适用版本: Elementor Pro(Form 表单)
阅读时间: 10~15 分钟
前言
Elementor Pro 自带的 Form 表单功能十分强大,无需安装 Contact Form 7、WPForms 等插件,就可以快速搭建联系我们、产品询价、在线留言、售后支持等页面。
然而,网站上线一段时间后,很多站长都会遇到同一个问题:
- 每天收到几十封甚至几百封垃圾邮件;
- 邮件内容全部是英文广告;
- 包含博彩、SEO 推广、贷款等垃圾信息;
- 同一个时间连续收到大量提交;
- 邮箱被垃圾邮件塞满,真正的客户咨询反而容易被忽略。
那么,有没有办法彻底杜绝 Elementor 垃圾邮件?
答案是:没有任何一种方法能够保证 100% 杜绝垃圾邮件,但通过合理配置,可以拦截 95% 以上的垃圾提交。
本文将介绍 7 种常见且实用的防护方案,并附带详细配置步骤,帮助你打造更加安全的 Elementor 联系表单。
为什么 Elementor 会收到垃圾邮件?
首先,我们需要了解垃圾邮件是如何产生的。
大多数垃圾邮件并不是人工填写,而是由自动化程序(Bot)完成。
这些机器人会不断扫描互联网中的网站,一旦发现存在表单,就会自动提交数据。
常见特点包括:
- 英文内容居多;
- 邮箱地址随机生成;
- 内容包含大量网址;
- 短时间内连续提交;
- 来自全球不同地区的 IP。
如果网站没有任何防护措施,那么几乎每天都会收到垃圾提交。
方法一:启用 Google reCAPTCHA(★★★★★)
Google reCAPTCHA 是目前最经典的人机验证方案,也是很多网站的首选。
Elementor 已经内置支持,无需额外开发即可使用。
reCAPTCHA 有哪些版本?
目前主要有:
- reCAPTCHA v2(需要勾选”我不是机器人”)
- reCAPTCHA v3(后台自动评分,无需用户点击)
对于企业官网而言,推荐使用 v3,因为不会影响用户体验。
第一步:申请密钥
访问 Google reCAPTCHA 官网。
创建新的验证项目:
- 填写网站名称;
- 选择 v3 或 v2;
- 输入网站域名;
- 提交后获得:
Site Key
Secret Key
第二步:配置 Elementor
后台进入:
Elementor
→ 设置(Settings)
→ Integrations(集成)
找到:
reCAPTCHA v3
填写:
- Site Key
- Secret Key
点击保存。
第三步:添加验证码字段
编辑页面。
打开 Form 小工具。
新增字段:
reCAPTCHA
更新页面即可。
优点
✔ 免费
✔ 官方支持
✔ 安全性高
✔ 配置简单
缺点
- 国内部分地区访问 Google 服务可能受到影响;
- 极少数情况下会误判正常用户。
推荐指数
⭐⭐⭐⭐☆
方法二:使用 Cloudflare Turnstile(★★★★★ 推荐)
近年来,越来越多的网站开始使用 Cloudflare Turnstile。
它被很多人认为是 Google reCAPTCHA 的最佳替代方案。
最大的特点就是:
几乎没有验证码。
绝大多数用户甚至感觉不到它的存在。
为什么推荐 Turnstile?
相比传统验证码:
- 无需点击图片;
- 不需要识别红绿灯;
- 用户体验更好;
- 免费;
- 与 Cloudflare 集成方便。
如果你的网站已经使用 Cloudflare CDN,那么强烈建议使用 Turnstile。
第一步:创建 Turnstile
登录 Cloudflare。
左侧找到:
Turnstile
点击:
Add Widget
填写:
Widget Name
Hostname
例如:
example.com
www.example.com
创建成功后,会得到:
Site Key
Secret Key
第二步:配置 Elementor
进入:
Elementor
Settings
Integrations
填写:
Site Key
Secret Key
保存。
如果当前 Elementor 版本尚未支持 Turnstile,也可以安装支持 Turnstile 的 WordPress 插件进行集成。
第三步:在 Form 中启用
打开 Elementor 编辑器。
选择 Form。
添加:
Turnstile
发布页面即可。
优点
✔ 免费
✔ 用户体验优秀
✔ 几乎无感知
✔ 防护效果好
✔ 支持移动端
推荐指数
⭐⭐⭐⭐⭐
这是目前最推荐的方案之一。
方法三:开启 Honeypot(蜜罐)(★★★★☆)
很多人不知道,其实 Elementor Form 已经内置 Honeypot。
它是一种非常巧妙的反垃圾技术。
Honeypot 的工作原理
页面中会隐藏一个普通用户看不到的输入框。
正常访客:
不会填写。
机器人:
通常会把所有输入框全部填写。
一旦检测到 Honeypot 字段存在内容,就直接拒绝提交。
整个过程:
- 用户无感知;
- 不影响体验;
- 不需要验证码。
如何开启?
编辑 Form。
在 Additional Options(附加设置)中:
Honeypot
Enable
保存即可。
不同版本的位置略有不同,但基本都在 Form 设置里面。
优点
- 完全免费;
- 不影响用户体验;
- 配置只需几秒钟。
缺点
对于高级机器人效果有限。
因此建议配合验证码一起使用。
推荐指数
⭐⭐⭐⭐☆
方法四:限制表单提交频率(★★★★★)
很多垃圾机器人都有一个特点:
一分钟提交几十次。
正常客户几乎不会这样操作。
因此限制提交频率,是非常有效的方法。
Cloudflare Rate Limiting
例如可以设置:
同一个 IP
60 秒
最多提交 3 次
超过后:
Block
Challenge
Managed Challenge
这样机器人基本无法继续提交。
Nginx 限流
如果使用 Nginx,也可以配置 POST 请求限制。
例如:
每秒允许:
2 次
突发:
5 次
超出限制直接返回:
429 Too Many Requests
这样可以有效降低服务器压力。
提示: 修改 Nginx 配置前建议先备份配置文件,并测试配置是否正确,避免影响网站正常访问。
推荐指数
⭐⭐⭐⭐⭐
对于访问量较大的网站,非常值得配置。
方法五:启用 Akismet(★★★★☆)
很多人认为 Akismet 只能过滤评论。
实际上,它同样可以用于表单垃圾过滤。
工作原理
Akismet 会根据全球垃圾数据库判断:
- 是否属于垃圾发送者;
- 是否存在恶意链接;
- 是否属于垃圾关键词;
- 是否曾经发送过 Spam。
对于英文垃圾邮件尤其有效。
如何配置?
安装:
Akismet Anti-Spam
绑定 API Key。
开启表单过滤。
不同插件接入方式略有区别。
优点
- 自动学习;
- 全球数据库;
- 无需人工维护。
缺点
免费版存在一定限制。
推荐指数
⭐⭐⭐⭐☆
##方法六:增加自定义验证(★★★★★)
如果你的网站主要面向企业客户,那么可以增加一些业务规则。
例如:
必须填写:
- 公司名称;
- 联系电话;
- 企业邮箱。
机器人通常不会满足这些规则。
过滤网址
很多垃圾邮件都包含:
https://
http://
www.
可以直接禁止。
例如:
如果留言内容包含多个网址
↓
拒绝提交
过滤关键词
例如:
Casino
SEO
Loan
Crypto
Poker
发现后直接拦截。
邮箱验证
建议禁止:
abc123@test.com
xxx@qq.test
123@abc.fake
同时限制邮箱格式。
手机号验证
根据目标市场设置规则。
例如:
国内:
11 位手机号
国外:
国际号码格式
这样可以进一步提高垃圾机器人提交的难度。
推荐指数
⭐⭐⭐⭐⭐
对于外贸网站和企业官网来说,这类验证往往比验证码更贴近实际业务需求。
方法七:使用 Cloudflare WAF(★★★★★)
如果网站已经接入 Cloudflare,那么 WAF 是不可忽视的一层防护。
它可以在请求到达 WordPress 之前,就将恶意访问拦截。
可以配置哪些规则?
例如:
限制国家
如果你的业务只面向中国。
可以:
仅允许:
中国
香港
澳门
台湾
其他国家:
Challenge
Block
限制 POST 请求
针对:
/wp-admin/admin-ajax.php
/contact
/contact-us
可以增加:
Managed Challenge
减少机器人访问。
拦截异常 User-Agent
很多垃圾机器人都会使用:
Python
curl
wget
bot
可以直接拦截。
注意: 不要盲目屏蔽包含
bot的所有 User-Agent,否则可能误伤 Google、Bing 等搜索引擎爬虫。建议结合 Cloudflare 提供的 Bot Management 或使用更精确的规则进行判断。
推荐指数
⭐⭐⭐⭐⭐
对于长期运营的网站,非常建议启用。
推荐组合方案
不同规模的网站,可以采用不同的防护策略。
企业官网(推荐)
- Cloudflare Turnstile
- Honeypot
- Cloudflare WAF
已经能够过滤绝大部分垃圾邮件。
外贸网站
建议增加:
- Turnstile
- Honeypot
- WAF
- 提交频率限制
- 企业邮箱验证
- 公司名称必填
效果会更好。
###高访问量网站
建议全部开启:
- Turnstile
- Honeypot
- WAF
- Rate Limit
- Akismet
- 自定义验证
多层防护才能获得最佳效果。
常见问题(FAQ)
开启验证码后为什么还有垃圾邮件?
验证码只能过滤一部分机器人。
一些高级自动化工具可以模拟真实浏览器行为,因此仍可能绕过验证。
建议搭配 Honeypot、WAF、提交频率限制等方案共同使用。
Turnstile 和 reCAPTCHA 哪个更推荐?
如果网站已经接入 Cloudflare,建议优先使用 Turnstile。
它配置简单、用户体验更好,而且无需用户频繁点击验证码。
如果无法使用 Cloudflare,则可以选择 Google reCAPTCHA。
Honeypot 可以替代验证码吗?
不能。
Honeypot 更适合拦截普通机器人,而验证码可以识别更复杂的自动化程序。
两者结合使用,效果会更理想。
为什么还是会收到少量垃圾邮件?
没有任何安全方案能够保证 100% 拦截所有垃圾邮件。
随着垃圾机器人不断升级,防护策略也需要持续优化。
定期查看服务器日志、更新 WordPress、Elementor 以及安全插件,才能保持较好的防护效果。
总结
Elementor Form 功能强大、使用方便,但如果没有任何安全措施,很容易成为垃圾邮件机器人的攻击目标。
对于大多数企业官网来说,建议至少启用 Cloudflare Turnstile(或 Google reCAPTCHA)+ Honeypot + Cloudflare WAF。如果网站访问量较大,还可以结合提交频率限制、自定义字段验证和 Akismet 进行多层防护。
需要强调的是,防范垃圾邮件没有”一劳永逸”的方法。通过多种技术组合,可以显著降低垃圾邮件数量,同时不会影响真实客户的正常提交体验。持续关注网站安全、及时更新程序和优化规则,才是长期稳定运行网站的关键。
本文由 好主题 原创整理,致力于分享实用的 WordPress 建站知识与主题开发经验。 我们专注于提供高质量的 WordPress企业主题 资源,帮助中小企业轻松构建专业网站。 转载请注明来源,并保留原文链接,感谢您的支持与理解。