile, compléter avec Akismet si nécessaire, puis valider les tests mobile sur l’ensemble des cantons romands, contactez clickclick.ch.
