Каждый сайт на WordPress рано или поздно сталкивается со спам-ботами. По оценкам рынка, до 80% всех комментариев в интернете — это автоматический спам, а не сообщения живых людей. WordPress управляет более чем 40% сайтов в мире, поэтому защита WordPress от спам-ботов — это не разовая настройка, а постоянный процесс. Боты массово регистрируют фейковые аккаунты, заваливают комментарии ссылками на казино и аптеки, дёргают XML-RPC и REST API — и делают это автоматически, тысячами запросов в сутки.
Мы в BotHunt ежедневно обрабатываем десятки миллионов запросов и видим, как устроены атаки на WordPress изнутри: какие точки входа боты используют чаще всего и почему привычные плагины-фильтры пропускают всё больше спама в 2026 году. В этом материале разберём, куда именно бьют спам-боты, сравним популярные антиспам-плагины, честно покажем границы капчи и honeypot и объясним, как отсекать ботов до того, как они доберутся до вашей базы данных.
Коротко:
Спам-боты атакуют WordPress через пять точек: комментарии (wp-comments-post.php), регистрацию, контактные формы, XML-RPC и REST API — закрывать нужно все сразу.
Akismet и облачные плагины фильтруют спам постфактум: запрос уже долетел до PHP и базы и нагрузил сервер — бот лишь не попал в публикацию.
В 2026 году нейросетевой спам (осмысленные комментарии от ChatGPT-ботов) всё чаще обходит фильтры по сигнатурам и чёрным спискам.
Капча снижает спам, но роняет конверсию форм и регистраций; honeypot ловит только примитивных ботов, заполняющих все поля подряд.
Проактивная защита распознаёт бота по поведению и цифровому отпечатку и блокирует запрос до WordPress — без капчи, без нагрузки на базу и с хранением данных в России.
Почему WordPress — главная мишень спам-ботов
WordPress — самая популярная CMS в мире, и спам-боты заточены именно под её типовые механизмы. Один бот, который умеет спамить один сайт на WordPress, автоматически умеет спамить миллионы таких же сайтов.
Причина в стандартизации. У всех сайтов на WordPress одинаковые адреса форм, одинаковые имена полей и предсказуемые эндпоинты. Боту не нужно изучать конкретный сайт — он работает по шаблону и проверяет один и тот же набор точек входа на каждом домене из своего списка. Поэтому защита WordPress от спам-ботов всегда строится как защита всех точек входа сразу, а не одной только формы комментариев.
Основные точки, через которые спам-боты атакуют WordPress:
Комментарии — прямая отправка POST на wp-comments-post.php.
Регистрация — создание фейковых аккаунтов через wp-login.php и REST API.
Контактные формы — Contact Form 7, WPForms, Gravity Forms.
XML-RPC — pingback-спам, перебор паролей, усиление атак.
REST API — программные комментарии и регистрации в обход интерфейса.
Чтобы наглядно показать, куда смотреть в первую очередь, мы свели точки входа в одну таблицу.
Точка входа | Механизм | Тип спама |
|---|---|---|
Комментарии |
| Ссылочный спам, реклама, фишинг |
Регистрация |
| Фейковые аккаунты, сплоги |
XML-RPC |
| Pingback-спам, брутфорс, амплификация |
REST API |
| Программные комментарии и регистрации |
Контактные формы | CF7, WPForms, Gravity | Спам-заявки, рассылки в CRM |
WooCommerce | Регистрация, оформление заказа | Фейк-заказы, проверка краденых карт |
Как спам-боты атакуют комментарии WordPress
Спам-бот не открывает ваш сайт в браузере и не нажимает кнопку «Отправить». Он шлёт POST-запрос напрямую на wp-comments-post.php и за секунды публикует десятки комментариев со ссылками.
Это ключевая причина, почему спам приходит даже на сайты со скрытой или нестандартно оформленной формой комментариев. Боту не нужен видимый интерфейс — ему достаточно знать стандартный адрес обработчика, который одинаков почти на всех сайтах WordPress.
Второй канал — XML-RPC. Через файл xmlrpc.php боты рассылают фейковые pingback-уведомления, которые превращаются в спам-ссылки в ваших комментариях. Тот же эндпоинт используют для перебора паролей и усиления атак методом system.multicall, когда в один запрос упаковываются сотни попыток.
Главное изменение 2026 года — нейросетевой спам. Раньше спам-комментарий легко выдавал себя бессвязным текстом и десятком ссылок. Теперь бот генерирует осмысленный комментарий через языковую модель: «Спасибо, очень полезная статья, у меня похожий опыт» — и подставляет одну аккуратную ссылку в профиль. Такой текст проходит мимо фильтров по сигнатурам и чёрным спискам, потому что формально он неотличим от живого.
Каждый принятый спам-комментарий — это не только мусор в публикации. Это лишняя запись в таблице wp_comments, нагрузка на базу данных и SEO-риск: исходящие ссылки на спам-домены ухудшают доверие поисковиков к вашему сайту.
Спам в регистрациях, формах и WooCommerce
Спам-регистрации создают фейковые аккаунты, которые боты используют для рассылок, размещения ссылок в профилях и обхода защиты на комментарии. На сайте с открытой регистрацией такие аккаунты появляются десятками в день.
Боты регистрируются двумя путями: через стандартную форму wp-login.php?action=register и программно — через REST API по адресу /wp-json/wp/v2/users. Второй способ опаснее: он не требует загрузки страницы, работает быстрее и часто остаётся незамеченным. Подробнее о структуре REST API можно почитать в официальном справочнике WordPress.
На WordPress Multisite отдельная боль — сплоги (от splog, spam blog). Это фейковые блоги и аккаунты, которые боты создают пачками для размещения SEO-ссылок и рассылки. Они раздувают базу пользователей и тянут вниз репутацию всего домена.
Для интернет-магазинов на WooCommerce спам-боты опаснее вдвойне. Кроме фейковых регистраций они проводят carding — тестирование краденых карт через оформление заказа маленькими суммами. Это грозит блокировкой эквайринга и штрафами от платёжной системы.
Отдельно бьют по бизнесу спам-заявки в контактных формах. Они забивают CRM мусором, тратят время менеджеров и маскируют реальные обращения. Как защитить форму, не ставя капчу, мы разбираем в статье «Как защитить форму обратной связи от спам-ботов без капчи».
Боты атакуют формы и регистрации вашего сайта прямо сейчас. Попробуйте BotHunt бесплатно 14 дней — плагин для WordPress ставится в один клик. Подключить защиту →
Плагины для защиты WordPress от спам-ботов: сравнение 8 решений
Антиспам-плагин — первый и обязательный рубеж, но важно понимать его границу: почти все плагины фильтруют спам уже после того, как запрос обработан PHP и записан в базу. Они прячут спам в очередь модерации, а не блокируют бота на входе.
Мы собрали восемь популярных решений в одну таблицу — с типом лицензии, зоной защиты, принципом работы и главным ограничением каждого.
Плагин | Цена | Что защищает | Принцип | Главный минус |
|---|---|---|---|---|
Akismet | Платный для бизнеса | Комментарии | Облачный анализ | Данные уходят за рубеж, AI-спам пропускает |
Antispam Bee | Бесплатный | Комментарии | Анализ текста, IP, email | Только комментарии |
CleanTalk | от 550 ₽/год | Комментарии, формы, регистрация, WooCommerce | Облачная база, без капчи | Проверка на внешних серверах |
Titan Anti-spam | Freemium | Комментарии, сканер | Эвристика | Полный функционал в PRO |
WP Zero Spam | Бесплатный | Комментарии, формы | JS-ключ без капчи | Обходится headless-браузером |
NoSpamNX | Бесплатный | Комментарии | Honeypot, скрытые поля | Ловит только простых ботов |
WP Bruiser | Бесплатный | Логин, регистрация | Ранняя блокировка | Узкий профиль защиты |
Kama SpamBlock | Бесплатный | Комментарии | Блок на этапе отправки | Только комментарии |
Картина показательная. Бесплатные плагины обычно закрывают одну точку — чаще комментарии. Универсальные облачные решения вроде Akismet или CleanTalk прикрывают больше, но платны для коммерции и отправляют данные посетителей (IP, email, имя) на зарубежные серверы — а это вопрос к соответствию 152-ФЗ. И почти все работают по сигнатурам, против которых нейросетевой спам становится всё эффективнее.
Капча и honeypot: работают ли они в 2026
Капча и honeypot отсекают часть ботов, но у обоих методов есть цена и потолок эффективности. Капча бьёт по конверсии, а honeypot ловит только примитивных ботов.
Капча — это видимый барьер: пользователь должен решить задачу, прежде чем отправить форму. По данным рынка, капча снижает конверсию форм и регистраций на 10–40% в зависимости от сложности. Хуже того, современные боты обходят её через сервисы распознавания и нейросети, поэтому защита, ради которой вы жертвуете конверсией, перестаёт быть надёжной. Мы подробно считаем потери в материале «Почему капча раздражает пользователей и роняет конверсию».
Если капча всё же нужна, выбирайте её осознанно. Сравнение reCAPTCHA, Яндекс SmartCaptcha и hCaptcha по точности, приватности и цене мы собрали в отдельной статье «reCAPTCHA vs SmartCaptcha vs hCaptcha».
Honeypot работает тоньше: в форму добавляют скрытое поле, невидимое человеку. Живой пользователь его не заполнит, а простой бот заполняет все поля подряд и выдаёт себя. Метод бесплатный и не мешает людям, но у него низкий потолок — продвинутые боты на headless-браузерах распознают скрытые поля по CSS и обходят ловушку.
Вывод простой. Капча и honeypot — полезные, но частичные меры. Они не закрывают XML-RPC и REST API, не различают живого пользователя и бота по поведению и в 2026 году всё чаще проигрывают автоматизации.
Хотите остановить спам без капчи и без потери конверсии? BotHunt различает бота и человека по поведению — пользователь ничего не замечает. Попробовать бесплатно →
Настройки WordPress против спама без плагинов
Встроенные настройки WordPress снижают видимый спам, но не блокируют ботов — они лишь прячут уже принятый спам в очередь модерации. Это полезный гигиенический минимум, который стоит включить на любом сайте.
Базовый набор настроек, доступный без единого плагина:
Премодерация комментариев — все новые комментарии уходят на проверку до публикации (Настройки → Обсуждение).
Закрытие комментариев для старых записей — автоматически отключайте комментарии для статей старше 30–90 дней: именно по архиву чаще всего бьют боты.
Отключение трекбеков и пингбеков — снимает целый класс XML-RPC-спама.
Чёрный список слов и ссылок — комментарии со стоп-словами и большим числом ссылок уходят в спам.
Запрет комментариев без регистрации — повышает порог входа, но не спасает от спам-регистраций.
Отключение xmlrpc.php — если вы не используете мобильное приложение и Jetpack, эндпоинт можно закрыть полностью.
У этого подхода есть фундаментальное ограничение. Все эти настройки срабатывают уже после того, как запрос бота принят и обработан WordPress. Спам всё равно долетает до PHP и базы данных, создаёт нагрузку и оставляет следы в таблицах wp_comments и wp_users. Вы экономите на плагинах, но платите ресурсами сервера и временем на ручную чистку. Если же сайт заодно атакуют брутфорсом, читайте «Защита WordPress от брутфорс-атак: 11 методов».
Проактивная защита: отсекаем спам-ботов до WordPress
Проактивная защита анализирует каждый запрос до того, как WordPress начнёт его обрабатывать, и блокирует бота по поведению и цифровому отпечатку — без капчи и без записи в базу. Это принципиально другой уровень: спам не фильтруется после приёма, а вообще не доходит до сайта.
Агент BotHunt работает per-request и принимает решение менее чем за 100 миллисекунд. Он анализирует поведение, заголовки, отпечаток браузера и TLS, репутацию IP и ASN. Если это бот — запрос отклоняется на входе, и обработчик комментария или регистрации даже не запускается.
Что это даёт сайту на WordPress:
Закрывает все точки сразу — комментарии, регистрации, формы, XML-RPC и REST API одним агентом.
Не нагружает базу — бот не доходит до PHP, поэтому в wp_comments и wp_users не появляется мусора.
Без капчи — живой пользователь не видит барьеров, конверсия не страдает.
Ставится в один клик — плагин для WordPress из официального каталога, без правки кода.
Данные в России — телеметрия обрабатывается на серверах в РФ, что снимает вопрос 152-ФЗ.
Чтобы разница была наглядной, сравним четыре подхода к защите WordPress от спама по ключевым параметрам.
Подход | Когда срабатывает | Нагрузка на базу | UX для людей | Данные в РФ |
|---|---|---|---|---|
Плагин-фильтр (Akismet) | После записи в базу | Есть | Без барьеров | Нет |
Капча | На отправке формы | Низкая | Страдает | Зависит от сервиса |
Настройки WordPress | После приёма запроса | Есть | Без барьеров | Да |
Проактивная защита (BotHunt) | До обработки WordPress | Нет | Без барьеров | Да |
Проактивный подход не отменяет гигиену — премодерацию и чёрные списки стоит держать включёнными. Но именно фильтрация на входе превращает борьбу со спамом из бесконечной ручной чистки в фоновый процесс. Так выглядит полноценная защита WordPress от спам-ботов: бот не доходит до сайта, а вы не тратите время на чистку базы. Это часть общей стратегии, которую мы описываем в гайде «Как защитить сайт от ботов».
Защитите WordPress от спам-ботов за 1 минуту — установите плагин BotHunt и забудьте о ручной чистке комментариев. Тарифы от 890 ₽/мес. Посмотреть тарифы →
Часто задаваемые вопросы
Почему Akismet пропускает спам-комментарии?
Akismet фильтрует спам постфактум и опирается на облачные сигнатуры и чёрные списки. Он хорошо ловит шаблонный спам, но всё хуже распознаёт нейросетевые комментарии 2026 года, написанные осмысленным текстом. Кроме того, для коммерческих сайтов Akismet платный, а данные комментаторов отправляются на зарубежные серверы.
Нужна ли капча, если уже стоит антиспам-плагин?
В большинстве случаев нет — капча дублирует функцию плагина и добавляет лишний барьер для живых пользователей. Капча снижает конверсию форм и регистраций, поэтому включать её стоит только как крайнюю меру. Проактивная защита по поведению решает ту же задачу без видимого пользователю шага.
Как защитить регистрацию WordPress от спам-ботов?
Включите премодерацию новых пользователей, ограничьте программную регистрацию через REST API (эндпоинт /wp-json/wp/v2/users) и добавьте проверку на этапе запроса. Боты регистрируют фейк-аккаунты массово и автоматически, поэтому ручная модерация не масштабируется. Агент BotHunt блокирует автоматические регистрации до того, как их обработает WordPress.
Что такое сплог-боты и чем они опасны?
Сплог-бот (от splog — spam blog) массово создаёт фейковые аккаунты и блоги, чаще всего на WordPress Multisite. Такие аккаунты используют для размещения ссылок, рассылки и обхода ограничений на комментирование. Они раздувают базу пользователей и портят репутацию домена в поисковых системах.
Спам идёт через XML-RPC — как его закрыть?
Если вы не используете XML-RPC (мобильное приложение WordPress, Jetpack, пингбеки), файл xmlrpc.php можно отключить полностью. Через него боты шлют pingback-спам, перебирают пароли и усиливают атаки методом system.multicall. Если XML-RPC нужен частично, фильтруйте запросы к нему на уровне антибот-агента.
Можно ли убрать спам в WordPress без плагинов?
Частично — встроенные настройки WordPress (премодерация, чёрные списки слов, отключение трекбеков, закрытие комментариев для старых статей) снижают видимый спам. Но эти настройки не блокируют ботов: спам всё равно долетает до PHP и базы данных, создавая нагрузку. Полностью убрать ботов помогает только фильтрация запросов до их обработки.
Чем BotHunt отличается от антиспам-плагина?
Антиспам-плагин фильтрует уже принятый спам внутри WordPress, а BotHunt отсекает бота на входе — до того, как запрос дойдёт до PHP и базы. Один агент закрывает сразу все точки: комментарии, регистрации, формы, XML-RPC и REST API, и работает без капчи. Данные обрабатываются на серверах в России, что важно для соответствия 152-ФЗ.
