Come proteggere un modulo dallo spam

Perché i moduli sono un bersaglio dello spam

Ogni modulo sul tuo sito è un potenziale bersaglio per i bot di spam. I moduli di contatto, di commento, di registrazione e di iscrizione alla newsletter vengono colpiti di continuo da script automatici che inviano messaggi indesiderati. I messaggi di spam non solo intasano la tua casella di posta, ma possono anche contenere link malevoli, tentativi di phishing o persino tentativi di SQL injection.

Si stima che oltre il 40% del traffico internet totale sia generato da bot, e una parte significativa di questi bot è progettata per inviare spam attraverso i moduli web. Senza alcuna protezione, puoi aspettarti da decine a centinaia di messaggi di spam al giorno, a seconda della popolarità del tuo sito. Oltre al fastidio, lo spam può avere conseguenze serie: se gli spammer usano il tuo modulo per inviare email, il tuo dominio può finire in una blacklist.

reCAPTCHA - la protezione di Google

Google reCAPTCHA è il metodo di protezione dallo spam più diffuso. Esiste in tre versioni, ciascuna con i propri pro e contro.

reCAPTCHA v2 (checkbox)

La classica casella "Non sono un robot". L'utente clicca sulla casella e l'algoritmo di Google analizza i movimenti del mouse, la velocità di interazione e altri segnali per determinare se l'utente è umano. A volte richiede una sfida aggiuntiva, come il riconoscimento di immagini. Pro: semplice da implementare, affidabile. Contro: aggiunge attrito all'esperienza utente, può frustrare gli utenti con connessioni scadenti.

reCAPTCHA v3 (invisibile)

Gira in background senza alcuna interazione dell'utente. Assegna un punteggio da 0,0 (probabilmente un bot) a 1,0 (probabilmente un umano) in base al comportamento dell'utente sul sito. Sei tu a decidere quale punteggio è accettabile (di solito 0,5 o superiore). Pro: zero attrito per l'utente, monitoraggio continuo. Contro: può produrre falsi positivi, richiede la verifica del punteggio lato server, solleva questioni di privacy perché traccia il comportamento dell'utente.

Turnstile (alternativa di Cloudflare)

Cloudflare Turnstile è un'alternativa a Google reCAPTCHA che si concentra sulla privacy. Non usa sfide visive e non traccia gli utenti al di fuori del tuo sito. L'implementazione è simile a quella di reCAPTCHA, ma senza il tracciamento di Google. È gratuito per tutti i siti e semplice da integrare.

La tecnica honeypot

L'honeypot è un metodo di protezione dai bot di spam elegante e completamente invisibile. Il principio è semplice: aggiungi al modulo un campo nascosto che è invisibile agli utenti umani ma visibile ai bot.

Come funziona

Aggiungi un campo input al modulo e nascondilo con i CSS (display: none oppure position: absolute con uno spostamento negativo). Dagli un nome che suoni legittimo, come "email2" o "website". Gli utenti umani non vedranno questo campo e non lo compileranno. I bot, invece, compilano automaticamente tutti i campi di un modulo. Quando il tuo server riceve un modulo con il campo honeypot compilato, sai che è stato inviato da un bot e puoi ignorarlo.

Implementazione

Dal lato HTML, aggiungi un campo con una classe CSS che lo nasconde. Sul server, verifica se il campo honeypot è vuoto. Se non lo è, rifiuta il messaggio senza errori (restituisci lo stesso messaggio di "grazie" così che il bot non capisca di essere stato scoperto). Importante: non usare display:none sull'elemento stesso, perché i bot più intelligenti possono rilevarlo. Usa invece una classe CSS o un div contenitore che sposti il campo fuori dall'area visibile.

Pro e contro

Pro: zero attrito per gli utenti, non richiede JavaScript, nessuna dipendenza da terze parti, facile da implementare. Contro: non protegge dai bot sofisticati che analizzano i CSS, non protegge dallo spam manuale (le persone che inviano spam a mano).

Rate limiting

Il rate limiting limita il numero di richieste che un utente può inviare in un determinato periodo di tempo. È una protezione efficace sia contro i bot sia contro gli utenti che ne abusano.

A livello di server

Nginx ha un modulo di rate limiting integrato. Puoi limitare il numero di richieste POST al tuo modulo a, ad esempio, 5 al minuto per indirizzo IP. Ogni richiesta oltre il limite riceve una risposta HTTP 429 (Too Many Requests). Questo blocca efficacemente i bot che inviano centinaia di richieste al secondo.

A livello di applicazione

La maggior parte dei framework web ha un middleware di rate limiting. Laravel ha il middleware ThrottleRequests, Express.js ha il pacchetto express-rate-limit, Django ha django-ratelimit. A livello di applicazione puoi essere più preciso: ad esempio, limitare il numero di messaggi a 3 per sessione, non solo per indirizzo IP.

A livello di CDN

Cloudflare, AWS WAF e servizi simili possono applicare il rate limiting prima ancora che la richiesta raggiunga il tuo server. Questo è il metodo più efficace, perché protegge sia dagli attacchi DDoS sia dai bot di spam a livello di rete.

Validazione lato server

Non affidarti mai esclusivamente alla validazione frontend. Ogni bot di spam serio aggira JavaScript e invia le richieste direttamente all'endpoint del tuo server.

Validazione delle email

Verifica il formato dell'indirizzo email, ma controlla anche se il dominio esiste davvero (controllo del record DNS MX). Rifiuta i domini email usa e getta noti (mailinator.com, tempmail.com, ecc.) perché vengono spesso usati per lo spam.

Contenuto del messaggio

Controlla nel messaggio i comuni segnali di spam: troppi link (più di 2-3 in un messaggio di contatto è sospetto), parole tipiche dello spam (casino, pharmacy, cheap, buy now), lo stesso testo inviato più volte, messaggi in una lingua che non ti aspetti sul tuo sito.

Soglia temporale

Misura quanto tempo un utente ha trascorso sulla pagina prima di inviare il modulo. Se il modulo è stato compilato in meno di 3 secondi, è probabilmente un bot. Aggiungi al modulo un timestamp nascosto e verificalo sul server. È una tecnica semplice ma efficace.

Akismet e servizi simili

Akismet è un servizio anti-spam sviluppato da Automattic (l'azienda dietro WordPress). Analizza il contenuto del messaggio, l'indirizzo IP, lo user agent e altri segnali per stabilire se un messaggio è spam. È gratuito per uso personale e offre piani accessibili per i siti commerciali.

L'integrazione è semplice: invia il contenuto del modulo all'API di Akismet e ricevi una risposta che indica se il messaggio è spam o meno. Akismet elabora oltre 500 milioni di commenti al mese e ha un'accuratezza estremamente elevata (99,9%).

Le opzioni alternative includono CleanTalk (a pagamento, senza CAPTCHA), OOPSpam (basato su API, orientato alla privacy) e hCaptcha (simile a reCAPTCHA ma con una migliore tutela della privacy).

Un approccio combinato - la migliore protezione

Nessuna singola tecnica è perfetta. La migliore protezione combina più metodi in una difesa a livelli.

• Primo livello - Honeypot: Intercetta la maggior parte dei bot semplici senza alcun attrito per gli utenti.
• Secondo livello - Rate limiting: Previene gli invii di massa e gli attacchi DDoS sul modulo.
• Terzo livello - reCAPTCHA v3 o Turnstile: Per i bot più sofisticati, un controllo invisibile in background.
• Quarto livello - Validazione lato server: Verifica il contenuto, il formato e la soglia temporale.
• Quinto livello - Akismet: L'ultima linea di difesa per i messaggi che superano tutti i livelli precedenti.

Conclusione

Proteggere i moduli dallo spam è un processo che richiede più livelli di difesa. Inizia con un campo honeypot e la validazione lato server come base, aggiungi il rate limiting a livello di server e implementa reCAPTCHA v3 o Cloudflare Turnstile per una protezione avanzata. Per i siti con grandi volumi di spam, Akismet o un servizio simile offre un ulteriore livello di sicurezza. In BeoHosting, i nostri piani di hosting supportano tutti questi metodi di protezione e il nostro team di assistenza può aiutarti nella configurazione del rate limiting lato server e di altre misure di sicurezza.