Como corrigir o spam em formulários do WPForms com reCAPTCHA

Porque o reCAPTCHA, principalmente o v3, só atribui uma nota de comportamento e não bloqueia ninguém sozinho. Quem barra é o Score Threshold em WPForms -> Settings -> CAPTCHA, e se ele está baixo, bots com nota mediana passam. A recomendação do WPForms é somar camadas: Modern Anti-Spam, Akismet e os filtros de palavra e país.

É a nota mínima para o envio ser aprovado, configurada em WPForms -> Settings -> CAPTCHA. As notas vão de 0.0 (provável bot) a 1.0 (provável humano). Valores baixos como 0.3 deixam quase tudo passar. Suba de forma gradual, por exemplo para 0.5 e depois 0.7, testando se visitantes reais ainda conseguem enviar a cada ajuste.

O v2 Checkbox exige a interação 'Não sou um robô', o que cria atrito para o bot, enquanto o v3 roda em silêncio e só pontua. Trocar pode ajudar, mas o ganho maior vem de empilhar camadas: mantenha a Modern Anti-Spam Protection, ligue o Akismet e use o filtro de palavras, em vez de depender de um único captcha.

É a proteção nativa do WPForms, baseada em um token honeypot que depende de JavaScript, ligada por padrão em Settings -> Spam Protection and Security. Ela pega bots que ignoram o JavaScript da página e funciona junto com o reCAPTCHA, não no lugar dele. Confirme que não foi desativada ao editar o formulário.

O Akismet compara cada envio com uma rede global de spam reportado e bloqueia o que é reconhecido como tal, algo que a nota do reCAPTCHA não faz. Instale o plugin Akismet com uma API key válida e ative Enable Akismet anti-spam protection nas configurações de Spam Protection and Security do formulário.

Ambos ficam na seção Filtering, em Settings -> Spam Protection and Security. O filtro de palavras compara o envio com uma lista de termos, um por linha, sem distinguir maiúsculas, e bloqueia quem contém um deles. O filtro de país permite Allow ou Deny de regiões inteiras, útil quando o spam vem de lugares que você não atende.

Com Store spam entries ligado, o WPForms guarda os envios barrados em WPForms -> Entries, filtrando por Spam. Isso permite recuperar falsos positivos de visitantes reais e identificar que tipo de spam ainda passa, para então endurecer o Score Threshold ou adicionar termos ao filtro de palavras.