Le spam sur WordPress n’est pas qu’un désagrément. Il fait perdre du temps, pollue les statistiques, dégrade la qualité des leads et peut parfois servir de porte d’entrée à des attaques plus larges. Une protection efficace repose sur une logique simple : réduire la surface (commentaires et formulaires), filtrer automatiquement, puis ajouter une vérification légère si nécessaire.
La méthode ci-dessous s’applique autant à une PME basée à Morges et Yverdon-les-Bains (Vaud), Carouge et Meyrin (Genève), Bulle (Fribourg), Sion et Martigny (Valais), Neuchâtel et La Chaux-de-Fonds (Neuchâtel), Delémont et Porrentruy (Jura).
1) La stratégie en 3 couches (simple et robuste)
- Couche 1 : réduire ce qui peut être spammé (désactiver les commentaires si inutile, limiter les champs, éviter les formulaires dupliqués).
- Couche 2 : filtrer automatiquement (ex. Akismet pour commentaires et, selon votre intégration, certains formulaires).
- Couche 3 : vérifier en cas de trafic automatisé (reCAPTCHA ou Turnstile sur les formulaires sensibles).
Objectif : protéger le site sans transformer chaque demande en parcours pénible, surtout sur mobile.
2) Commentaires WordPress : régler avant d’ajouter des outils
Si les commentaires ne servent pas votre activité, la meilleure protection reste de les désactiver sur le blog. S’ils sont utiles, la modération et quelques réglages bloquent déjà une grande partie du bruit.
- Activer la modération et vérifier régulièrement la file « Spam ».
- Limiter le nombre de liens autorisés dans un commentaire.
- Bloquer certains mots-clés ou patterns répétitifs via les réglages de commentaires.
Documentation WordPress : Modération des commentaires et Comprendre le spam de commentaires.
3) Formulaires : choisir entre Akismet, reCAPTCHA et Turnstile
Trois options reviennent souvent, selon le niveau de spam et vos contraintes :
- Akismet : très utile pour filtrer le spam (historiquement sur les commentaires, et parfois sur des formulaires selon l’implémentation). Documentation développeurs Akismet
- reCAPTCHA : Google propose v2 (widget) et v3 (score), ainsi que reCAPTCHA Enterprise. Guide reCAPTCHA
- Cloudflare Turnstile : alternative CAPTCHA, conçue pour limiter la friction utilisateur. Documentation Turnstile
Repère pratique (PME) :
- Spam faible : réglages WordPress + filtrage (Akismet) + un honeypot côté formulaire.
- Spam moyen : ajouter Turnstile ou reCAPTCHA sur le formulaire principal (Contact, Devis, Rendez-vous).
- Spam élevé : protéger plusieurs formulaires, ajouter une logique de seuil (v3 score ou règles), et vérifier les logs.
4) Mise en place rapide (30 minutes)
Étape A : sécuriser le formulaire principal
- Garder peu de champs (nom, e-mail, message) et supprimer les doublons (footer + page + pop-up).
- Ajouter une phrase claire sur le traitement (lien vers Confidentialité).
- Activer un honeypot si votre outil le propose.
Étape B : ajouter une vérification (Turnstile ou reCAPTCHA)
Turnstile : démarrer avec le guide officiel, créer un widget, puis intégrer le code côté page. Guide de démarrage Turnstile
reCAPTCHA : choisir la version (v2 ou v3) selon votre besoin, puis intégrer selon la documentation. Choisir la version reCAPTCHA
Étape C : tester comme un utilisateur (mobile inclus)
- Test sur mobile : le formulaire reste lisible et rapide, le challenge ne bloque pas le parcours.
- Test d’envoi : message reçu côté admin, accusé réception si activé.
- Test d’erreur : champs manquants, e-mail invalide, comportement clair.
5) Bonnes pratiques qui évitent 80% des soucis
- Limiter l’accès aux formulaires sensibles (pas de formulaire « devis » sur 20 pages identiques).
- Ne pas afficher publiquement des adresses e-mail en clair (préférer un formulaire).
- Garder WordPress, thèmes et plugins à jour (le spam exploite souvent des composants obsolètes).
- Sur WooCommerce : protéger les pages de création de compte et les formulaires de reset si le site est ciblé.
FAQ Anti-spam WordPress (Suisse romande)
Quel est le meilleur anti-spam pour un formulaire WordPress à Lausanne, Genève ou en Valais ?
Commencer par une approche simple : honeypot + filtrage, puis ajouter Turnstile ou reCAPTCHA si le spam persiste. Le bon choix dépend du niveau d’attaque et de la friction acceptée sur mobile.
reCAPTCHA v2 ou v3 : que choisir ?
v2 affiche un widget, v3 retourne un score et permet d’adapter l’action (bloquer, modérer, laisser passer). La comparaison officielle aide à trancher selon votre besoin.
Cloudflare Turnstile remplace-t-il un CAPTCHA classique ?
Turnstile est présenté comme une alternative aux CAPTCHA traditionnels et vise à réduire la friction. Il se configure via des clés (sitekey/secret) et s’intègre au formulaire selon la documentation Cloudflare.
Pourquoi du spam passe quand même ?
Aucune solution n’est parfaite. Un réglage trop permissif (v3 score trop bas), un formulaire dupliqué oublié, ou un plugin obsolète peuvent laisser passer du trafic. Une revue mensuelle des logs et des réglages règle souvent le problème.
Besoin de protéger vos formulaires sans dégrader la conversion ?
Pour cadrer une stratégie anti-spam, intégrer Turnstile ou reCAPTCHA, sécuriser les commentaires et stabiliser l’expérience mobile, contactez clickclick.ch.
