Krzysztof Jagodziński
2 listopada, 2025
Kategoria: WordPress

Spam na WordPress - Jak chronić formularze, komentarze, logowanie i sklep?

Masz stronę na WordPressie? To świetnie! Ale pewnie, tak jak ja, prędzej czy później spotkałeś się z jego mroczną stroną. Z nieproszonymi gośćmi, którzy bez pukania wchodzą na Twoją stronę i zostawiają po sobie bałagan. Mówię oczywiście o spamie.

To plaga internetu, która dotyka praktycznie każdego – od małych blogów po wielkie sklepy internetowe.

Wielu właścicieli stron macha na to ręką, myśląc, że „jakoś to będzie”. Inni instalują skomplikowane systemy CAPTCHA, które bardziej denerwują prawdziwych użytkowników niż powstrzymują boty.

Ale co, jeśli powiem Ci, że istnieje lepszy sposób?

W tym kompletnym przewodniku pokażę Ci, jak raz na zawsze rozprawić się ze spamem na WordPressie. Przejdziemy przez wszystkie jego rodzaje – od komentarzy, logowania i rejestracji, przez formularze, aż po fałszywe zamówienia w WooCommerce. Co najważniejsze, zrobimy to za pomocą nowoczesnych, prostych i darmowych narzędzi, które działają w tle, nie psując doświadczeń Twoich czytelników lub klientów.

1. Czym tak naprawdę jest spam na WordPressie?

Zanim przejdziemy do konkretnych rozwiązań, wyjaśnijmy sobie jedną rzecz. Spam na WordPressie to nie tylko niechciane komentarze. To każda nieproszona, automatycznie generowana treść, która pojawia się na Twojej stronie w różnych miejscach. Najczęściej za spamem stoją boty – programy napisane po to, by masowo rozsyłać linki, reklamy lub próby oszustwa.

Ich cel jest prosty: wykorzystać Twoją stronę do własnych korzyści. Może to być próba manipulowania wynikami wyszukiwania (tzw. spam SEO), chęć wyłudzenia danych (phishing) albo zwykła, nachalna reklama.

Niezależnie od intencji, efekt jest zawsze ten sam: zaśmiecona strona, stracony czas i potencjalne problemy z bezpieczeństwem. W kolejnych rozdziałach przyjrzymy się każdemu z tych zagrożeń z bliska i opiszę, jak skutecznie się przed nimi bronić.

Spam na WordPress w różnych formach zaburza działanie witryny w sieci oraz dokłada Ci więcej roboty?

Pomogę Ci odzyskać spokój i zamknąć temat spamu raz na zawszę.

2. Jak ogarnąć spam w formularzach kontaktowych na WordPressie?

Znasz to uczucie? Cieszysz się na myśl o nowym zapytaniu od klienta, z ekscytacją otwierasz maila, a tam… kolejna reklama tabletek na porost włosów albo oferta od nigeryjskiego księcia. Spam w formularzach kontaktowych potrafi doprowadzić do szału. Zamiast budować relacje z klientami, marnujesz cenny czas na przekopywanie się przez stertę śmieci.

Prawda jest taka, że nieodpowiednio zabezpieczony formularz jest jak otwarte drzwi dla botów, które bez przerwy szukają okazji, żeby wcisnąć gdzieś swoje linki i oszustwa.

Dlaczego boty tak „kochają” Twój formularz kontaktowy?

Pomyśl o botach jak o armii bezmyślnych robotów, które mają jeden cel: znaleźć w internecie jakiekolwiek pole tekstowe i wkleić tam swoją wiadomość. Twój formularz kontaktowy na stronie WordPress jest dla nich idealnym celem, ponieważ jest publicznie dostępny, ma przewidywalną, prostą strukturę a w dodatku trafia bezpośrednio do Ciebie. Boty nie robią tego złośliwie – po prostu wykonują polecenia swoich twórców, którzy mają w tym konkretny interes.

A po co im to wszystko?

Chcą się tanio reklamować: Wysyłają tysiące wiadomości z linkami do swoich produktów lub usług, licząc, że ktoś z ciekawości kliknie. To najgorsza forma marketingu szeptanego.
Myślą że podbije im to pozycję (SEO): Spamują linkami, bo wierzą, że to pomoże ich stronom w rankingu Google (spoiler: już dawno tak to nie działa).
Chcą Cię oszukać: To tzw. phishing Podszywają się pod znane firmy lub wysyłają fałszywe ostrzeżenia, żeby wyłudzić od Ciebie hasła lub dane do banku.
Rozsiewają wirusy: Czasem w wiadomości znajdziesz link lub załącznik, który po kliknięciu może zainfekować Twój komputer złośliwym oprogramowaniem.

Co Ci grozi, jeśli to zignorujesz?

Możesz myśleć: „a, usunę i po sprawie”. Ale na dłuższą metę skutki są poważniejsze, niż przypuszczasz. Przede wszystkim tracisz pieniądze, bo w natłoku spamu możesz po prostu przeoczyć wiadomość od prawdziwego, zainteresowanego klienta.

Co gorsza, jeśli Twoja strona wysyła mnóstwo maili (nawet tych spamerskich), dostawcy poczty mogą uznać Twoją domenę za niewiarygodną. W efekcie Twoje prawdziwe maile zaczną wpadać do spamu u odbiorców albo w ogóle nie będą dostarczane.

Darmowa i skuteczna metoda na rozwiązanie spamu w formularzach na WordPress czyli WP Armour – Honeypot Anti Spam

To obecnie najprostsze i wyjątkowo skuteczne rozwiązanie problemu spamu, które osobiście stosuję.

WP Armour to darmowa wtyczka z oficjalnego repozytorium WordPress, która zdobyła zaufanie ponad 300 000 użytkowników i cieszy się znakomitymi recenzjami. Jej siła tkwi w prostocie i inteligentnym podejściu do blokowania botów, znanym jako „honeypot” (pułapka na miód).

Zamiast zmuszać użytkowników do rozwiązywania łamigłówek, wtyczka działa w tle, pozostając dla nich całkowicie niewidoczna. Działa na zasadzie pułapki – dodaje do formularza ukryte pole, które jest niewidoczne dla człowieka, ale bot, skanując kod strony, je widzi i automatycznie wypełnia. Wypełnienie tego pola jest dla wtyczki sygnałem, że ma do czynienia z botem, a nie z człowiekiem, co skutkuje natychmiastowym zablokowaniem wiadomości.

Najważniejsze cechy wtyczki WP Armour:

Brak konfiguracji: Wystarczy zainstalować i aktywować. Ochrona włącza się automatycznie dla wszystkich wspieranych formularzy. Jedyną opcjonalną rzeczą, jaką można zmienić w ustawieniach, jest wyłączenie małego komunikatu dla administratora, który potwierdza działanie ochrony pod formularzami.
Technologia Honeypot oparta na JavaScript: W przeciwieństwie do innych wtyczek tego typu, WP Armour dodaje pole-pułapkę za pomocą JavaScript. Ponieważ większość prostych botów spamujących nie potrafi wykonywać skryptów JavaScript, nie są one w stanie nawet „zobaczyć” tego pola, co czyni pułapkę jeszcze skuteczniejszą.
Pełna zgodność z RODO (GDPR): Wtyczka nie śledzi użytkowników, nie zapisuje plików cookie i nie wysyła żadnych danych na zewnętrzne serwery. Wszystko dzieje się lokalnie na Twojej stronie, co zapewnia pełną prywatność.
Unikalne nazwy pól: Dla każdej instalacji WordPressa generowana jest unikalna nazwa pola-pułapki, co utrudnia botom stworzenie uniwersalnego mechanizmu do omijania tego zabezpieczenia.

W bezpłatnej wersji WP Armour bezproblemowo integruje się z najpopularniejszymi wtyczkami do formularzy. Jeśli używasz którejś z poniższych, możesz być spokojny o ochronę:

Contact Form 7
Gravity Forms
WPForms
Formidable Forms
Elementor Forms
Fluent Forms
Formularze w motywie Divi
Caldera Forms
Toolset Forms
Forum BBPress

3. Zabezpieczenie logowania oraz rejestracji WordPress przed spamem i atakiem botów

Zalogowałeś się rano do panelu WordPressa, a tam powiadomienie o 50 nowych kontach użytkowników z dziwnymi, spamerskimi nazwami? A może regularnie dostajesz maile, że ktoś bezskutecznie próbuje zalogować się na Twoje konto administratora?

To jeden z najpoważniejszych problemów, bo nie chodzi już tylko o irytujący spam, ale o realne zagrożenie dla bezpieczeństwa Twojej strony. Na szczęście obrona przed tymi atakami jest prostsza, niż myślisz, i można ją zrealizować w kilku prostych krokach.

Zacznijmy od podstaw: Czy w ogóle potrzebujesz otwartej rejestracji?

Zanim zainstalujemy jakiekolwiek wtyczki, warto zadać sobie jedno, kluczowe pytanie: czy moja strona naprawdę potrzebuje, aby każdy mógł na niej założyć konto?

Dla większości stron firmowych, blogów czy portfolio, odpowiedź brzmi: nie. W takim przypadku najlepszą i najprostszą praktyką jest całkowite wyłączenie publicznej rejestracji. To rozwiązuje problem u samego źródła.

Jak to zrobić?

Przejdź w panelu WordPress do Ustawienia -> Ogólne.
Znajdź opcję „Członkostwo” i odznacz pole „Każdy może się zarejestrować”.
Zapisz zmiany.

Po wykonaniu tej czynności link do rejestracji zniknie ze strony logowania, a bezpośrednie próby wejścia na adres rejestracji zakończą się błędem.

Nie musisz się obawiać, jeśli prowadzisz sklep na WooCommerce. Twoi klienci wciąż będą mogli tworzyć konta podczas składania zamówienia, o ile nie wyłączyłeś tej opcji w ustawieniach samego WooCommerce. Ta zmiana dotyczy tylko ogólnodostępnego, standardowego formularza rejestracyjnego WordPressa.

3 Skuteczne metody ochrony formularza logowania i rejestracji WordPress

Jeśli chcesz zabezpieczyć formularz logowania i resetowania hasła oraz rejestracji (jeśli zdecydowałeś się pozostawić ją włączoną), poniżej opisałem sprawdzoną, 3 warstwową strategię, która zapewni Ci spokój.

Metoda 1: Wykorzystaj moc WP Armour (jeśli już jej używasz)

Jeśli dręczył Cię problem spamu w formularzach WordPress i zainstalowałeś już WP Armour – Honeypot Anti Spam którą polecałem w poprzednim punkcie, mam dla Ciebie dobrą wiadomość. Ta wtyczka w swojej darmowej wersji chroni również:

Standardowy formularz rejestracji WordPress.
Formularz logowania.
Formularz resetowania hasła.

Aktywacja WP Armour automatycznie włącza ochronę typu honeypot dla tych miejsc, skutecznie blokując proste boty próbujące tworzyć spamerskie konta lub atakować stronę logowania. To świetne, bezobsługowe rozwiązanie, które stanowi solidną pierwszą linię obrony.

Jeśli nie posiadasz jeszcze tej wtyczki, zachęcam do jej pobrania, zapewnia ona ochronę zarówno przed spamem w formularzach (od Contact Form 7 po Elementora) oraz właśnie rejestracji i logowania.

—

Link do pobrania wtyczki: pl.wordpress.org/plugins/honeypot/

Metoda 2: Ogranicz liczbę prób logowania

Nawet najlepsze zabezpieczenie przed spamem warto uzupełnić o mechanizm chroniący przed atakami typu „brute force”. Polegają one na tym, że bot tysiące razy na minutę próbuje odgadnąć Twoje hasło.

Aby temu zapobiec, zainstaluj bezpłatną wtyczkę Limit Login Attempts Reloaded.

Jak to działa? Wtyczka pozwala ustawić limit nieudanych prób logowania (np. 3 próby z jednego adresu IP). Po jego przekroczeniu, adres IP napastnika jest tymczasowo blokowany (np. na 20 minut), co całkowicie uniemożliwia dalsze próby odgadnięcia hasła.
Konfiguracja: Po instalacji i aktywacji wtyczki przejdź do jej ustawień i upewnij się, że ochrona jest aktywna. Domyślne wartości są zazwyczaj wystarczające dla większości stron.
—

Adres do strony wtyczki: pl.wordpress.org/plugins/limit-login-attempts-reloaded/

Pamiętaj, że każda dodatkowa wtyczka to potencjalne obciążenie lub źródło problemów. Jeśli po instalacji zauważysz, że coś działa nie tak, sprawdź nasz poradnik, w którym opisujemy najczęstsze problemy z wtyczkami WordPress.

Metoda 3 (opcjonalna, dla wzmocnienia ochrony): Zmień domyślny adres logowania

Jeśli mimo powyższych zabezpieczeń wciąż zauważasz nasilone próby ataków, możesz zastosować dodatkową, bardzo skuteczną metodę: zmianę domyślnego adresu logowania. Standardowo każda strona WordPress ma panel dostępny pod adresem /wp-admin lub /wp-login.php, o czym doskonale wiedzą wszystkie boty.

Za pomocą wtyczki WPS Hide Login możesz łatwo zmienić ten adres na dowolny inny.

Jak to zrobić krok po kroku:

1. Zainstaluj i aktywuj wtyczkę WPS Hide Login.
2. Przejdź do Ustawienia -> Ogólne.
3. Na samym dole strony znajdziesz nową opcję „Login URL”.
4. Wpisz tam nową, własną ścieżkę, np. /zaloguj, /panel lub cokolwiek innego, co łatwo zapamiętasz.
5. Zapisz zmiany.

Uwaga!

Od teraz standardowy adres /wp-admin przestanie działać. Aby się zalogować, będziesz musiał użyć nowego, ustalonego przez siebie adresu. Dlatego zapamiętaj go, albo najlepiej zapisz w kilku miejscach.

Nie wpłynie to w żaden sposób na logowanie klientów w Twoim sklepie WooCommerce – oni nadal będą korzystać ze standardowej strony „Moje konto”.

4. Jak zatrzymać fałszywe zamówienia w WooCommerce?

Dziwne dane klienta, nietypowy adres i brak płatności? To klasyczny przykład spamu w zamówieniach WooCommerce – problemu, który potrafi wprowadzić spory chaos w zarządzaniu sklepem.

Choć takie zamówienia rzadko prowadzą do bezpośrednich strat finansowych, generują bałagan w statystykach, zaburzają stany magazynowe i po prostu marnują Twój czas.

Sprawdź swoje ustawienia – zakupy jako gość WooCommerce

Aby skutecznie walczyć ze spamem w zamówieniach, trzeba najpierw zrozumieć jego źródło. Problem dotyczy niemal wyłącznie sklepów, które pozwalają na zakupy jako gość (guest checkout). Ta opcja, choć niezwykle ważna dla wygody klientów i maksymalizacji sprzedaży, jest niestety otwartą furtką dla ataku botów w WooCommerce.

Teoretycznie można tę opcję wyłączyć w ustawieniach WooCommerce, jednak zdecydowanie to odradzam. Może prowadzić do masowego porzucania koszyków i znacznego spadku konwersji. Klienci cenią sobie szybkość, a wymuszanie rejestracji, zwłaszcza przy sprzedaży prostych produktów fizycznych, to bariera, która może ich skutecznie zniechęcić.

Na szczęście, nawet przy włączonych zakupach jako gość, boty rzadko stanowią realne zagrożenie finansowe. Zatrzymują się na ostatnim etapie – płatności. Jeśli korzystasz z nowoczesnych bramek płatniczych (np. Stripe, PayU, Przelewy24), bot nigdy nie sfinalizuje transakcji. Problem pojawia się, gdy oferujesz płatność przy odbiorze lub tradycyjny przelew, które nie wymagają natychmiastowej weryfikacji.

Rozwiązania na fałszywe zamówienia w WooCommerce

Metoda 1 (rekomendowana): Włącz oficjalny limit zamówień w WooCommerce

To najprostsze i najważniejsze zabezpieczenie, które każdy właściciel sklepu powinien włączyć (niestety domyślnie nie jest włączona). WooCommerce posiada wbudowaną funkcję Rate Limiting, stworzoną specjalnie do walki z botami masowo składającymi zamówienia. Jest to oficjalna, bezpieczna i w pełni darmowa opcja.

Włączenie tej jednej opcji powinno rozwiązać problem w ponad 90% przypadków i jest to absolutna podstawa, od której należy zacząć.

Jak to działa? Funkcja ta ogranicza liczbę prób złożenia zamówienia z jednego adresu IP. Po jej aktywacji, system domyślnie pozwala na maksymalnie 3 próby złożenia zamówienia w ciągu 60 sekund. Dla prawdziwego klienta jest to limit praktycznie nieosiągalny, ale dla bota, który próbuje składać setki zamówień, jest to skuteczna blokada.
Jak włączyć?
1. Przejdź w panelu WordPress do WooCommerce -> Ustawienia -> Zaawansowane.
2. Kliknij w zakładkę Funkcje.
3. Znajdź i zaznacz opcję „Limit stawek zamówienie (kasa)”.
4. Zapisz zmiany.

Metoda 2 (bardziej złożona i zaawansowana): Dodaj zewnętrzną warstwę ochrony – Cloudflare Turnstile

Jeśli mimo włączenia limitu zamówień wciąż zmagasz się z zaawansowanymi botami, możesz dodać drugą, potężną warstwę zabezpieczeń. Cloudflare Turnstile to nowoczesna, niewidoczna dla użytkownika i przyjazna dla prywatności alternatywa dla klasycznej CAPTCHA.

Jak to działa? Turnstile działa w tle, analizując zachowanie użytkownika na stronie. Jeśli uzna go za człowieka, proces przebiega bez żadnych zakłóceń. Boty są natomiast skutecznie blokowane, zanim jeszcze spróbują złożyć zamówienie.
Jak ją włączyć? Wdrożenie tej metody jest w pełni darmowe, ale wymaga nieco więcej pracy. Musisz posiadać konto w Cloudflare (również darmowe) i połączyć je ze swoją stroną. Następnie, za pomocą wtyczki (np. „Simple Cloudflare Turnstile”), należy wprowadzić klucze API wygenerowane w panelu Cloudflare i aktywować ochronę dla strony kasy WooCommerce. W sieci znajdziesz sporo poradników na ten temat. Jeśli jednak czujesz, że to zadanie Cię przerasta, warto rozważyć pomoc specjalisty. O tym, na co zwrócić uwagę przy wyborze freelancera WordPress, pisałem w osobnym artykule.

5. Spam w komentarzach WordPress - najprostsze i najlepsze rozwiązanie

A co ze klasycznym, problemem spamu w komentarzach WordPress?

Na koniec zostawiliśmy problem, od którego większość poradników zaczyna – spam w komentarzach. To prawdziwy klasyk gatunku i plaga, która dotyka praktycznie każdego bloga na WordPressie.

Setki niechcianych komentarzy z podejrzanymi linkami nie tylko zaśmiecają Twoją stronę, ale również negatywnie wpływają na jej postrzeganie przez użytkowników i wyszukiwarki.

Na szczęście, jeśli postępowałeś zgodnie z naszymi wcześniejszymi radami, rozwiązanie tego problemu (wtyczka WP Armour) masz już prawdopodobnie zainstalowane i działa ono automatycznie od razu.

Zamiast zmuszać użytkowników do rozwiązywania łamigłówek CAPTCHA, WP Armour działa w tle, wykorzystując inteligentną technologię „honeypot”. Jeśli dręczy Cię tylko problem spamu w komentarzach WordPress to rozwiązanie powinno być również wystarczające, wtyczkę wystarczy pobrać i zainstalować – nie trzeba nic konfigurować.

6. Checklista - Zabezpieczenie WordPress prze spamem

Checklista: Zabezpiecz swój WordPress przed spamem
Krok do wykonania	Dlaczego jest to ważne i jak to zrobić?
1. Ochrona formularzy i komentarzy	To fundament ochrony przed najczęstszym typem spamu. Zainstaluj i aktywuj darmową wtyczkę WP Armour – Honeypot Anti Spam. Działa ona w tle, nie wymaga konfiguracji i skutecznie blokuje boty, nie irytując przy tym użytkowników.
2. Zabezpieczenie logowania i rejestracji	Ogranicz ataki typu "brute force". Zainstaluj wtyczkę Limit Login Attempts Reloaded, aby blokować adresy IP po kilku nieudanych próbach logowania. Jeśli nie potrzebujesz otwartej rejestracji, wyłącz ją w Ustawienia -> Ogólne.
3. Blokada fałszywych zamówień (Dla sklepów WooCommerce)	Aktywuj wbudowaną ochronę WooCommerce. Wejdź w WooCommerce -> Ustawienia -> Zaawansowane -> Funkcje i włącz opcję "Limit stawek zamówienie (kasa)". To proste kliknięcie znacząco ograniczy możliwość masowego składania zamówień przez boty.
4. Wzmocnienie ochrony (Opcjonalnie)	Jeśli podstawowe metody ochrony przed masową próbą logowań nie wystarczają, rozważ zmianę domyślnego adresu logowania za pomocą wtyczki WPS Hide Login. W przypadku sklepów WooCommerce możesz dodatkowo wdrożyć Cloudflare Turnstile co znacząco zwiększy ochronę całej witryny jak i wrażliwych miejsc np. kasy przy składaniu zamówienia.