Jak skutecznie zwalczyć spam w WordPress?

Zanim sięgniesz po wtyczki, skonfiguruj wbudowane zabezpieczenia WordPressa. W Ustawieniach > Dyskusja wyłącz opcje trackbacków i pingbacków – to archaiczne mechanizmy, które boty masowo wykorzystują. Włącz moderację komentarzy zawierających więcej niż 1 link i dodaj do czarnej listy typowe frazy spamowe: casino, viagra, crypto, payday loan. Ustaw wymaganie zatwierdzania pierwszego komentarza nowego autora. Ograniczenie możliwości komentowania do zarejestrowanych użytkowników drastycznie redukuje spam, ale zmniejsza też zaangażowanie – stosuj ten środek tylko na stronach z dużym problemem spamowym.

Akismet to domyślna wtyczka antyspamowa WordPressa, skuteczna w 99,5% przypadków. Darmowa dla blogów osobistych, płatna dla firm (od 10 USD/mies.). Minusem jest przesyłanie treści komentarzy na zewnętrzne serwery, co rodzi pytania o RODO. Antispam Bee to europejska alternatywa przetwarzająca dane lokalnie – idealna dla polskich firm dbających o zgodność z przepisami. Filtruje po krajach, językach i wzorcach behawioralnych. CleanTalk oferuje ochronę w chmurze bez CAPTCHA – sprawdza komentarze, rejestracje i formularze, kosztuje ok. 8 USD/rok. Dla większości polskich stron firmowych rekomendujemy Antispam Bee w połączeniu z reCAPTCHA.

Formularze kontaktowe to drugi (po komentarzach) cel ataków spamowych. Niezależnie od wtyczki formularzowej (Contact Form 7, WPForms, Gravity Forms), dodaj weryfikację CAPTCHA. Google reCAPTCHA v3 działa w tle, oceniając zachowanie użytkownika bez widocznych wyzwań – nie spowalnia konwersji. Alternatywą jest hCaptcha, która nie udostępnia danych Google. Dla formularzy rejestracyjnych wdróż honeypot – ukryte pole, które boty wypełniają automatycznie, a ludzie pomijają. Plugin WP Armour dodaje honeypot do wszystkich formularzy jednym kliknięciem. Dodatkowo ogranicz liczbę prób wysłania formularza z jednego IP do 5 na godzinę.

Najskuteczniejszą ochroną jest blokowanie spamu zanim dotrze do WordPressa. Cloudflare (darmowy plan) oferuje Bot Fight Mode, który automatycznie blokuje znane sieci botów. Włącz Under Attack Mode podczas masowych ataków spamowych. W pliku .htaccess możesz zablokować dostęp do wp-comments-post.php dla żądań bez referrera (boty często go nie wysyłają). Fail2ban na serwerze wykrywa powtarzające się próby wysyłania komentarzy z tego samego IP i automatycznie blokuje adres. ModSecurity z regułami OWASP filtruje podejrzane payloady w formularzach. Kombinacja Cloudflare + Fail2ban + wtyczka antyspamowa daje prawie 100% skuteczność.

Jeśli Twoja strona ma już tysiące spamowych komentarzy, zacznij od masowego usunięcia. WP-CLI ułatwia ten proces: `wp comment delete $(wp comment list --status=spam --format=ids) --force` usunie cały spam jednym poleceniem. Dla komentarzy oznaczonych jako zatwierdzone, ale wyglądających na spam, użyj wtyczki Delete Pending Comments z filtrowaniem po wzorcach URL. Po czyszczeniu zoptymalizuj bazę danych – tabela wp_comments może być mocno rozdęta. Długoterminowo monitoruj statystyki spamu w panelu Akismet lub Antispam Bee, aby weryfikować skuteczność ochrony i dostosowywać reguły filtrowania.