5 راه برای جلوگیری از سفارش‌های اسپم در ووکامرس

سفارش‌های اسپم در ووکامرس زمانی رخ می‌دهند که ربات‌ها یا افراد سودجو سفارش‌های جعلی ثبت می‌کنند. این سفارش‌ها باعث می‌شوند که دیتابیس سایت وردپرسی شما پر بشه از اطلاعات نامعتبر. در واقع سنگین میشه و توی سرعت لود سایت موثر هست و کم کم سرعت سایت کاهش پیدا میکنه. گذشته از این مشکل دیتابیس، اینکه شما براتون پیامک بیاد یا ایمیل که سفارشی ثبت شده قطعا هزینه بر هست و همچنین زمانی که شما برای چک کردن سفارش میزارید قطعا مهم هست و نوعی اتلاف تایم هست.

این مشکل معمولاً به دلیل تنظیمات امنیتی ضعیف رخ می‌دهد، مثل:

• فعال بودن پرداخت به عنوان مهمان
• نداشتن سیستم ضد ربات (Bot Protection)
• اعتبارسنجی ضعیف فرم‌ها

از آنجایی که ووکامرس ابزار داخلی برای جلوگیری از سفارش‌های اسپم ندارد، باید با استفاده از روش‌های مختلف، جلوی این مشکل را بگیری.

در ادامه بهترین راه‌ها برای این کار را بررسی می‌کنیم.

1. راه‌اندازی کلود فلر : اولین خط دفاعی

یکی از موثرترین راه‌ها برای جلوگیری از سفارش‌های اسپم در ووکامرس، استفاده از Cloudflare است. این ابزار قبل از اینکه ربات‌ها به سایتت برسند، آن‌ها را مسدود می‌کند.

کلودفلر (Cloudflare) یک سرویس شبکه توزیع محتوا (CDN)، امنیت وب، و ارائه‌دهنده خدمات DNS است که به بهبود سرعت، امنیت، و عملکرد وب‌سایت‌ها کمک می‌کند. به زبان ساده، کلودفلر بین کاربر و سرور اصلی سایت قرار می‌گیرد و به عنوان یک واسطه عمل می‌کند تا محتوای سایت را سریع‌تر به کاربر برساند و از سایت در برابر تهدیدات مختلف محافظت کند.

چرا Cloudflare بهتر از راهکارهای دیگر است؟

✅ CAPTCHA و افزونه‌های ضد اسپم، فقط پس از ورود ربات‌ها به سایت عمل می‌کنند.
✅ Cloudflare ترافیک‌های مخرب را در لبه شبکه (Edge) فیلتر می‌کند و مانع از رسیدن ربات‌ها به فرم‌های پرداخت و ثبت‌نام می‌شود.

1. Cloudflare فقط یک CDN (شبکه تحویل محتوا) نیست؛ این سرویس شامل:
2. Bot Fight Mode برای مسدود کردن ربات‌های مشکوک
3. فایروال (WAF) برای فیلتر کردن درخواست‌ها بر اساس قوانین سفارشی
4. محدود کردن IP و مدیریت کشورها

ما توی این مقاله پنج روش رو معرفی کردیم اما اینو در نظر داشته باشید، کلود فلر قبل از اینکه هر کاربر وارد سایت شما بشه یا درخواستی ثبت بکنه ، ربات رو تشخیص میده و نمیزاره حتی سایت و پهنای باند شما رو اشغال کنه. اما چهار روش بعدی پس از اینکه درخواستی ثبت بشه روی سایت، تشخیص داده میشه. پس از منابع مثل پهنای باند استفاده میکنه و بعدش تشخیص داده میشه. درواقع کلودفلر تنها یک مسدود کننده ربات ها نیست. یک نوع منبع امنیتی هست که حتی میتونید آیپی های بعضی کشور ها رو هم ببندید که از منابع خودتون محافظت کنید.

چرا باید اکانت شخصی Cloudflare داشته باشی؟

برخی هاست‌ها از Cloudflare استفاده می‌کنند، اما اگر اکانت شخصی Cloudflare داشته باشی:
✅ می‌تونی قوانین امنیتی شخصی‌سازی‌شده برای صفحات پرداخت و ثبت‌نام تنظیم کنی.
✅ امکان مسدود کردن کشورهای خاص یا فقط اجازه دادن به مناطق دلخواه رو داری.
✅ می‌تونی محدودیت‌های بیشتری برای ربات‌ها قبل از رسیدن به سایت تعریف کنی.

اگر فقط از Cloudflare هاست استفاده کنی:

تیم پشتیبانی هاست می‌تونه ربات‌ها یا IPها رو مسدود کنه اما کنترل کامل روی تنظیمات امنیتی نخواهی داشت.

 چطور Cloudflare را برای محافظت از ووکامرس تنظیم کنیم؟

برای این بخش میتونی ویدئو رو تماشا کنی اما به صورت کلی بخوام بهت بگم :

اول وارد سایت کلود فلر دات کام شو. بعد ثبت نام کن یا با اکانت قبلی خودت وارد شو. اینجا میتونی با اکانت گوگل خودت لاگین کنی. بعد گزینه add رو بالا سمت راست کلیک کن و از لیستی که باز میشه گزینه connect a domain انتخاب کن.

طبق عکس بالا، بعد از کلیک کردن این صفحه نمایش داده میشود، که باید اون بخشی که اسم دامنه رو گذاشتم داخل کادر بنویسید سپس گزینه اول که پیشنهاد شده کلیک کنید (گزینه quick scan for DNS records). و گزینه ادامه رو بزنید.

در این قسمت پلن های مختلف نشون میده که هر کدوم امکانات و مزایای خاص خودشون رو دارن. اما میتونید از پلن رایگان استفاده کنید که البته برای شروع کافیه.

در مرحله بعدی کلودفلر، دامنه شما را اسکن میکند، یک لیست از رکوردهایی را از هاست خود خواهید دید.مطمئن شوید که دامنه و ساب دامنه های وارد شده مربوط به خودتان و صحیح می باشد سپس دکمه ادامه را بزنید.

حالا بعد از دکمه ادامه که بزنید کلود فلر برای شما نام سرور جدید میسازد و در اختیار شما قرار می دهد. نام سرور یا dns های جدید را روی دامنه خود ست کنید. باید از جایی که دامنه خرید کردید ارسال کنید یا خودتان از پنل کاربری به صورت دستی وارد کنید. پس از وارد کردن به پنل کلودفلر وارد شوید و دکمه چک را بزنید، ممکن است بلافاصله شناسایی نکند بعد از چند دقیقه مجدد چک کنید تا از اتصال اطمینان حاصل کنید.

برخی از شرکت ها به صورت رایگان این سرویس را فعال میکنند اما چرا باید ما خودمون یک پنل اختصاصی بزنیم؟ شما اگر پنل داشته باشید در مرحله بعد که شرط و بومی سازی میکنید را می توانید اختصاص سایت خود تنظیم کنید. یعنی ممکنه بازدید برای همه کشور ها باز باشه اما زمانیکه روی سایت با دامنه خودتون تنظیمات انجام بدید نیاز باشه فقط کاربران ایرانی را مجاز کنید نه سایر کشورها.

فعال‌سازی Bot Fight Mode برای مسدود کردن ربات‌های مخرب

یکی از ویژگی‌های امنیتی داخلی کلودفلر، Bot Fight Mode است که ربات‌های مخرب شناخته‌شده را قبل از اینکه بتوانند با فروشگاه ووکامرس شما تعامل داشته باشند، مسدود می‌کند.

برای فعال‌سازی آن، به داشبورد کلودفلر بروید و مسیر Security > Bots را دنبال کنید. سپس گزینه Bot Fight Mode را پیدا کرده و آن را روشن (ON) کنید.

فعال‌سازی این قابلیت بلافاصله باعث کاهش سفارشات اسپم خودکار می‌شود، زیرا از دسترسی ربات‌ها به صفحات تسویه‌حساب و ثبت‌نام شما جلوگیری می‌کند.

در کنار فعال‌سازی Bot Fight Mode، پیشنهاد می‌شود که گزینه Block AI Bots را نیز روشن کنید (این گزینه دقیقاً در کنار آن قرار دارد). مهندسان پشتیبانی کلودفلر اشاره کرده‌اند که هرچند این تنظیمات برای جلوگیری از اسپم در ووکامرس کاملاً ضروری نیست، اما می‌تواند از افزایش ناگهانی فشار روی سایت جلوگیری کند. برخی از ربات‌های هوش مصنوعی با ارسال حجم زیادی از درخواست‌های بدون کش، باعث کندی سایت می‌شوند. با فعال کردن Block AI Bots، می‌توانید ترافیک اسپم را کاهش داده و از بار غیرضروری روی سرور جلوگیری کنید تا فروشگاه ووکامرس شما به خوبی کار کند.

حالت سوم مربوط به ربات های هوش مصنوعی هستند مثل deepseek یا chatgpt که درواقع از اطلاعات سایت شما برای جستجو و پاسخ خودشون استفاده میکنند. این ربات ها به فایلهایی مثل robots.txt که مجوز استفاده یا عدم استفاده نوشته شده ، توجهی نمیکنند. برای جلوگیری میتونید این بخش هم فعال کنید و بار سرور را کاهش دهید. اما به صورت کلی چون هر روزه استفاده از هوش مصنوعی برای کاربران بیشتر می شود بهتر هست که این بخش فعال نکنید. چون پس از پاسخ نام منابع هم در چت های هوش مصنوعی درج می شود و کاربر را مثل گوگل وارد سایت شما می کند.

ایجاد قانون WAF برای جلوگیری از اسپم در ووکامرس

کلودفلر به شما امکان می‌دهد با استفاده از WAF، ترافیک اسپم را قبل از رسیدن به فروشگاه ووکامرس فیلتر کنید. در همان منوی security گزینه WAF کلیک کنید. دو تا از قوانین که برای سایت های ووکامرسی خیلی مناسب هستند در ادامه گذاشته شده. اجباری نیست اما به سایت شما کمک زیادی خواهد کرد.

قانون اول : محافظت از پرداخت و ثبت‌نام:
در Cloudflare > Security > WAF، قانونی با نام WooCommerce Spam Protection ایجاد کنید و:

URI Path را روی /checkout/ و /my-account/ قرار دهید.

URL Query String را شامل wc-ajax=checkout کنید.

اقدام را روی Managed Challenge تنظیم کنید تا کاربران مشکوک تأیید هویت شوند.

قانون دوم : مسدود کردن کشورها:
قانونی جداگانه در Security > WAF ایجاد کرده و Country را روی “does not equal” برای کشورهایی که فروشگاه شما پشتیبانی نمی‌کند، تنظیم کنید. سپس، اقدام را روی Block بگذارید.

این قوانین از ورود بات‌های اسپم و سفارش‌های جعلی جلوگیری می‌کنند. برای فیلتر دقیق‌تر، می‌توانید از افزونه‌های وردپرس نیز استفاده کنید.

2. اضافه کردن CAPTCHA به فرم‌های پرداخت و ثبت‌نام

CAPTCHA باعث می‌شه که کاربر قبل از ثبت سفارش یا ورود، ثابت کنه که ربات نیست. کپچا یا Completely Automated Public Turing test to tell Computers and Humans Apart به معنای تست تشخیص انسان و ربات از همدیگر می باشد. به این صورت که کاربر اگر انسان تشخصی داده نشه مثلا از وی پی ان استفاده میکند احتمال دارد که ربات خزنده یا مخرب باشد با سوالاتی که فقط انسان با دیدن به آن ها می تواند پاسخ دهد مانند تایپ یک عدد داخل تصویر یا انتخاب تصویر یا …، انسان را تشخیص می دهد.

هر قسمت از سایت که فرم دارید مثل فرم های تسویه حساب یا فرم ورود به سایت یا ثبت نام و .. باید کپچا قرار دهید.

برای اضافه کردن کپچا به سایت های ووکامرسی، افزونه های زیادی وجود دارد که ما اینجا دو افزونه : Simple Cloudflare Turnstile یا Advanced Google reCAPTCHA به شما پیشنهاد میکنیم. فقط کافیست یکی از آنها را نصب کنید نه هر دو.

گزینه اول : استفاده از Turnstile کلود فلر

گزینه Turnstile کلودفلر یک جایگزین خوب برای ریکپچای گوگل است که به صورت اتوماتیک بدون حل کردن پازل ها فرآیند تسویه حساب را ساده می کند.

برای شروع کافیست داخل سایت کلودفلر لاگین کنید و گزینه Turnstile را انتخاب کنید و دکمه Add Widget کلیک کنید.

حالا یک نام برای این ویجت وارد کنید، سپس روی Add hostnames   برای افزودن سایت خود کلیک کنید.

بعدکمی اسکرول کنید رو به پایین و دکمه create را کلیک کنید. بار اول که ویجت را بسازید کلود فلر برای شما یک کلید API  ایجاد می کند آنرا کپی کنید و در سایت وردپرسی خود وارد کنید.

برای آن نیاز به نصب افزونه داریم. در مخزن افزونه های رایگان وردپرس گزینه Simple cloudflare Turnstile را سرچ کنید البته وقتی کلمه cloudflare سرچ بزنید گزینه های زیادی هستند که میتونید استفاده کنید اما پیشنهاد ما همین افزونه معرفی شده است. حالا نصب و فعال سازی را انجام دهید.

بعد از نصب افزونه از منوی تنظیمات گزینه Turnstile کلودفلر را انتخاب کنید و مثل عکس زیر API را کپی و جایگذاری کنید.

پایین همین صفحه گزینه های فرم های ووکامرسی را میتوانید فعال کنید. بهتره برای فرم ثبت نام و لاگین و همچینن فرم تسویه حساب را انتخاب کنید و دکمه ذخیره را بزنید.

گزینه دوم :  استفاده از Google reCAPTCHA پیشرفته

Google reCAPTCHA یکی از پرکاربردترین ابزارهای محافظت از هرزنامه است. reCAPTCHA v2 (تأیید کادر تأیید) و reCAPTCHA v3 (تأیید پس‌زمینه) را ارائه می‌دهد.

reCAPTCHA دو نسخه‌ی محبوب دارد که هرکدام روش متفاوتی برای تشخیص ربات‌ها از کاربران واقعی دارند:

reCAPTCHA v2 (Checkbox Verification) :
در این نسخه، کاربر باید یک چک‌باکس را تیک بزند که معمولاً با عبارت “من ربات نیستم” (I’m not a robot) نمایش داده می‌شود.

در برخی موارد، اگر گوگل به رفتار کاربر مشکوک شود، ممکن است چالش تصویری (مانند انتخاب تصاویر خاص) نمایش داده شود.

برای وب‌سایت‌هایی که تعامل مستقیم کاربر را می‌خواهند، این نسخه گزینه‌ی مناسبی است.

reCAPTCHA v3 (Background Verification) :

این نسخه بدون نیاز به اقدام مستقیم از طرف کاربر کار می‌کند.

گوگل بر اساس تعامل کاربر با سایت، یک امتیاز (Score) از ۰ تا ۱ تعیین می‌کند. امتیاز بالاتر به معنای احتمال بالاتر کاربر واقعی بودن است.

مدیر سایت می‌تواند بر اساس این امتیاز تصمیم بگیرد که آیا یک اقدام خاص (مثل ارسال فرم) انجام شود یا به تأیید بیشتری نیاز دارد.

برای سایت‌هایی که نمی‌خواهند کاربر را درگیر تأیید دستی کنند، نسخه‌ی v3 مناسب‌تر است.

به‌طور خلاصه، reCAPTCHA v2 کاربر را درگیر می‌کند، اما reCAPTCHA v3 کاملاً در پس‌زمینه عمل می‌کند و تجربه‌ی بهتری برای کاربران واقعی ارائه می‌دهد.

برای شروع استفاده از Google reCAPTCHA، وارد حساب Google خود شوید. پس از ورود به سیستم، به صفحه محصولات reCAPTCHA بروید و روی شروع کار کلیک کنید. این شما را به قسمت مدیریت می برد، جایی که می توانید با کلیک کردن + ایجاد یک سایت جدید ثبت کنید. یک برچسب برای شناسایی CAPTCHA وارد کنید، سپس یک نوع چالش را انتخاب کنید. برای این راهنما، reCAPTCHA v2 را انتخاب کنید و گزینه “من یک ربات نیستم” را انتخاب کنید.

پس از انتخاب نوع چالش، دامنه سایت خود را بدون هیچ پیشوندی (مانند example.com) اضافه کنید. سپس روی ارسال کلیک کنید و کلید سایت و کلید مخفی تولید شده برای شما را کپی کنید.

سپس به داشبورد وردپرس خود بازگردید. به Plugins > Add New بروید، Advanced Google reCAPTCHA را جستجو کنید، سپس روی Install Now و Activate کلیک کنید.

پس از فعال شدن، به تنظیمات > پیشرفته Google reCAPTCHA بروید. کپچا را انتخاب کنید و کلید سایت و کلید مخفی را از گوگل در فیلدهای مربوطه قرار دهید.

همچنین، نحوه نمایش CAPTCHA را انتخاب کنید، سپس به تب Where To Show بروید. در اینجا، reCAPTCHA را در فرم ها فعال کنید و هر دو WooCommerce Checkout و WooCommerce Registration را بررسی کنید. در نهایت روی Save Changes کلیک کنید تا تنظیمات اعمال شوند.
با تکمیل این راه‌اندازی، صفحه تسویه‌حساب فروشگاه خود را باز کنید تا تأیید کنید که CAPTCHA کار می‌کند. اگر همه چیز به درستی پیکربندی شده باشد، اکنون باید کادر انتخاب I’m not a robot در جایی که لازم است ظاهر شود.

3. استفاده از افزونه‌های ضد اسپم

ووکامرس به تنهایی از هرزنامه ها و اسپم ها جلوگیری نمیکند، بنابراین افزونه های جانبی میتوانند در کاهش ایمیل های مزاحم کمک کنند. افزونه های زیادی در مخزن وردپرس وجود دارد اما دو گزینه پیشنهادی، افزونه اکیسمنت و CleanTalk Spam Protect می باشد.

افزونه clean talk فرم یا چیزی مقابل کاربر قرار نمیدهد و از دیتابیس جهانی خود استفاده میکند و ربات ها و … را در پس زمینه پیدا و از ارسال ایمیل و سفارش های جعلی جلوگیری می کند.

هر دو افزونه : اکیسمنت و کلین تاک را مشابه مرحله قبلی میتوانید از مخزن وردپرس دانلود کنید و روی وبسایت نصب و فعال سازی کنید.

4.غیرفعال کردن پرداخت به عنوان مهمان

در ووکامرس امکانی وجود داره که کاربر مهمان یعنی کاربری که داخل سایت لاگین نکرده و وارد حساب کاربری خودش نشده هم بتونه خریدشو انجام بده. این گزینه خوبیه اما احتمال ثبت سفارش های جعلی و اسپم رو افزایش میده. اگر سفارش های اسپم زیادی داخل سایت شما ثبت میشه و چهار گزینه بالا جوابگو کار شما نبود میتونید این گزینه پرداخت مهمان را غیر فعال کنید تا از ثبت سفارش های اشتباه جلوگیری بشه.

روش غیرفعال کردن:

به بخش WooCommerce > Settings > Accounts & Privacy برو.

تیک گزینه Allow customers to place orders without an account یا اجازه ثبت سفارش به مشتری‌ها دهید بدون نیاز به حساب کاربری  رو بردار.

5. استفاده از افزونه‌های ضد تقلب

حتی با کپچا و اقدامات ضد هرزنامه، برخی از تراکنش‌های جعلی همچنان می‌توانند انجام شوند. این امر به ویژه در مورد کلاهبردارانی که از کارت های اعتباری دزدیده شده، جزئیات جعلی مشتری، یا سفارشات تولید انبوه برای سوء استفاده از فروشگاه های ووکامرسی استفاده می کنند، رایج است.

این افزونه ها عوامل خطر مختلف مانند آدرس های IP، دامنه های ایمیل، جزئیات صورتحساب و رفتارهای سفارشی غیرعادی را برای تشخیص تقلب احتمالی تجزیه و تحلیل می کنند. اگر سفارشی به‌عنوان پرخطر علامت‌گذاری شود، افزونه می‌تواند به‌طور خودکار آن را مسدود کند، آن را برای بررسی دستی نگه دارد یا به مدیر فروشگاه اطلاع دهد.

یکی از افزونه های پیشنهادی افزونه Fraud Prevention For WooCommerce می باشد که میتوانید از مخزن وردپرس نصب و فعال سازی کنید. این افزونه یکی از افزونه های سبک و قدرتمند برای تشخیص اسپمر ها می باشد.

با انتخاب گزینه های مناسب در قسمت تنظیمات لیست سیاه، تصمیم بگیرید که آیا می خواهید کاربران کلاهبردار را در هنگام ثبت نام، پرداخت یا هر دو مسدود کنید. بر اساس زمانی که می خواهید افزونه فعالیت های جعلی را شناسایی و از آن جلوگیری کند، کادرها را علامت بزنید و ذخیره کنید.

نکته:

این افزونه‌ها معمولاً به صورت رایگان + نسخه Pro ارائه می‌شن. برای فروشگاه‌های بزرگ، نسخه Pro نتیجه بهتری می‌ده.

جمع بندی

پنج روش کامل با آموزش داخل این مقاله گذاشته شد. اگر سوالی داشتین میتونید توی کامنت ها بپرسید یا اگر تمایل داشتین که متخصص این کار رو براتون انجام بده میتونید از صفحه تماس با ما با من درارتباط باشید.

موفق باشید.