WordPress 表单垃圾询盘太多？5 层防护（从轻到重）+ 不影响转化的做法

表单 spam（垃圾询盘）不仅浪费你时间，还会带来两个隐形损失：

• 真实询盘被淹没，你回复变慢，成交率下降
• 邮件系统被判“发垃圾”，导致你给客户的回复更容易进垃圾箱

但防 spam 也最容易过度：你把验证码开太狠，结果真客户提交不了。正确做法是：分层防护，从轻到重。

图：Cloudflare Turnstile（替代 CAPTCHA 的验证工具），常用来降低表单垃圾提交。

先做两件不影响转化的（通常就能挡住 60%）

第 1 层：Honeypot（蜜罐）

原理：加一个“人看不到但机器人会填”的字段，填了就拦。很多表单插件都有开关。优点：对真实用户几乎无感。

第 2 层：限流（Rate limit）

同一个 IP 在短时间提交太多就拦。你可以用安全插件、WAF、或者表单插件的限制功能。

再上中等强度（spam 很多时再用）

第 3 层：验证码（选对很关键）

• 优先“隐形/行为型”验证码（减少打扰）
• 如果 reCAPTCHA 对某些地区不友好，可以考虑 hCaptcha

原则：能不让客户点红绿灯就别让他点。

第 4 层：规则拦截（关键词/邮箱/域名）

根据你收到的垃圾内容规律做拦截，但别太激进。尤其是“按国家屏蔽”误伤率很高。

最后的重武器：WAF（Cloudflare 等）

如果你用 Cloudflare，可以把 WAF 作为最后一层。但注意：

• 别缓存表单提交请求
• 别拦正常用户（企业网络/代理很常见）
• 别把 Googlebot 一起误伤（会影响收录）

Cloudflare 最小配置可以参考：Cloudflare + WordPress 基础设置。

防 spam 不影响转化的关键：让表单更像“真实沟通”

你可以加一个“真实客户更愿意填、机器人更难填”的字段，例如：

• 公司网站/LinkedIn（可选）
• 图纸/需求描述（可选）
• 预算/交期（可选）

并在按钮附近写清楚：你会在多久内回复（比如 24 小时）。这会显著提高真实客户提交意愿。

验收（别凭感觉）

• 你自己用手机网络提交一次：能成功
• 让朋友用海外网络提交一次：不会被验证码卡死
• 观察 7 天：spam 明显下降，真实询盘不下降

建议你把“表单提交”做成 GA4 转化事件，这样你能量化看到防护是否误伤：GA4 安装与验证。