I migliori plugin form di contatto per WordPress nel 2026: confronto e GDPR
Quali plugin form WordPress scegliere nel 2026: WPForms, Fluent Forms, Forminator, Gravity Forms, Contact Form 7, Ninja Forms. Performance, GDPR, antispam, prezzi reali.
Scegliere il miglior plugin form WordPress nel 2026 non è banale: il mercato è frammentato, i prezzi variano da zero a centinaia di euro l'anno, e quasi tutti i vendor mostrano benchmark di parte. Nei siti che gestiamo, il form di contatto è uno dei tre punti più critici dal punto di vista della sicurezza e delle performance: è esposto pubblicamente, riceve traffico bot continuo, gestisce dati personali soggetti al GDPR e spesso carica librerie JavaScript pesanti su pagine che non ne hanno bisogno.
Questa guida confronta sette plugin form per WordPress che vediamo installati con regolarità sui siti dei nostri clienti. Non è una classifica con il vincitore assoluto, perché la scelta dipende dal contesto. È una valutazione tecnica con criteri verificabili: peso sul frontend, antispam reale, conformità GDPR, costo di mantenimento.
In sintesi: qual è il miglior plugin form per WordPress?
Risposta breve, per chi ha fretta:
- Fluent Forms è il miglior compromesso tra performance, funzioni e prezzo. Lo consigliamo come default per la maggior parte dei siti business.
- WPForms è la scelta migliore per chi parte da zero e vuole un'esperienza guidata. Onboarding eccellente, ecosistema ricco.
- Gravity Forms resta lo standard per agenzie e workflow complessi con integrazioni CRM, ERP, gestionali esterni.
- Contact Form 7 è ancora valido come scelta gratuita e leggera, ma richiede hardening manuale (honeypot, captcha, rate limiting) che non tutti applicano.
- Forminator è interessante per siti WPMU DEV già configurati, ma carica script globalmente in modo che impatta le Core Web Vitals.
- Ninja Forms è una scelta storica ormai superata sul piano performance.
- Formidable Forms è ottimo per sviluppatori che costruiscono applicazioni custom sopra WordPress (calcolatori, directory, viste tabellari).
Come abbiamo scelto
I criteri di valutazione che applichiamo, in ordine di importanza per i siti che gestiamo:
- Peso script frontend: quanti KB di JavaScript e CSS vengono caricati nelle pagine con form e, soprattutto, in quelle senza. Plugin che caricano librerie globalmente penalizzano LCP e INP.
- Antispam built-in: presenza di honeypot, token anti-bot, integrazione nativa con reCAPTCHA, hCaptcha, Cloudflare Turnstile. Lo spam sui form è un costo operativo concreto: tempo di moderazione, deliverability email, casella piena.
- Conditional logic: mostrare/nascondere campi in base alle risposte. Indispensabile sopra una certa complessità.
- Multistep: form lunghi spezzati in passi aumentano il completion rate. Funzione richiesta nei lead form B2B.
- Integrazione email service: connettori nativi con Mailchimp, ActiveCampaign, Brevo, MailerLite. Senza un connettore, servono Zapier o Make, con costi ricorrenti.
- GDPR consent fields: checkbox di consenso registrate con timestamp, IP, testo della privacy policy al momento dell'invio. Senza questo, non hai prova del consenso.
- Pagamenti: integrazione con Stripe e PayPal per donazioni o ordini semplici.
- File upload sicuro: whitelist estensioni, limiti di dimensione, archiviazione fuori da
wp-content/uploadspubblico. - Accessibility WCAG: label associate, focus visibile, errori annunciati a screen reader. Su siti pubblica amministrazione e sanità è obbligatorio.
Tabella comparativa rapida
| Plugin | Prezzo | Free | Performance | GDPR-ready | Verdetto |
|---|---|---|---|---|---|
| Fluent Forms | $79/anno Pro | Sì, completa | Ottima | Sì, nativo | Miglior bilancio nel 2026 |
| WPForms | $49.50/anno Basic | Lite gratuita | Buona | Sì, addon dedicato | Migliore per principianti |
| Forminator | $9/mese Pro | Sì, completa | Mediocre | Sì | Solo se sei già su WPMU DEV |
| Gravity Forms | $59-$299/anno | No | Buona | Sì, addon | Standard per agenzie |
| Contact Form 7 | Free | Sì | Eccellente | Manuale | Ottimo se sai configurarlo |
| Ninja Forms | Free + addon | Sì | Mediocre | Sì, addon | Superato dai concorrenti |
| Formidable Forms | $99.50/anno Pro | Sì | Buona | Sì | Per sviluppatori |
Fluent Forms
Fluent Forms è il plugin che, nel 2026, raccomandiamo come default sui siti che mettiamo in manutenzione. Il motivo è semplice: offre quasi tutte le funzioni dei concorrenti premium nella versione gratuita, e la versione Pro a 79 dollari l'anno costa la metà di Gravity Forms.
Sul piano tecnico è uno dei plugin form più leggeri sul mercato. Il team di sviluppo (WP Manage Ninja) ha lavorato seriamente sul caricamento condizionale: gli script vengono inclusi solo nelle pagine che contengono effettivamente un form. Su un sito che abbiamo migrato da Gravity Forms, il LCP è sceso da 2.9 a 2.1 secondi senza altre modifiche.
La versione free include conditional logic, multistep, integrazione con MailChimp, dashboard di gestione submissions, GDPR consent. La Pro aggiunge pagamenti Stripe/PayPal, integrazioni CRM (HubSpot, Salesforce, Zoho), conversational forms in stile Typeform, calcolatori avanzati, signature.
Limiti noti: la documentazione in italiano è scarsa, e l'editor visuale, pur funzionale, è meno raffinato di WPForms. Per chi non ha familiarità con WordPress, la curva di apprendimento è leggermente sopra la media.
WPForms
WPForms, sviluppato da Awesome Motive (lo stesso gruppo di MonsterInsights e OptinMonster), è il plugin form con il miglior onboarding sul mercato. L'editor drag-and-drop è davvero immediato: chi non ha mai costruito un form WordPress riesce a pubblicarne uno funzionante in dieci minuti.
La versione Lite, gratuita, copre i casi base (form di contatto semplice, newsletter, suggerimenti). Il piano Basic a 49.50 dollari l'anno, attualmente in promozione di lancio annuale, sblocca conditional logic, integrazione Mailchimp, file upload. I piani superiori (Plus, Pro, Elite, Agency) aggiungono pagamenti, integrazioni CRM, form survey, geolocation.
Il punto debole storico era il prezzo del rinnovo: WPForms è famoso per scontare il primo anno e raddoppiare il rinnovo. Va letto con attenzione il prezzo a regime, non solo quello del primo anno. Il secondo limite riguarda le performance: sui siti molto pagina-pesanti, WPForms tende a caricare assets anche dove non strettamente necessario, ma meno aggressivamente di Forminator.
In sintesi: ottima scelta se ti serve un plugin che non richieda configurazione tecnica e se accetti un costo che cresce nel tempo.
Forminator
Forminator è prodotto da WPMU DEV, il vendor noto per Smush, Hummingbird, Defender. La versione free è effettivamente completa: include conditional logic, multistep, integrazione email service, signature, calcolatori, quiz, sondaggi. La Pro a 9 dollari al mese (78 dollari l'anno se paghi annuale) sblocca template e supporto premium.
Il problema di Forminator, nei siti dove lo abbiamo trovato, è il peso sul frontend. Forminator carica i propri script e fogli di stile in modo poco selettivo: anche pagine senza form ricevono parte dei bundle. Su un sito con 200 pagine e form solo nella pagina contatti, abbiamo misurato un payload aggiuntivo di circa 80 KB su ogni pagina. Esistono soluzioni manuali (dequeue selettivo via wp_dequeue_script), ma richiedono codice.
Il caso d'uso ragionevole: sei già abbonato al pacchetto WPMU DEV per altri motivi (Smush Pro, hosting), e Forminator entra senza costi aggiuntivi. Se devi acquistarlo isolato, ha senso solo se le funzioni quiz e sondaggi sono centrali nel progetto.
Gravity Forms
Gravity Forms è lo standard di mercato per agenzie e progetti enterprise. I prezzi vanno da 59 dollari l'anno (licenza Basic, un sito) a 299 dollari l'anno (Elite, siti illimitati con tutti gli addon). È il plugin più maturo, con oltre quindici anni di sviluppo e un ecosistema di addon ufficiali che copre praticamente qualsiasi integrazione: HubSpot, Zoho, Salesforce, ActiveCampaign, Mailchimp, Stripe, PayPal, Authorize.Net, Twilio, Slack, Trello, Dropbox, Webhooks generici, Zapier.
Il motivo per cui resta dominante in agenzia è la stabilità: aggiornamenti prevedibili, retrocompatibilità seria, supporto tecnico competente, documentazione in inglese di qualità. La conditional logic è la più completa tra i plugin testati, e il sistema di entries con esportazione CSV è solido.
Le performance sono buone ma non eccellenti: un form Gravity carica in media 35-50 KB di JavaScript. Nei siti monitorati abbiamo visto INP risalire dopo upgrade del plugin senza altre modifiche, fenomeno corretto nelle release seguenti.
Il limite è il prezzo, soprattutto se hai un solo sito. Per un sito vetrina di un libero professionista, 59 dollari l'anno per un form di contatto sono fuori scala. Gravity ha senso quando il form è parte centrale del business: lead form B2B, application form, processo di onboarding.
Contact Form 7
Contact Form 7 è il plugin form più installato di sempre: oltre cinque milioni di siti attivi secondo il repository WordPress.org. È gratuito, leggero, e funziona da quasi vent'anni con la stessa filosofia: form definiti via shortcode, configurazione via interfaccia minimale, niente database delle submissions.
Il vantaggio di CF7 è il peso: lo script principale pesa meno di 30 KB e viene caricato solo dove inserisci lo shortcode (con la configurazione corretta tramite WPCF7_LOAD_JS e WPCF7_LOAD_CSS). Su siti dove la velocità è critica e le esigenze sul form sono semplici, CF7 resta competitivo.
Il problema è che CF7, fuori dagli scenari base, richiede hardening manuale serio:
- non ha honeypot integrato (va aggiunto con un addon come Honeypot for Contact Form 7)
- non registra le submissions in database (servono Flamingo o CFDB7)
- non ha conditional logic native (serve Conditional Fields for CF7)
- non ha integrazione GDPR consent fuori dalla checkbox manuale
- non ha rate limiting
- l'integrazione reCAPTCHA va configurata correttamente, e abbiamo visto siti dove la chiave era pubblica nel sorgente
In pratica: CF7 è valido se sai cosa stai facendo. È un disastro se installato e dimenticato. Sui siti che prendiamo in carico, la prima cosa che facciamo è verificare la presenza di honeypot e captcha. Approfondiamo il tema in hardening WordPress essenziale.
Ninja Forms
Ninja Forms ha avuto il suo momento intorno al 2017-2019 come alternativa premium a Gravity. Il modello è freemium con addon a pagamento individuali: il core è gratuito, ma quasi ogni funzione utile (Mailchimp, Stripe, conditional logic, multistep, file upload) richiede addon che costano 30-100 dollari l'anno ciascuno, oppure un bundle "Membership" che parte da 99 dollari l'anno.
Sul piano tecnico, Ninja Forms è rimasto indietro rispetto ai concorrenti. Le performance sono mediocri: il plugin carica React e dipendenze associate, con un payload di 60-80 KB anche per form semplici. L'editor visuale non è all'altezza di WPForms, e l'esperienza di amministrazione mostra l'età.
Lo sconsigliamo per nuove installazioni. Se lo trovi su un sito esistente e funziona, non c'è urgenza di sostituirlo, ma in caso di rifacimento valutare Fluent Forms o WPForms.
Formidable Forms
Formidable Forms è il plugin form più orientato agli sviluppatori. La versione Pro, a 99.50 dollari l'anno (Basic), arriva fino a 599.50 dollari l'anno per il piano Elite. Quello che lo distingue non è il form di contatto in sé, ma la capacità di costruire applicazioni intere sopra WordPress: directory, calcolatori finanziari, listing immobiliari, sistemi di prenotazione.
Le funzioni "Views" permettono di mostrare le entries dei form come contenuto pubblico, con filtri, paginazione, ricerca. È quello che usano molti siti per costruire mini-CRM, tracker di progetti, knowledge base interne.
Per un sito vetrina con form di contatto è sovradimensionato. Per un'applicazione custom su WordPress, è spesso la scelta più rapida. La curva di apprendimento è ripida: chi viene da WPForms si trova spaesato.
Tabella feature matrix
| Funzione | Fluent Forms | WPForms | Forminator | Gravity | CF7 | Ninja | Formidable |
|---|---|---|---|---|---|---|---|
| Conditional logic | Pro | Basic+ | Free | Tutti | Addon | Addon | Pro |
| Multistep | Free | Pro+ | Free | Tutti | No | Addon | Pro |
| File upload | Free | Pro+ | Free | Tutti | Sì | Addon | Pro |
| Signature | Pro | Pro+ | Free | Addon | No | Addon | Pro |
| Save & continue | Pro | Pro+ | No | Pro+ | No | Addon | Pro |
| Calculations | Pro | Pro+ | Free | Tutti | No | Addon | Pro |
| Stripe/PayPal | Pro | Pro+ | Pro | Pro+ | Addon | Addon | Pro |
| CRM integrations | Pro | Pro+ | No | Tutti | No | Addon | Pro |
| Mailchimp | Free | Basic+ | Free | Tutti | Addon | Addon | Pro |
| GDPR consent | Nativo | Nativo | Nativo | Addon | Manuale | Nativo | Nativo |
| Honeypot | Sì | Sì | Sì | Sì | Addon | Sì | Sì |
| reCAPTCHA | Sì | Sì | Sì | Sì | Sì | Sì | Sì |
| Cloudflare Turnstile | Sì | Sì | Sì | Sì | Addon | Addon | Sì |
| Anti-spam token | Sì | Sì | Sì | Sì | No | Sì | Sì |
| Conversational | Pro | Pro+ | No | No | No | No | No |
Form e GDPR: cosa configurare sempre
Il GDPR si applica a qualsiasi form che raccoglie dati personali identificativi: nome, email, telefono, indirizzo IP. La conformità non è automatica nemmeno con i plugin che dichiarano "GDPR-ready". Ecco la baseline che applichiamo sui siti che gestiamo.
Consenso esplicito e granulare. Una checkbox separata, non preselezionata, che richiama in chiaro la finalità del trattamento. Mai testi vaghi tipo "accetto i termini": il visitatore deve sapere a cosa acconsente. Se raccogli email per newsletter e contatto, due checkbox distinte, non una unica.
Registrazione del consenso. Timestamp, indirizzo IP, testo esatto della privacy policy mostrato al momento del consenso, versione del modulo. Questi dati devono essere recuperabili in caso di richiesta dell'autorità o dell'interessato. Fluent Forms, Gravity (con addon), Formidable e Forminator gestiscono questo nativamente. WPForms ha l'addon GDPR ma il livello di dettaglio dipende dal piano.
Link visibile alla privacy policy. Sotto il form, prima del bottone di invio. Un click di distanza, non nascosto nel footer.
Retention dei dati. I dati raccolti devono avere una scadenza dichiarata. Nei nostri setup, configuriamo cleanup automatico delle entries dopo 24 mesi, salvo finalità specifiche. WPForms e Fluent Forms supportano la cancellazione automatica.
Double opt-in per le iscrizioni newsletter. Email di conferma con link da cliccare. Senza double opt-in, non hai prova che l'iscritto sia il proprietario dell'email. Questo è gestito a livello del provider email (Mailchimp, ActiveCampaign), non del plugin form.
IP logging consapevole. Salvare l'IP del visitatore è legittimo per antifrode e prova del consenso, ma va dichiarato nella privacy policy. Su siti con audience particolarmente sensibile (medico, legale, sindacale) valutiamo il logging anonimizzato.
Integrazioni cookieless. Se il form invia eventi a Google Analytics, Meta Pixel o altri tracker, il consenso cookie deve precedere l'invio. Forms con tracking pre-consenso sono violazioni regolarmente sanzionate dal Garante.
Verdetto per use case
Sito vetrina di libero professionista o piccola azienda. Contact Form 7 con honeypot e Cloudflare Turnstile, oppure Fluent Forms free. Costo zero, performance ottime, sufficienti per un form contatti e una richiesta preventivo.
Blog con lead generation attiva. WPForms Basic o Fluent Forms Pro. Servono integrazione Mailchimp/Brevo, conditional logic, GDPR consent registrato, dashboard submissions. Investimento 50-80 dollari l'anno giustificato.
E-commerce con form custom oltre il checkout. Fluent Forms Pro o Gravity Forms. Servono pagamenti, conditional logic complessa, possibili integrazioni gestionale. Su WooCommerce molte funzioni form base sono già coperte dal core, il plugin form serve per richieste particolari (preventivi, configuratori, B2B form).
Studio professionale (avvocato, medico, commercialista). Fluent Forms Pro o Gravity Forms con cura particolare al GDPR. Form di prenotazione visita, modulo richiesta consulenza, form di reclamo. La gestione del consenso è non negoziabile.
Agenzia che gestisce decine di siti. Gravity Forms Elite (licenza siti illimitati a 299 dollari l'anno) resta lo standard, soprattutto se i workflow sono ripetuti. In alternativa, Fluent Forms Agency (white label) abbatte il costo ricorrente.
Multipiattaforma con CRM esterno. Gravity Forms o Formidable Forms Pro. Le integrazioni native con HubSpot, Salesforce, Zoho sono più mature rispetto ai concorrenti. In alternativa, qualsiasi plugin con webhook + Make/n8n.
Errori che vediamo nei form sui siti che gestiamo
Lavorare ogni settimana sui form di clienti diversi ci ha mostrato un pattern di errori ricorrenti. Sono problemi banali da correggere ma con impatto serio.
Contact Form 7 senza honeypot e senza captcha. È il problema numero uno. Il sito riceve decine o centinaia di submission spam al giorno, la casella email del cliente si riempie, i messaggi reali si perdono nel rumore. La soluzione richiede dieci minuti: addon honeypot + integrazione Cloudflare Turnstile o reCAPTCHA v3 con threshold ben configurato.
Email submission inviata via PHP mail. Il plugin form usa la funzione mail() di PHP per inviare le notifiche, e queste finiscono in spam o non arrivano del tutto. Il fix è installare un plugin SMTP (WP Mail SMTP, Fluent SMTP) e configurare un servizio transazionale (Brevo, SendGrid, Postmark, Amazon SES) con dominio autenticato SPF, DKIM, DMARC.
reCAPTCHA v3 con threshold troppo basso. reCAPTCHA v3 restituisce uno score da 0.0 a 1.0. Molti plugin sono configurati con soglia 0.3, che lascia passare la maggior parte dei bot. La nostra baseline è 0.5, alzata a 0.7 sui form lead di alto valore.
File upload senza whitelist estensioni. Form che accettano upload generici (curriculum, allegati) senza limitare le estensioni a .pdf, .doc, .docx, .jpg, .png. Abbiamo visto upload di file .php che venivano salvati in wp-content/uploads e poi eseguiti, scenario che approfondiamo in pharma hack guida.
Email "From" con dominio del visitatore. Il plugin imposta come mittente l'email scritta dall'utente nel form. Risultato: SPF fail, email scartata dai server riceventi, deliverability rovinata. Il "From" deve essere sempre un indirizzo del tuo dominio autenticato; l'email del visitatore va nel campo "Reply-To".
Form di pagamento senza HTTPS forzato. Pagina con form che accetta dati carta o PayPal redirect raggiungibile anche in HTTP. Va imposto HTTPS a livello server con redirect 301, non solo via plugin.
Forminator caricato globalmente anche su pagine senza form. Già citato nella sezione plugin. Su siti con priorità Core Web Vitals, è un problema misurabile.
GDPR consent senza prova del consenso. Checkbox presente ma nessuna registrazione di chi ha cliccato cosa, quando, su quale versione della privacy policy. In caso di contestazione, non hai difesa.
Domande frequenti
WPForms o Fluent Forms?
Per un utente non tecnico che cerca semplicità, WPForms. Per un sito dove le performance contano e il rapporto qualità-prezzo pesa, Fluent Forms. Entrambi sono solidi nel 2026; la differenza è di stile, non di sostanza.
Contact Form 7 è ancora valido nel 2026?
Sì, se sai configurarlo. È leggero, gratuito, mantenuto attivamente. Diventa un problema quando viene installato e dimenticato senza honeypot, captcha, antispam, integrazione SMTP. Sui siti che riceviamo da terzi, CF7 mal configurato è una fonte costante di interventi.
I plugin form rallentano il sito?
Dipende molto dal plugin e da come è configurato. CF7 caricato selettivamente è invisibile sul piano performance. Forminator caricato globalmente penalizza ogni pagina. Tema correlato: pulizia della cache dopo modifiche al form, di cui parliamo in cache WordPress errori comuni.
Come bloccare lo spam sui form WordPress?
Combinazione di honeypot (sempre), captcha invisibile (Cloudflare Turnstile o reCAPTCHA v3) e rate limiting. Per casi gravi, plugin antispam dedicato (Akismet, CleanTalk). Mai un solo livello di difesa.
Plugin form gratuito è sufficiente?
Per un sito vetrina con un form di contatto, sì. CF7 con hardening, oppure Fluent Forms free, coprono il caso. Per lead generation seria, integrazioni CRM, pagamenti, serve la versione Pro.
Come integrare un form con un CRM?
Le opzioni sono tre. Integrazione nativa del plugin (Fluent Forms Pro, Gravity Forms, WPForms Pro+). Webhook custom verso endpoint del CRM. Automazione esterna via Zapier o Make. La nativa è la più stabile; il webhook è il più flessibile ma richiede sviluppo.
I form WordPress sono GDPR compliant?
Nessun plugin è "GDPR compliant" per default. La compliance dipende dalla configurazione: consenso esplicito, registrazione del consenso, link a privacy policy, retention, gestione delle richieste degli interessati. Tutti i plugin Pro recensiti offrono gli strumenti, ma vanno attivati e configurati.
Posso accettare pagamenti tramite plugin form?
Sì, con Stripe o PayPal su WPForms Pro+, Fluent Forms Pro, Gravity Forms Pro+, Formidable Pro. È adatto a donazioni, pagamenti una tantum, servizi semplici. Per e-commerce vero (catalogo, carrello, IVA, fatturazione) serve WooCommerce o piattaforma dedicata.
Manutenzione continua dei form
Un form non è un progetto chiuso al deploy. Va monitorato: tasso di completamento, spam ricevuto, deliverability delle notifiche, aggiornamenti del plugin, scadenza chiavi reCAPTCHA, cambi nelle policy GDPR. Sui siti in manutenzione gestiamo tutto questo come parte del servizio: review trimestrale dei form attivi, test di invio dopo ogni aggiornamento, audit GDPR annuale, sostituzione del plugin quando il vendor smette di mantenerlo.
Se vuoi una valutazione del setup attuale dei form sul tuo sito, contattaci: ti facciamo un audit gratuito di trenta minuti con verifica antispam, GDPR, performance.
Riferimenti esterni
Scritto dal team WPsec
Team WPsec.it
Bonifica malware, hardening, performance e manutenzione WordPress.
Continua a leggere
Articoli correlati.
I migliori plugin SMTP per WordPress nel 2026: deliverability email senza sorprese
Quali plugin SMTP WordPress scegliere nel 2026: WP Mail SMTP, FluentSMTP, Post SMTP, Easy WP SMTP. Configurazione SPF/DKIM/DMARC, integrazioni, errori da evitare.
I migliori plugin SEO per WordPress nel 2026: confronto tra Rank Math, Yoast e alternative
Quali plugin SEO WordPress scegliere nel 2026: Rank Math, Yoast SEO, SEOPress, AIOSEO, The SEO Framework, Squirrly. Prezzi, feature reali, errori di configurazione che penalizzano il ranking.
I migliori plugin di prenotazione per WordPress nel 2026: appuntamenti, hotel, eventi
Quali plugin di prenotazione WordPress scegliere nel 2026: Amelia, Bookly, FluentBooking, Booking Calendar, HBook, Simply Schedule. Confronto, prezzi, GDPR, errori da evitare.