Cet avertissement apparaît lorsque vous disposez d’une configuration de messagerie qui permet aux spammeurs d’abuser du formulaire de contact et que votre protection anti-spam insuffisante.
Besoin d’un spécialiste WordPress pour votre projet ? Contactez-moi
Dans quels cas cette erreur s’affiche-t’elle ?
Cette erreur va principalement se déclencher lorsque vous utilisez le second envoi d’e-mail proposé par le plugin WordPress Contact Form 7.
L’email numéro 2 est habituellement utilisé pour renvoyer une confirmation en retour à l’utilisateur qui vient de remplir le formulaire et lui indiquer vi un e-mail de réponse automatique que sa demande ou simplement ça à bien été envoyée.
Attention à la sécurité de votre formulaire de contact CF7
Lorsqu’une balise d’adresse e-mail, comme [your-email], est utilisée dans les champs d’en-tête À, Cc ou Cci du modèle d’e-mail de Contact Form 7 (CF7), cette balise est remplacée par l’adresse saisie par l’utilisateur. En conséquence, un e-mail basé sur ce modèle est envoyé à l’adresse fournie.
Risques de sécurité
Cette situation peut être exploitée par des utilisateurs malveillants ou des spammeurs pour abuser de votre formulaire de contact. Ils peuvent ainsi envoyer des e-mails à l’adresse de leur choix en utilisant le nom de votre site.
Exemple d’attaque
Un attaquant peut saisir une adresse e-mail qui ne lui appartient pas et envoyer un e-mail en votre nom. Cela constitue une forme de détournement de votre formulaire, voire une forme de hacking de votre site. Ce type d’abus peut sérieusement nuire à votre réputation et entraîner des problèmes de délivrabilité pour vos e-mails.
Pourquoi CF7 affiche un message d’erreur ?
CF7 affiche un message d’erreur dans ce contexte pour vous protéger contre ces risques. Ce message vous avertit que l’utilisation directe des balises d’adresse e-mail dans les champs d’en-tête peut être dangereuse.
Comment résoudre cette erreur ?
Pour protéger vos formulaires de contact de ce risque, l’activation des modules de protection anti-spam est fortement recommandée. Étant donné que le scénario d’attaque le plus probable et le plus inquiétant est l’envoi massif d’e-mails par des robots spammeurs, le déploiement de reCAPTCHA, optimisé pour bloquer les attaques automatisées de robots, est indispensable. Idéalement, vous devez envisager d’utiliser Akismet en combinaison avec reCAPTCHA.
Gardez à l’esprit que les modules de protection anti-spam peuvent atténuer le risque, mais ils ne peuvent pas l’éliminer complètement.
Bonnes pratiques à adopter
Voici quelques pistes pour sécuriser les envois d’e-mails depuis vos formulaires sur votre site WordPress :
Valider les adresses e-mail : Assurez-vous que les adresses e-mail saisies par les utilisateurs sont valides et qu’elles appartiennent bien à ceux qui les fournissent, par exemple en proposant la réponse automatique ( e-mail (2) ) uniquement aux utilisateurs enregistrés.
Utiliser des adresses e-mail internes : Si possible, évitez d’utiliser des adresses e-mail fournies par les utilisateurs dans les champs d’en-tête. Utilisez plutôt une adresse e-mail interne et envoyez une copie à l’utilisateur si nécessaire. Cela vous permet à minima de vérifier les e-mails envoyés depuis votre site.
Conclusion
Sauf si cela est absolument nécessaire, évitez d’utiliser des configurations de messagerie non sécurisées qui permettent d’envoyer des e-mails à des adresses arbitraires spécifiées par l’utilisateur.