Protection des formulaires WordPress contre le spam : la solution antispam de Mosparo

par | Mar 3, 2025 | Développement WordPress

Un homme des années 1920 sort un jouet petit vélo de son sac

Les solutions de captcha antispam pour les formulaires WordPress sont nombreuses mais pas forcément pratiques pour vos utilisateurs, parfois franchement moches et souvent peu respectueuses des données privées des utilisateurs. Après avoir analysé la solution captcha ALTCHA , nos experts en développement WordPress analysent pour vous la solution MOSPARO pour protéger les formulaires WordPress : comment ça marche et est-ce efficace ?

Principe de fonctionnement de Mosparo

Mosparo est un système antispam avec un captcha et une analyse des contenus postés par les  formulaires via des règles de filtrage. Contrairement à ALTCHA (retrouvez l’analyse de nos experts WordPress), le système de filtrage est installé sur un serveur que vous maîtrisez et donc la solution est totalement RGPD compatible.

Mosparo est un projet complètement open source (Licence MIT du serveur et plugin) créé en 2021 sur un besoin interne par Matthias Zobrist, informaticien engagé dans l’open source et basé en Suisse.

Il n’y a pas de fondation ou d’association supportant le projet mais une forte implication des développeurs dans le monde open source.

Contrairement à Altcha, Mosparo passe par l’installation d’un serveur. Il peut être hébergé sur le même serveur que votre site WordPress ou sur un serveur tiers. Il est simple à mettre en place mais nécessite des compétences techniques. La documentation est claire.

Les règles de filtrage des messages doivent être rentrées et maintenues et cela représente à nos yeux la plus grande difficulté. Ces règles peuvent être partagées entre serveurs et on pourrait s’attendre à voir une communauté grandir et partager des règles de gestion mais ce n’est pas le cas pour l’instant. Il faut configurer manuellement les règles à partir de zéro. L’intelligence artificielle permet d’aller beaucoup plus vite sur ce genre de travail.

Autres dispositifs complémentaires de Mosparo :

  • Un système de honeypot peut être activé simplement.
  • On peut régler un temps minimal de remplissage.
  • On peut activer une géolocalisation par IP puis blacklister des pays.
deux boxers des années 1920 se battent
Prêt pour l’installation du serveur ?

Installation du serveur Mosparo et réglages

L’installation du serveur Mosparo nécessite une pile apache / php  / mysql avec une dépendance Symfony. L’installation via Docker est possible.

La documentation est bien faite et l’installation est standard. Cependant attention à bien régler votre serveur et votre base de données pour supporter la charge. Voir la documentation d’installation.

Presque tous les réglages sont côté serveur.

  • design et apparence
  • temps minimum
  • honeypot
  • limite de requetes
  • ip lockout
  • bloc les soumissions similaires
  • IP white list
  • mode débug
  • monitoring des soumissions,
  • gestion des règles antispam
  • protection du backoffice du serveur https://mosparo.qodop.com/administration/security/ 

Côté WordPress, il faut installer un plugin.

Vous avez la possibilité d’activer le plugin sur les pages WordPress : connexion, inscription, commentaire  et mot de passe oublié.

La compatibilité avec les plugins de formulaires WordPress est large : Contact Form 7, Everest forms Formidable, Elementor Form, Gravity Form Jet Builder, Ninja formas WP forms, 

Pas d’autres réglages côté plugin, tout se fait sur le serveur.

Le système de traduction est standard avec fichier pot de traduction.

Quelques informations utiles sur le  plugin sur WordPress.org : 200 installations actives dernières mise à jour il y a 2 mois 4 langues (FR EN DE CZ)

Côté code, le dom appelle un script de 20k et une css de 10k. Le code php du plugin est complet. Il repose sur Symphony. Un peu de code inline dans le DOM.

Le système de filtrage est simple : vous constituez des listes de mots à détecter et vous leur collez un poids. Mosparo calcule le score global du message soumis et le met ou non en spam selon le score maximum que vous avez réglé. C’est simple mais pas évident à bien régler.

Voici en images le back office du serveur Mosparo

Le captcha Mosparo sur un formulaire WordPress
Le captcha Mosparo avec un message rejeté
Les réglages côté plugin WordPress
Le login du serveur Mosparo
Réglage du graphisme
La gestion de différents projets
La gestion des utilisateurs
Gestion des règles par groupe
Une liste de règles de filtrage
Editer les mots et leur poids dans le calcul du score de spam
Tableau récapitulatif des message et des filtrages
Liste des messages filtrés

Efficacité

D’après nos tests, l’efficacité de Mosparo repose sur la conjonction du honeypot et de la captcha. Les robots perfectionnés contournent simplement la protection mais le gros du spam est filtré. Pour la seconde étape de filtre anti-spam, c’est la qualité des règles de filtrages qui est en jeu. Vous pourrez à ce niveau filtrer plus spécifiquement les tentatives d’hameçonnage.

L’intérêt de Mosparo réside plus dans le système de filtrage puisque vous êtes ainsi mieux protégé contre le phishing contrairement à la solution Altcha décrite dans un précédent post.

De notre point de vue, la difficulté réside dans la mise en place et la maintenance des règles de filtrages malgré une interface simple et claire. Pour vous faire accompagner, contacter nos spécialistes de WordPress.

Aussi, il faut avoir les capacités techniques pour monter un serveur dédié au filtrage.

La solution Mosparo convient donc aux systèmes d’envergure ou aux organisations qui peuvent mutualiser le service (avec d’autres organisations ou entre services).

Photo de Austrian National Library