Le cauchemar du spam qui inonde votre site (et comment y mettre fin)

Imaginez : vous lancez un blog passion sur la cuisine végétale, les commentaires affluent… mais 80% sont des publicités pour des médicaments douteux ou des liens vers des casinos. Pire, votre boîte mail WordPress explose avec des notifications de faux comptes. Vous installez Akismet, le plugin anti-spam star de WordPress, en espérant en finir. Pourtant, quelques semaines plus tard, des spams passent encore à travers les mailles du filet.

Ce guide vous explique pourquoi Akismet seul ne suffit souvent pas, comment l’optimiser, et quelles solutions complémentaires déployer pour éliminer 99% du spam sans y passer des heures. Avec des procédures testées sur des sites réels (de 100 à 50 000 visites/mois).

Pré-requis et vision d’ensemble : ce dont vous avez besoin avant de commencer

Avant de plonger dans les réglages, voici ce qu’il faut savoir pour suivre ce tutoriel efficacement :

Note importante : Ce guide couvre à la fois les sites personnels (peu de trafic) et les sites professionnels (forte exposition au spam). Les étapes sont classées par ordre de priorité.

Tutoriel pas-à-pas : Optimiser Akismet et le compléter avec des outils efficaces

Étape 1 : Installer et configurer Akismet correctement (éviter les erreurs de base)

Objectif : Activer Akismet avec les paramètres optimaux pour maximiser son efficacité dès le départ.

1. Installer le plugin :
   • Allez dans Tableau de bord → Extensions → Ajouter.
   • Recherchez »Akismet Anti-Spam » (par Automattic).
   • Cliquez sur »Installer« , puis »Activer« .
2. Configurer la clé API :
   • Après activation, un message s’affiche pour obtenir une clé API.
   • Cliquez sur »Obtenir votre clé API » (redirection vers akismet.com).
   • Choisissez le plan »Personnel » (gratuit pour les sites non commerciaux) ou »Plus » (6$/mois pour les pros).
   • Copiez-collez la clé dans Réglages → Akismet Anti-Spam.
3. Paramétrer les options avancées :
   • Dans Réglages → Akismet Anti-Spam, cochez :
     • Vérifier automatiquement tous les commentaires (activé par défaut).
     • Afficher le nombre de commentaires approuvés (utile pour la transparence).
     • Marquer les commentaires comme spam s’ils contiennent des liens cachés (critique !).
   • Décochez »Permettre aux utilisateurs de voir les commentaires marqués comme spam » (sauf si vous gérez un forum public).

Comment vérifier que ça marche :

• Postez un commentaire test avec un lien vers un site douteux (ex: »acheter des followers instagram »).
• Vérifiez dans Commentaires → Spam : le commentaire doit y apparaître en quelques secondes.

Erreurs fréquentes et correctifs :

• La clé API ne fonctionne pas :
  • Vérifiez que vous avez copié toute la clé (sans espace avant/après).
  • Si le site est en HTTPS, assurez-vous que l’URL dans les réglages WordPress est bien en https://.
• Akismet ne bloque pas les spams en chinois/russe :
  • Ajoutez manuellement des mots-clés dans Réglages → Discussion (section »Liste noire de commentaires »). Exemple : виагра|casino|赌博.
• Trop de faux positifs :
  • Dans Akismet Anti-Spam → Statistiques, cliquez sur »Voir les commentaires marqués comme spam » et »Désapprouver » ceux qui sont légitimes.

Étape 2 : Renforcer la protection avec un CAPTCHA intelligent (sans frustrer vos visiteurs)

Objectif : Ajouter une couche de sécurité supplémentaire pour bloquer les bots avant qu’ils ne soumettent des formulaires.

Akismet analyse les commentaires après leur soumission. Un CAPTCHA les bloque avant. Le combo des deux réduit le spam de 90 à 98%. Voici comment faire avec hCaptcha (alternative moderne à reCAPTCHA, respectueuse de la vie privée) :

1. Installer le plugin :
   • Allez dans Extensions → Ajouter et recherchez »WPForms Lite » (ou »hCaptcha for WordPress » si vous utilisez des formulaires natifs).
   • Installez et activez.
2. Configurer hCaptcha :
   • Inscrivez-vous sur hCaptcha.com (gratuit jusqu’à 1 million de requêtes/mois).
   • Dans votre tableau de bord hCaptcha, notez votre Site Key et Secret Key.
   • Dans WordPress, allez dans Réglages → hCaptcha et collez les clés.
   • Cochez »Activer pour les commentaires » et »Activer pour les inscriptions« .
3. Tester le CAPTCHA :
   • Essayez de poster un commentaire : un widget hCaptcha doit apparaître.
   • Si vous utilisez un cache (ex: WP Rocket), videz-le pour voir les changements.

Comment vérifier que ça marche :

• Utilisez un navigateur en mode privé pour simuler un nouveau visiteur.
• Tentez de soumettre un commentaire sans cocher le CAPTCHA : le formulaire doit bloquer l’envoi.

Erreurs fréquentes et correctifs :

• Le CAPTCHA n’apparaît pas :
  • Vérifiez que votre thème ou un autre plugin ne désactive pas JavaScript (testez avec un thème par défaut comme Twenty Twenty-Four).
  • Si vous utilisez Cloudflare, désactivez temporairement le »Rocket Loader » dans Speed → Optimization.
• Les spams passent encore :
  • Certains bots contournent les CAPTCHA basiques. Passez à une solution comme CleanTalk (voir étape 3).

Étape 3 : Utiliser CleanTalk pour une protection anti-spam avancée (solution pro)

Objectif : Remplacer ou compléter Akismet par un outil plus agressif contre les spams complexes (bots sophistiqués, attaques DDoS par commentaires, etc.).

CleanTalk est une alternative payante (8$/an) qui bloque le spam avant qu’il n’atteigne votre serveur, réduisant la charge CPU. Idéal pour les sites avec +1 000 visites/jour.

1. S’inscrire et obtenir une clé :
   • Allez sur cleantalk.org et créez un compte.
   • Dans votre tableau de bord CleanTalk, notez votre Clé d’accès (onglet »Mes sites »).
2. Installer le plugin :
   • Dans WordPress, allez dans Extensions → Ajouter et recherchez »CleanTalk Anti-Spam« .
   • Installez et activez.
3. Configurer CleanTalk :
   • Dans Réglages → CleanTalk Anti-Spam, collez votre clé d’accès.
   • Cochez :
     • Vérifier les commentaires
     • Vérifier les inscriptions
     • Vérifier les contacts (formulaires)
     • Journaliser les spams bloqués (pour analyse).
   • Dans l’onglet »Paramètres avancés« , activez :
     • Bloquer les pays spécifiques (ex: Russie, Chine si votre audience est locale).
     • Limite de vitesse des commentaires (ex: 1 commentaire toutes les 15 secondes par IP).

Comment vérifier que ça marche :

• Dans CleanTalk → Journal des spams, vérifiez que des tentatives sont bloquées (même si vous ne les voyez pas dans WordPress).
• Testez avec un VPN (pour simuler une IP étrangère) : vos commentaires doivent être rejetés si vous avez bloqué des pays.

Erreurs fréquentes et correctifs :

• CleanTalk bloque des visiteurs légitimes :
  • Dans Journal des spams, cliquez sur »Débloquer » pour les IP/emails sûrs.
  • Ajoutez des exceptions dans Paramètres → Liste blanche.
• Conflit avec Akismet :
  • Désactivez Akismet si vous utilisez CleanTalk (les deux peuvent se chevaucher et ralentir le site).

Étape 4 : Bloquer les spams au niveau serveur (pour les experts)

Objectif : Empêcher les requêtes spammeuses d’atteindre WordPress en les filtrant via .htaccess ou Nginx.

Cette méthode est avancée mais extrêmement efficace pour réduire la charge serveur. À réserver aux utilisateurs à l’aise avec les fichiers de configuration.

1. Identifier les IP spammeuses :
   • Dans Akismet → Statistiques ou CleanTalk → Journal, notez les IP qui reviennent souvent.
   • Utilisez un outil comme AbuseIPDB pour vérifier leur réputation.
2. Bloquer les IP via .htaccess (Apache) :
   • Connectez-vous à votre site via FTP (FileZilla) ou le gestionnaire de fichiers de votre hébergeur.
   • Éditez le fichier .htaccess à la racine de WordPress.
   • Ajoutez ce code avant la ligne # BEGIN WordPress :
     

     Bloquer les IP spammeuses

      Order Allow,Deny Deny from 192.168.1.100 # Remplacez par les IP à bloquer Deny from 45.67.89.0/24 Allow from all 

3. Bloquer via Nginx :
   • Éditez votre fichier de configuration Nginx (généralement dans /etc/nginx/sites-available/votre-site).
   • Ajoutez dans le bloc server :

      location / { deny 192.168.1.100 deny 45.67.89.0/24 # ... } 

   • Redémarrez Nginx : sudo systemctl restart nginx.

Comment vérifier que ça marche :

Étape 5 : Automatiser le blocage avec des règles firewall (pour les experts)

Si vous gérez un site à fort trafic ou ciblé par des attaques répétées, automatiser le blocage des IP spammeuses via un firewall (comme Fail2Ban) peut sauver des ressources serveur. Cette méthode nécessite des compétences techniques mais offre une protection proactive.

Configuration de Fail2Ban avec WordPress :

Installez Fail2Ban sur votre serveur (via SSH) et configurez un filtre personnalisé pour détecter les requêtes suspectes vers votre site. Par exemple, créez un fichier /etc/fail2ban/filter.d/wordpress.conf avec des règles pour bloquer les tentatives de spam.

Exemple de règle (à adapter) :

[Definition]

failregex = ^.(POST|GET).wp-comments-post.php.*

ignorecommand =

maxretry = 3

findtime = 300

bantime = 86400

Activez ensuite le filtre dans /etc/fail2ban/jail.local et redémarrez Fail2Ban.

Étape 6 : Surveiller et ajuster la protection

Même avec des outils comme Akismet ou CleanTalk, une surveillance régulière est essentielle. Vérifiez les logs de votre serveur (via cPanel, Plesk ou SSH) pour identifier les nouvelles attaques et ajuster vos règles de blocage.

Outils utiles :

• Wordfence (pour les logs WordPress)
• WP Activity Log (pour suivre les actions suspectes)
• Les outils natifs de votre hébergeur (comme cPanel Metrics)

N’oubliez pas de tester régulièrement vos solutions anti-spam pour éviter les faux positifs (comme bloquer des visiteurs légitimes).

Si vous avez besoin d’aide, contactez un webmaster sérieux qui va vous aider dans vos tâches de site internet. Voici le numéro de téléphone : 09 77 29 09 69

Et n’oubliez pas : une bonne gestion comptable, c’est la clé d’une boutique prospère. Alors, prêt à prendre les commandes de vos finances ? 🚀

Théo Dupuis

Spécialiste en marketing SEO

Théo Dupuis est un expert en marketing SEO avec plus de 10 ans d'expérience. Il a aidé de nombreuses entreprises à améliorer leur visibilité en ligne grâce à des stratégies de référencement naturel innovantes. Passionné par les nouvelles technologies et les tendances du marché, il partage régulièrement ses connaissances lors de conférences et de formations.

Commentaires (3)

Jean71 il y a 2 semaines

Merci pour cet article très utile ! J'ai souvent eu des problèmes de spam sur mon blog et je me demandais justement si Akismet était suffisant. Vos conseils vont m'aider à mieux protéger mon site.

Thomas_49 il y a 2 semaines

J'ai installé Akismet sur mon blog et j'ai toujours quelques spams qui passent. Merci pour ce guide, je vais essayer les solutions alternatives proposées !

Pierre_62 il y a 2 semaines

Merci pour cet article très utile ! J'ai moi-même eu des soucis avec le spam sur mon blog et je vais essayer d'optimiser Akismet en suivant vos conseils.