Comment arrêter les robots de soumettre vos formulaires (9 méthodes)

Vous vous êtes réveillé avec 300 soumissions de formulaires de spam pendant la nuit ? Les bots inondent vos formulaires de contact avec des entrées indésirables, de fausses adresses e-mail et des liens malveillants.

Vous perdez des heures à supprimer du spam au lieu de répondre à de vrais clients, et votre boîte de réception est encombrée de notifications inutiles.

Les attaques de bots peuvent faire planter votre serveur en traitant des milliers de soumissions frauduleuses, remplir votre base de données de données inutiles qui ralentissent votre site, et même propager des logiciels malveillants via des liens malveillants dans les champs de formulaire.

Sans protection, une seule attaque de bots peut mettre vos formulaires hors ligne et nuire à la réputation de votre entreprise. Ce guide vous présente 7 méthodes éprouvées pour empêcher les bots de soumettre vos formulaires.

Créez des formulaires WordPress sans spam dès maintenant ! :)

Pourquoi les bots remplissent-ils les formulaires de contact ?

Les bots ne spamment pas vos formulaires au hasard. Ils sont programmés avec des objectifs malveillants spécifiques qui profitent aux attaquants qui les exécutent. Comprendre pourquoi les bots ciblent vos formulaires vous aide à choisir les bonnes méthodes de protection.

• Distribution de liens de phishing : Les bots remplissent les champs de formulaire avec des liens malveillants qui mènent à de faux sites Web conçus pour voler des mots de passe ou des informations de carte de crédit.
• Manipulation du référencement : Les spammeurs utilisent des bots pour soumettre des liens vers leurs sites Web via vos formulaires, dans l'espoir que vous publiiez du contenu soumis par des utilisateurs contenant leurs backlinks.
• Attaques par surcharge de base de données : Des bots agressifs soumettent des milliers d'entrées falsifiées en quelques heures, remplissant votre base de données WordPress de données inutiles. Cela ralentit l'ensemble de votre site Web.
• Collecte d'adresses e-mail : Les bots analysent les sites Web à la recherche de formulaires, puis soumettent de fausses données tout en récupérant vos adresses e-mail de notification. Ces e-mails collectés sont ajoutés à des listes de spam.

Comment empêcher les bots de soumettre vos formulaires

Dans cet article, j'utiliserai WPForms pour vous montrer différentes façons d'empêcher les bots de soumettre vos formulaires. Pour de meilleurs résultats, utilisez 2 ou 3 de ces méthodes ensemble pour créer une protection multicouche qui bloque les bots sans frustrer les vrais utilisateurs.

1. Protection anti-spam Akismet

Akismet est l'outil de filtrage de spam le plus utilisé pour WordPress. Il bloque non seulement le spam des commentaires, mais s'intègre également très bien avec les meilleurs plugins de création de formulaires.

Toutes les versions de WPForms (y compris Lite) sont livrées avec une intégration Akismet native qui aide à filtrer les bots. Vous pouvez trouver ce paramètre dans les paramètres Protection anti-spam et sécurité.

Notez que vous devrez avoir Akismet déjà configuré et connecté à votre site avant que cette option ne vous soit visible.

Akismet utilise ses vastes bases de données d'entrées de spam connues pour filtrer le spam lorsqu'il est saisi dans vos formulaires. Il peut également analyser le comportement des utilisateurs pour distinguer les bots des vrais utilisateurs humains.

Pour plus d'informations, consultez comment utiliser Akismet pour prévenir le spam des formulaires de contact.

2. Protection anti-spam moderne

La protection anti-spam est intégrée à WPForms. Vous pouvez l'activer ou la désactiver pour des formulaires spécifiques dans les paramètres de protection anti-spam et de sécurité du formulaire.

Le meilleur, c'est qu'elle fonctionne en arrière-plan, vous n'avez rien à y penser. WPForms s'en charge. Avec ce paramètre activé, si un robot tente de passer les filtres anti-spam, le formulaire ne sera tout simplement pas soumis et sera bloqué instantanément.

Je recommande d'associer la protection anti-spam moderne à une autre de nos mesures anti-spam afin d'avoir une double couche de protection et de ne pas avoir à passer votre temps à vous soucier des robots.

3. Filtres par pays et par mots-clés

Le spam de robots suit souvent certains modèles. Si vous recevez beaucoup de soumissions de spam dans vos formulaires, vous remarquerez peut-être qu'elles proviennent d'un certain pays ou incluent des mots ou des phrases spécifiques.

Vous pouvez bloquer les soumissions de formulaires qui incluent ces éléments suspects à l'aide des filtres de pays et de mots-clés de WPForms. Pour les filtres de mots-clés, commencez par des phrases de spam évidentes comme « cliquez ici », « achetez maintenant », ou des termes pharmaceutiques courants.

Ne bloquez que les pays qui envoient 100 % de spam sans aucune soumission légitime. Un blocage de pays trop agressif peut empêcher de vrais clients internationaux de vous contacter.

Vous pouvez également créer une liste blanche ou une liste noire d'e-mails pour empêcher les soumissions provenant de faux e-mails ou de vrais e-mails d'être transmises. Si cette méthode est efficace, vous voudrez peut-être bloquer les visiteurs de votre site en fonction de leur adresse IP.

Consultez notre liste des meilleurs plugins de sécurité pour découvrir comment cela fonctionne.

4. Cloudflare Turnstile

Cloudflare Turnstile est un service axé sur la confidentialité, similaire à un CAPTCHA. Vous pouvez vous inscrire à un compte Cloudflare et l'utiliser gratuitement, c'est donc un excellent moyen d'arrêter les spammeurs dans leur élan.

Pour le configurer, vous devrez d'abord vous connecter à votre compte Cloudflare ou en créer un nouveau.

Accéder aux clés de site et secrètes de Cloudflare Turnstile

Une fois votre compte configuré, accédez à votre tableau de bord et trouvez la page Turnstile. Ici, vous devrez ajouter votre site.

Entrez les informations de votre site Web sur l'écran suivant. Choisissez ensuite votre type de widget. Cela déterminera comment Cloudflare traite vos demandes CAPTCHA.

Cliquez ensuite sur Créer.

Vos clés de site et secrètes Cloudflare Turnstile seront générées.

Activer Cloudflare Turnstile dans WPForms

Dans votre tableau de bord WordPress, accédez à WPForms » Paramètres » CAPTCHA et sélectionnez l'option Turnstile.

Entrez vos clés de site et secrètes dans les champs prévus à cet effet.

Il existe d'autres options que vous pouvez également configurer. Consultez notre guide sur la configuration de Cloudflare Turnstile pour plus de détails.

Si vous utilisez WPForms Lite, vous pouvez passer à n'importe quel plan Pro pour accéder à cette fonctionnalité. Nous devons maintenant configurer la question. Pour ce faire, cliquez sur le champ Captcha personnalisé, puis sur l'onglet Avancé.

Ajouter Cloudflare Turnstile à un formulaire

Ouvrez votre formulaire dans le générateur de formulaires et cliquez sur l'onglet Paramètres sur le côté gauche de l'écran. Sélectionnez ensuite les paramètres Protection contre le spam et sécurité .

Sous CAPTCHA, activez Activer Cloudflare Turnstile.

Ou si vous préférez, vous pouvez ajouter un champ Turnstile à votre formulaire à la place.

Lorsque Turnstile est activé, votre formulaire affichera un badge indiquant qu'il est protégé.

Et voilà ! Désormais, les données de votre formulaire passeront par le système anti-spam de Cloudflare avant que le formulaire ne puisse être soumis.

5. CAPTCHA mathématique ou Q&R

WPForms offre une option Captcha personnalisé aux utilisateurs Pro, qui vous permet de définir des questions mathématiques personnalisées pour filtrer les utilisateurs humains des robots. Vous pouvez également utiliser cette option pour créer une question et une réponse qu'un humain seul pourrait résoudre.

Malgré sa simplicité, c'est l'un des moyens les plus efficaces pour empêcher les robots de soumettre vos formulaires. C'est également idéal si vous préférez ne pas utiliser de fournisseurs tiers.

Ouvrez le formulaire que les robots soumettent. Tant que vous êtes un utilisateur Pro, vous trouverez le champ Captcha personnalisé dans la section Champs fantaisistes. Faites glisser et déposez le champ sur votre formulaire.

Si vous utilisez WPForms Lite, vous pouvez passer à n’importe quel plan Pro pour accéder à cette fonctionnalité. Nous devons maintenant configurer la question. Pour ce faire, cliquez sur le champ Captcha personnalisé, puis sur l’onglet Avancé.

Faites défiler jusqu'à la section intitulée Type et cliquez sur le champ où il est indiqué Math. Vous pouvez le changer en question si vous préférez.

Enregistrez le formulaire et vous verrez qu'il contient maintenant une question. Les robots ne pourront pas la résoudre sans aide humaine !

Cette méthode n'arrête cependant pas les spammeurs humains déterminés. Pour cela, reCAPTCHA peut aider.

6. Google reCAPTCHA

Google reCAPTCHA est l'outil de référence pour combattre le spam des formulaires pour des millions de sites Web. Voici comment le configurer :

Créer un compte reCAPTCHA

Pour utiliser reCAPTCHA dans WordPress, nous devrons créer un compte reCAPTCHA et obtenir une clé secrète et une clé de site pour votre site Web.

Pour commencer, connectez-vous à la console d'administration reCAPTCHA pour enregistrer un nouveau site et obtenir ces clés. Tout d'abord, vous devrez entrer une Étiquette. Il s'agit de votre nom de domaine.

Ensuite, vous devrez choisir un type de reCAPTCHA.

Google utilise diverses méthodes pour détecter les vraies personnes en fonction de leur comportement :

• reCAPTCHA v3 peut évaluer le comportement des utilisateurs et filtrer l'activité des bots sans que votre visiteur ait à faire quoi que ce soit.
• reCAPTCHA v2 présente un défi à l'utilisateur, comme une case à cocher.

Une fois que vous avez décidé quelle version utiliser, cochez la case à côté.

Pour ce guide, nous utiliserons le reCAPTCHA v2 invisible. Ce type de reCAPTCHA offre un bon équilibre entre la prévention du spam et une bonne expérience utilisateur.

Ensuite, entrez le nom de domaine où vous utiliserez les clés reCAPTCHA. Vous pouvez entrer plusieurs sites ici. Vous devrez également accepter les conditions d'utilisation de reCAPTCHA. Une fois que vous avez terminé, cliquez sur Soumettre.

Et vous aurez enregistré un nouveau site ! Vous verrez maintenant votre clé de site et votre clé secrète. Prenez-les et retournons dans le tableau de bord d'administration de WordPress.

Maintenant, allons dans WPForms » Paramètres » CAPTCHA. Vous verrez que vous aurez le choix entre hCaptcha, reCAPTCHA ou aucun. Choisissez reCAPTCHA pour continuer la configuration.

Comme nous l'avons mentionné, il existe différentes versions de reCAPTCHA parmi lesquelles choisir. Nous avons obtenu une clé de site pour le reCAPTCHA invisible, c'est donc ce que nous choisirons dans les paramètres de WPForms.

Ensuite, entrez votre clé de site et votre clé secrète, et n'oubliez pas de sauvegarder ces paramètres. Ce sera tout pour cette étape. Dans la prochaine étape, nous ajouterons un champ reCAPTCHA à notre formulaire.

Ajouter reCAPTCHA à un formulaire

Si vous avez essayé la méthode précédente, vous aurez déjà un formulaire prêt à l'emploi. Pour le trouver, cliquez sur WPForms » Tous les formulaires pour accéder à la page Aperçu des formulaires.

Cliquez sur le nom du formulaire pour l'ouvrir dans le constructeur de formulaires. Si le formulaire contenait déjà un champ Captcha personnalisé WPForms, vous voudrez le supprimer pour faire place au champ reCAPTCHA.

Cliquez sur le formulaire pour l'ouvrir dans le constructeur de formulaires. Nous irons ensuite dans la section des champs standard du constructeur de formulaires et cliquerons sur le champ reCAPTCHA pour l'activer.

Et c'est tout. Dans le constructeur de formulaires, vous verrez maintenant que reCAPTCHA a été activé.

N'oubliez pas que nous avons choisi le CAPTCHA invisible, alors ne vous attendez pas à voir le champ CAPTCHA sur le frontend, jusqu'à ce qu'il soit déclenché par un comportement suspect.

Et ce sera tout pour l'ajout de reCAPTCHA à un formulaire WordPress. Si vous souhaitez utiliser un fournisseur anti-spam plus axé sur la confidentialité, nous avons une dernière option que vous pouvez essayer.

7. hCaptcha

hCaptcha est une alternative populaire à Google reCAPTCHA. Contrairement à reCAPTCHA, il n’existe qu’une seule version d’hCaptcha, mais vous pouvez ajuster les niveaux de difficulté des défis d’images à afficher aux utilisateurs.

Pour utiliser hCaptcha sur vos formulaires WordPress, vous aurez d’abord besoin d’un compte hCaptcha. Voici comment en créer un :

Créer un compte hCaptcha

Pour commencer, accédez au site Web hCaptcha et cliquez sur S’inscrire.

Une gamme de plans vous sera proposée. Nous vous recommandons de choisir le plan gratuit pour les entreprises ou les sites Web. Ce plan est intitulé Ajouter hCaptcha pour les éditeurs à mon site Web ou mon application.

L’étape suivante consiste à obtenir votre clé de site et votre clé secrète hCaptcha.

Obtenir votre clé de site et votre clé secrète hCaptcha

hCaptcha les générera pour vous. Il vous suffit de les récupérer et de les saisir correctement dans les paramètres de WPForms.

Mais d’abord, quelques étapes sont nécessaires pour configurer votre clé de site. Dans le tableau de bord d’administration hCaptcha, cliquez sur Sites. Vous verrez votre clé de site sur la nouvelle page.

Cliquez sur Paramètres. La principale chose à faire ici est d’ajouter le nom de votre domaine à la clé de site.

Dans la section intitulée Noms d’hôtes, collez le nom de votre domaine (encore une fois, n’ajoutez pas https://www.), puis cliquez sur Ajouter un nouveau domaine.

Il existe quelques autres paramètres à ajuster, tels que le niveau de difficulté, mais aucun d’entre eux n’est essentiel.

Pour plus de détails, consultez notre guide complet sur la configuration d’hCaptcha dans WordPress.

Maintenant, retournons dans WordPress pour configurer WPForms avec votre clé de site et votre clé secrète hCaptcha.

Configurer WPForms et hCaptcha

De retour dans le tableau de bord WordPress, cliquez sur WPForms dans la barre latérale gauche, puis sur Paramètres » CAPTCHA.

Nous y sommes déjà allés lorsque nous avons configuré reCAPTCHA. Cette fois, nous choisirons hCaptcha.

Entrez votre clé de site et votre clé secrète, puis enregistrez ces paramètres.

hCaptcha sera maintenant prêt à être utilisé avec vos formulaires WPForms. Ensuite, nous vous montrerons comment ajouter un champ hCaptcha à un formulaire.

Ajouter un champ hCaptcha à votre formulaire

De retour dans le constructeur de formulaires, recherchez le champ hCaptcha dans la section Champs standard. Comme précédemment, nous allons d’abord supprimer tout autre type de CAPTCHA que nous avons ajouté à notre formulaire.

Pour désactiver reCAPTCHA, cliquez simplement sur le champ reCAPTCHA dans le constructeur de formulaires, comme vous l’avez fait pour l’activer. Il en va de même pour hCaptcha. Allez-y et activez le champ hCaptcha en cliquant dessus.

Vous ne verrez pas de champ hCaptcha apparaître sur votre formulaire, mais vous devriez voir une notification dans le coin supérieur droit du constructeur de formulaires, indiquant qu’hCaptcha a été activé.

Vous pouvez maintenant intégrer votre formulaire sur une page de votre site Web en suivant les instructions que nous avons partagées précédemment. Voici à quoi ressemble votre formulaire activé pour hCaptcha sur le frontend :

8. Limitez les soumissions de formulaires avec Form Locker

Parfois, le moyen le plus rapide de stopper un flot de bots est de limiter le nombre de fois qu'un formulaire peut être soumis, ou qui est autorisé à le soumettre. Le module complémentaire Form Locker vous donne ce contrôle, et il est disponible dans n'importe quel plan WPForms Pro.

Pour l'utiliser, installez et activez Form Locker depuis WPForms » Modules complémentaires. Ensuite, ouvrez le formulaire que vous souhaitez protéger, allez dans Paramètres » Form Locker, et vous trouverez quelques options qui fonctionnent bien contre les bots.

• Limite d'entrées : Définissez un nombre maximum de soumissions, et le formulaire cesse d'accepter de nouvelles entrées une fois ce nombre atteint. Cela limite les dégâts si un bot essaie de vider des milliers d'entrées pendant la nuit.
• Connexion requise : N'autorisez que les utilisateurs connectés à soumettre le formulaire. Les bots automatisés ne peuvent pas passer un écran de connexion, cela bloque donc complètement le spam anonyme.
• Planification : Définissez une date de début et de fin afin que le formulaire n'accepte les entrées que pendant une période que vous choisissez. Un formulaire fermé ne peut pas être spammé.

9. Ajoutez plusieurs étapes à votre formulaire

La plupart des bots de spam sont conçus pour trouver un formulaire, remplir tous les champs et le soumettre en une seule passe rapide. Diviser votre formulaire en plusieurs pages perturbe ce processus.

Un bot qui s'attend à une seule page s'arrête souvent lorsqu'il doit cliquer sur un bouton Suivant et passer à un deuxième écran pour terminer. WPForms facilite cela avec les formulaires multipages.

Dans le constructeur de formulaire, faites glisser le champ Saut de page sur votre formulaire où vous souhaitez le diviser. WPForms le transforme en un formulaire en plusieurs étapes avec une barre de progression en haut, afin que les vrais visiteurs sachent toujours où ils en sont.

Cela n'arrêtera pas un bot déterminé qui est conçu pour gérer des flux en plusieurs étapes, alors considérez-le comme une couche de soutien plutôt que comme votre seule défense.

J'aime le fait que les formulaires en plusieurs étapes semblent moins écrasants pour les personnes réelles qui les remplissent, ce qui peut également augmenter vos taux de complétion.

FAQ sur la façon d'empêcher les bots de soumettre vos formulaires

Le spam de formulaire et les soumissions de bots perturbent de nombreux propriétaires de sites WordPress. Voici les réponses aux questions les plus courantes sur la façon d'empêcher les bots de soumettre vos formulaires.

Le CAPTCHA arrête-t-il les bots ?

Oui, les CAPTCHA peuvent aider à arrêter les bots. Google reCAPTCHA est l'une des méthodes CAPTCHA les plus efficaces. Mais vous devrez peut-être utiliser une alternative CAPTCHA si vous constatez que les bots contournent vos règles CAPTCHA.

Comment puis-je empêcher les bots de soumettre mes formulaires ?

Commencez par la protection anti-spam moderne de WPForms et Akismet (toutes deux invisibles pour les utilisateurs), puis ajoutez Cloudflare Turnstile ou reCAPTCHA v3 si le spam persiste.

Cette combinaison arrête plus de 95 % des bots sans ajouter de friction pour les vrais utilisateurs. Évitez de vous fier à une seule méthode de protection, car des bots sophistiqués peuvent contourner les défenses individuelles.

Comment puis-je empêcher les bots de remplir les formulaires sans utiliser de CAPTCHA ?

Utilisez les méthodes de protection invisibles de WPForms : activez la protection anti-spam moderne, intégrez Akismet pour le filtrage du spam basé sur l'IA, ajoutez des filtres de mots-clés pour bloquer les phrases de spam courantes, activez le filtrage par pays pour bloquer les régions de spam connues, définissez un temps minimum de soumission (les bots remplissent les formulaires en quelques secondes) et utilisez des listes blanches/noires d'e-mails.

Pourquoi les bots remplissent-ils les formulaires de contact ?

Les bots ciblent les formulaires pour distribuer des liens de phishing, collecter des adresses e-mail pour des listes de spam, manipuler les classements SEO par le biais de spam de backlinks et surcharger les bases de données avec de fausses soumissions qui ralentissent ou font planter les sites web.

Les bots automatisés scannent Internet à la recherche de formulaires non protégés et soumettent du spam 24h/24 et 7j/7. Sans protection, un seul formulaire non protégé peut recevoir des centaines de soumissions de bots chaque jour.

Comment bloquer les bots de spam sur mon site WordPress ?

Pour une protection des bots sur l'ensemble du site, utilisez un plugin de sécurité comme Wordfence ou Sucuri pour bloquer les adresses IP malveillantes et le trafic des bots. Pour une protection spécifique aux formulaires, utilisez WPForms avec Akismet, la protection anti-spam moderne et un CAPTCHA.

Combinez la protection des formulaires avec la sécurité au niveau du site pour une défense complète. De nombreux bots sondent plusieurs points d'entrée, donc protéger uniquement les formulaires n'est pas suffisant pour les sites de grande valeur.

Qu'est-ce que le honeypot de WPForms et comment fonctionne-t-il ?

Le honeypot de WPForms est un piège à spam invisible intégré à la fonctionnalité de protection anti-spam moderne. Il ajoute des champs cachés que les vrais humains ne voient ni ne remplissent jamais, mais que les bots complètent automatiquement.

Lorsqu'une soumission inclut des données dans les champs du honeypot, WPForms la bloque instantanément comme spam. La protection honeypot ne nécessite aucune interaction de l'utilisateur et arrête efficacement les bots basiques.

Pourquoi mon formulaire reçoit-il toujours du spam même avec le CAPTCHA activé ?

Certains spams proviennent de vrais humains (pas de bots) engagés pour contourner le CAPTCHA.

Pour cela, ajoutez un filtrage par mots-clés pour bloquer les phrases de spam courantes, activez le filtrage par pays si le spam provient de régions spécifiques, configurez des listes noires d'e-mails pour les récidivistes et examinez manuellement les soumissions signalées dans WPForms » Entrées.

Aucune méthode unique n'arrête 100 % du spam, c'est pourquoi la superposition de 2 ou 3 méthodes fonctionne le mieux.

Ensuite, les meilleurs plugins WordPress pour lutter contre le spam

Maintenant que nous vous avons montré quelques façons d'empêcher les bots de remplir vos formulaires, il serait judicieux de jeter un œil à certains des meilleurs plugins WordPress pour lutter contre le spam.

Créez des formulaires WordPress sans spam dès maintenant

Prêt à créer votre formulaire ? Commencez dès aujourd'hui avec le plugin de création de formulaires WordPress le plus simple.  WPForms Pro inclut de nombreux modèles gratuits et offre une garantie de remboursement de 14 jours.

Si cet article vous a aidé, suivez-nous sur Facebook et Twitter pour plus de tutoriels et de guides WordPress gratuits.