Commenti strani su WordPress: perché compaiono (anche senza form) e come disattivarli davvero

Ormai lavoro sul web, e con WordPress (ma non solo), da troppo tempo.
Molte cose che un tempo mi sorprendevano o mi facevano venire dubbi oggi fanno semplicemente parte della routine.
Però, scrivendo qui su questo sito, mi sto rendendo conto che alcune di queste “vecchie” conoscenze possono essere utili e, a volte, persino affascinanti.

Oggi parlo di una di quelle piccole stranezze che ogni tanto capitano a chi ha un sito WordPress: i commenti strani, quelli che non hanno senso, ma che compaiono lo stesso.

WordPress e i commenti: una vecchia abitudine

WordPress nasceva come piattaforma di blogging. Poi è diventato un CMS completo, capace di gestire qualunque tipo di sito.
Ma dentro ci sono ancora alcune funzioni che ricordano i suoi inizi, e i commenti sono una di queste.

Oggi i commenti vengono usati pochissimo.
Le conversazioni avvengono altrove, sui social, via newsletter, nei forum o su Discord, e il blog moderno è diventato più simile a un prodotto editoriale che a un diario pubblico.

Spesso i commenti vengono disattivati, oppure esternalizzati tramite piattaforme più moderne.
Eppure WordPress continua, come vent’anni fa, a mantenere i commenti aperti di default in tutti gli articoli.
E il fatto che tu non veda il form non significa che siano chiusi: il sistema che gestisce i commenti è ancora lì, attivo e accessibile. E i bot lo conoscono molto bene.

L’esempio: un commento “gentile” ma sospetto

Un giorno, su questo sito è comparso un messaggio così:

Was just browsing devinred.com and was impressed by the layout. Nicely design and great user experience. Just had to drop a message, have a great day! we7f8sd82

Sembra un complimento, vero?
E invece no: è spam automatico.

La parte interessante è quella finale: we7f8sd82.
Quel codice alfanumerico serve a chi invia il commento per cercare su Google dove è stato pubblicato.

È una specie di “segnaposto”: se il commento compare online, vuol dire che il sito accetta commenti senza filtro. Se non appare significa che i commenti sono chiusi, o moderati, quindi non è un sito utile per fare spam.

Prova a cercare su Google “we7f8sd82”: troverai lo stesso messaggio pubblicato su molti siti diversi.
Quello è il vero scopo: testare se il sito è aperto, se i commenti sono moderati o appaiono sul sito.
Se sì, allora il dominio entra nella lista di quelli “da colpire”: perfetti per future campagne di spam, link-building artificiale o, nei casi peggiori, inserimento di link malevoli nei profili dei commentatori.

Come riconoscere i commenti spam più comuni

Alcuni commenti arrivano in inglese su blog italiani, altri usano nomi inventati e siti improbabili, altri ancora sono pieni di complimenti generici che potrebbero andare bene ovunque..
Ecco i segnali più frequenti:

• Complimenti vaghi, mai specifici sull’articolo
• Frasi in inglese su un blog interamente in italiano
• Stringhe di numeri/codici (come il famoso “we7f8sd82”)
• Indirizzi email sospetti o formati in modo anomalo
• URL nascosti nel campo “sito web”

Se noti uno qualsiasi di questi elementi, è quasi certamente spam automatico.

Perché arrivano anche se non c’è il form

WordPress gestisce i commenti tramite un file chiamato wp-comments-post.php.
Questo file è pubblico e serve a ricevere le richieste di invio del commento.

Anche se nel tuo tema hai rimosso il form dal frontend (o lo hai nascosto via CSS), l’endpoint rimane raggiungibile.
I bot non hanno bisogno del form per inviare un commento: gli basta inviare una richiesta POST diretta a quell’indirizzo.

Ecco perché i commenti possono comparire anche su pagine che non hanno mai mostrato un form.

Come chiudere i commenti in WordPress (in modo efficace)

In teoria, puoi disattivare i commenti da Impostazioni → Discussione.
In pratica, quella opzione non disattiva del tutto il sistema: blocca solo l’apertura dei commenti sui nuovi post, ma non chiude l’endpoint (il wp-comments-post.php di cui ho parlato prima).

Se vuoi disattivarli completamente, bastano davvero poche righe di codice.
Non serve installare un plugin, non per una cosa così piccola.

💡 Consiglio: inserisci il codice nel functions.php del tema child o in un piccolo plugin personalizzato, così non si perde con gli aggiornamenti.

// Chiude i commenti e i pingback ovunque
add_filter('comments_open', '__return_false', 20, 2);
add_filter('pings_open', '__return_false', 20, 2);

// Chiude i commenti e i pingback ovunque
add_filter('comments_open', '__return_false', 20, 2);
add_filter('pings_open', '__return_false', 20, 2);

Conclusione: commenti strani su WordPress, meglio evitarli.

I commenti come “Nice design… we7f8sd82” non sono complimenti sinceri.
Sono semplicemente test automatici per capire se un sito è vulnerabile ai bot.

WordPress è uno strumento flessibile e potente, ma porta ancora con sé alcune abitudini dei suoi primi anni.
Se non usi i commenti come parte della tua strategia editoriale, chiuderli è la scelta più semplice e pulita: due righe di codice e la questione è risolta.

Se li usi, non pubblicarli direttamente, moderali, così eviti di diventare target per spammers.

Se non usi i commenti, la scelta migliore è chiuderli: eviterai bot, spam e controlli automatici inutili. Bastano davvero due righe di codice per farlo in modo definitivo. Se hai dubbi o preferisci non mettere mano ai file del tema, scrivimi pure: non vale la pena rischiare di diventare un bersaglio dei bot per una modifica così semplice.