Luttez efficacement contre le spam

La lutte contre le spam passe-t-elle obligatoirement par une CAPTCHA ? Est-ce à l'internaute de prouver qu'il n'est pas un robot, ou existe-t-il des solutions alternatives efficaces pour bloquer les robots sans impacter l'expérience utilisateur ?

Cet article prend 3 minutes à lire et comporte 731 mots.

Quand on évoque la lutte con­tre le spam, on pense immé­di­ate­ment CAPTCHA. Effi­cace, mais dérangeant pour l’u­til­isa­teur qui doit prou­ver qu’il est humain, alors que ce serait plutôt au robot de prou­ver qu’il n’en est pas un…

Il y a encore peu, je vous aurais dit que c’é­tait un mal néces­saire. Mais ça, c’é­tait avant 😉

Depuis, j’ai expéri­men­té divers­es solu­tions de lutte con­tre le spam, tout aus­si effi­caces que les CAPTCHAs mais qui ne sol­lici­tent pas l’in­ter­naute. Après tout, c’est vous (et moi) que le spam dérange, à qui il fait per­dre un temps pré­cieux… pas le vis­i­teur qui bien gen­ti­ment va laiss­er un com­men­taire sur le blog ou qui nous sol­licite via un for­mu­laire de con­tact.

J’in­stalle générale­ment trois exten­sions (rien que ça !) pour lut­ter con­tre le spam en toute trans­parence pour l’in­ter­naute. Anti-spam pour les com­men­taires, Grav­i­ty Forms Zero Spam ou Con­tact Form 7 Hon­ey­pot pour les for­mu­laires de con­tact, d’in­scrip­tion à la let­tre d’in­fos… et bien évidem­ment Akismet, livré avec Word­Press qu’il suf­fit donc d’ac­tiv­er. Et pour empêch­er d’autres types d’at­taques, j’in­stalle égale­ment loginiz­er et / ou Jet­pack.

Et puis voilà… tout récem­ment, j’ai décou­vert Invis­i­ble reCaptcha for Word­Press.

Les avantages d’Invisible reCaptcha for WordPress

En tout pre­mier lieu, même si la CAPTCHA est tou­jours vis­i­ble, elle ne requiert aucune action de la part de l’in­ter­naute. Quelle que soit la méth­ode employée par Google pour con­sid­ér­er que vous n’êtes pas un robot, elle n’est pas intru­sive — enfin !

De plus, invis­i­ble reCaptcha est un ser­vice Google — ce qui garan­tit sa robustesse et son suivi dans le temps.

Et pour ne rien gâch­er, elle pro­tège effi­cace­ment l’ensem­ble des for­mu­laires de votre site : 

• les for­mu­laires d’i­den­ti­fi­ca­tion, d’en­reg­istrement et de mot de passe oublié
• les for­mu­laires util­isés pour la saisie des com­men­taires
• les for­mu­laires WooCom­merce (iden­ti­fi­ca­tion, enreg­istrement, mot de passe oublié, avis sur un pro­duit)
• les for­mu­laires créés via Con­tact Form 7 et Grav­i­ty Forms
• le for­mu­laire d’en­reg­istrement de Bud­dy­Press
• et finale­ment les for­mu­laires d’en­reg­istrement et d’i­den­ti­fi­ca­tion de Ultra Com­mu­ni­ty

Pas encore uni­versel, pas vrai­ment invis­i­ble mais bon… l’ex­ten­sion cou­vre la majorité des besoins d’un site lamb­da et per­met de réduire le nom­bre d’ex­ten­sions dédiées à la lutte con­tre le spam et con­tre les attaques de force brute. Et sa vis­i­bil­ité ras­sure cer­tains pro­prié­taires de sites — la force de l’habi­tude. Exit loginiz­er, anti-spam et Grav­i­ty Form Zero Spam ou Con­tact Form 7 Hon­ey­pot.

Avant d’installer l’extension

Les CAPTCHAs Google requièrent deux clés pour fonc­tion­ner : une clé publique et une clé secrète, spé­ci­fiques à un domaine. Il faut donc pass­er par les ser­vices Google pour en faire la demande. Ren­dez-vous sur Google reCAPTCHA et cliquez sur Get reCAPTCHA.

Une nou­velle page s’ou­vre, avec vos clés déjà enreg­istrées (éventuelle­ment) et un for­mu­laire pour authen­ti­fi­er une nou­veau domaine.

Rem­plis­sez le for­mu­laire, en cochant Invis­i­ble reCAPTCHA. Une fois le for­mu­laire rem­pli, cliquez sur Enreg­istr­er. Sur la page suiv­ante, vous trou­verez les clés néces­saires à l’u­til­i­sa­tion de la CAPTCHA.

Gardez-les à portée de main, elle vont rapi­de­ment vous servir.

Installer Invisible reCaptcha for WordPress

Installer / Activer l’extension

Pour installer cette exten­sion, rien de plus sim­ple : ren­dez-vous dans l’ad­min­is­tra­tion de votre site, cliquez sur Exten­sions > Ajouter, et dans le champ de saisie en haut à droite, écrivez invis­i­ble recaptcha for word­press.

La pre­mière  exten­sion est la bonne, cliquez sur Installer puis sur Activ­er.

Si vous n’êtes pas à l’aise avec l’in­stal­la­tion d’ex­ten­sions sous Word­Press, je vous recom­mande l’ar­ti­cle Installer, activ­er, met­tre à jour et sup­primer une exten­sion Word­Press.

Configurer l’extension

Cliquez sur Réglages > Invis­i­ble reCaptcha. Le pre­mier onglet con­cerne les réglages généraux : clé du site et clé secrète, langue, posi­tion de la CAPTCHA.

Enreg­istrez les mod­i­fi­ca­tions avant de pass­er aux onglets suiv­ants. Passez ensuite d’on­glet en onglet pour activ­er Invis­i­ble reCaptcha for Word­Press là où vous le souhaitez. Et enreg­istrez les mod­i­fi­ca­tions avant de pass­er à un autre onglet, vous ne serez pas prévenu en cas d’ou­bli, et les mod­i­fi­ca­tions ne seront pas validées.

Et voila, c’est ter­miné. Vous n’au­rez plus à touch­er aux réglages, et votre site est pro­tégé con­tre le spam et les attaques de force brute.

Les alternatives à Invisible reCaptcha for WordPress

Je les ai citées en intro­duc­tion : les exten­sions anti-spam, Grav­i­ty Forms Zero Spam et Con­tact Form 7 Hon­ey­pot per­me­t­tent de lut­ter effi­cace­ment con­tre le spam en toute trans­parence. Et avec Plu­g­in Orga­niz­er, vous ne les activerez que là où vous en avez besoin.

Exten­sion unique ou set d’ex­ten­sions ? À vous de choisir la solu­tion la plus adap­tée à votre besoin.

Et vous, quelle solu­tion avez-vous mis en œuvre pour lut­ter con­tre le spam ?