Drodzy Czytelnicy
Od wczoraj ten blog stał się celem botów spamowych (kilkaset komentarzy). Nie bardzo chcę tracić czas na wyszukiwanie ewentualnych Waszych komentarzy zanim skasuję całą resztę, więc pozwoliłem sobie wstawić małą funkcję antyspamową. W formularzu komentarza należy wykonać małe (bardzo proste) zadanie arytmetyczne i wynik wpisać do odpowiedniego pola. Tego boty na razie nie potrafią :-)
Wadą tej funkcji jest stosunkowo krótki time out, to znaczy, że jeśli wywołacie formularz komentarza i piszecie go zbyt długo, to ewentualnie nie będzie on zapisany. Nie znam sposobu, jak na to wpłynąć, dlatego proszę, jeśli piszecie obszerniejszy komentarz, to najlepiej zróbcie to najpierw w Edytorze z Windows i gotowy wklejcie do formularza, albo pisząc w formularzu najpierw zaznaczcie cały tekst i skopiujcie na wszelki wypadek do Schowka.
Przepraszam za tę niedogodność, postaram się w przyszłości znaleźć lepsze rozwiązanie, na szybko mogę zastosować tylko to.
Pozdrawiam
Alex
Proponuję dodać link do tego posta gdzieś w szablonie. Za jakiś czas ten post zniknie, a czytelników będzie przybywać. Chyba, że jest na to jakieś inne rozwiąznie. :)
Bardzo fajne zabezpieczenie, o wiele lepsze niż paskudna captcha. Czy to jest ten plugin: http://sw-guide.de/wordpress/math-comment-spam-protection-plugin/ ?
Było już kiedyś – jak za długo się czyta to rzeczywiście potrafi „zmienić wynik” :) Ale rozumiem – dla dobra bloga to nie jest nic nieprzyjemnego ;)
8+7 to już nie takie proste ;)
może wtyczka akismet?
Ten plugin jest z http://www.herod.net/dypm/
Skuteczność jak na razie 100%, trzeba tylko uważać na ten time out.
Jak będę miał chwilę to wstawię to ostrzeżenie w formularz.
pozdrawiam
Alex
Raczej łatwo przerobić bota żeby 'potrafił’. Na kilka odświeżeń dostawałem wciąż 'Sumę’, zakładam że innego działania nie ma ;) Sam tekst jest w oddzielnym elemencie HTML-a, dzięki czemu łatwo znależć go parserem. Pozostaje wyciągnąć dwie liczby :)
Jeśli to zabezpieczenie jest skuteczne, to spamerzy muszą być naprawdę głupi ;)
Hmm
To jest rzeczywiście prościutkie zabezpieczenie, niemniej od wczoraj ZERO spamu :-)
Spamerzy usiłujący zaśmiecać popularne blogi nie stosują (na szczęście) zbyt wyrafinowanych sposobów. Przedwczoraj ograniczyli się do wysyłania setek komentarzy spamowych na starsze posty blogu.
Całą akcję widać ładnie w statystyce serwisu (Awstats). Średnie dobowe wielkości w grudniu to:
Visits: ~ 900
Pages: ~ 3200
Hits: ~ 5000
Przedwczoraj
Visits: ~ 1200
Pages: ~ 4000
Hits: ~ 620
osobno pokazał też, że od początku miesiąca roboty dodatkowo wygenerowały ruch 5100 Pages i 6600 hits.
Dziś ruch wrócił do normalnych wartości
Podaję, bo może kogoś to interesuje.
PS: Jakie są fachowe tłumaczenia Pages i Hits na język polski?
„zróbcie to najpierw w Edytorze z Windows i gotowy wklejcie do formularza”
nie chcę być oczywiście uszczypliwy ale czy uzytkownicy innych systemów nie moga tego zrobic :) ?
Ktos
Nie jesteś uszczypliwy :-) Statystyki serwera wskazują, że w tym miesiącu 79,2 % odwiedzających korzystało z Windows (i np. 46,6% z Firefoxa, 27,7% z IE).
W takim wypadku logicznym jest wskazanie jak to zrobić dla użytkowników tego systemu. Wychodzę z założenia, że jeśli ktoś pracuje z innym OS to nie potrzebuje taki wskazówek, względnie łatwo może je sobie zaadoptować :-)
Pozdrawiam
Alex
PS: Pisząc komentarz nie musisz się aż tak maskować (wiesz co mam na myśli). Tutaj nie gryziemy i nie spamujemy :-)
Na Twoj Blog trafilem poniewaz juz kiedys pisales o zabezpieczeniach antyspamowych. To zabezpieczenie z suma aktualnie jest chyba optymalne. Ale jest ono rowniez popularne i za kilka miesiecy spamerzy je rozgryza. Z moich obserwacji wynika, ze spamerzy, czy same programy nie kontroluja codziennie czy blog zostal zabezpieczony przed ich spamem. W cyklu ok 2 miesiecy powracaja na dany blog i go rozpracowywuja. Poniewaz sam sie z nimi bawie jestem zaskoczony jakie wyrafinowane techniki uzywaja, nawet tam gdzie gra nie warta swieczki. Tak mi sie wydaje, ze najlepsze to zabezpieczenia indywidualne, jedyne w swoim rodzaju, chociaz moga byc bardzo proste. „Fabryczne” zabezpieczenia w popularnych forach czy blogach sa przechodzone i zabawa trwa. Kiedys przeczytalem, ze najwieksza ilosc spamow jest wysylana z serwerow na jakis „wyspach palmowych”. Gdy tam nie bylo pradu o 30% zmalala ilosc spamow w swiatowym internecie. Spamerzy glowinie stawiaja na opuszczone blogi i fora. Takich jest w internecie duzo. Na takich serwisach wisi miliony linkow do stron spamerow. Twoj Blog jest zywy – zatem z Toba nie wygraja.
Teraz kopiuje caly tekst z formularza do pamieci prawym klawiszem… Przeladowuje strone i wklejam tekst ponownie. Wpisalem dane i sume i wysylam :-)))
Krzysztof
Dziekuję za interesujące informacje. Zgadzam się z Tobą, że najlepsze sa „nietypowe” zabezpieczenia. gdybym znał język, w którym napisany jest WordPress (a przynajmniej miał czas i ochotę się pobawić), to pewnie coś takiego bym zmajstrował.
Moj blog jest dość kiepskim celem dla spamerów, bo tylko komentarze Czytelnków, którzy już coś opublikowali ukazują się automatycznie. Cała reszta idzie najpierw do moderacji. Niemniej usuwanie setek komentrarzy i wypatrywanie, czy nie ma pomiędzy nimi jakiegoś niespamowego jest uciążliwe. U mnie najwięcej spamu przychodzi z Bliskiego i Dalekiego Wschodu. Gdyby można było zabanować serwery używając kryterium geograficznego to byłoby po kłopocie :-)
Pozdrawiam
Alex
Też będę musiał się rozejrzeć za jakimś rozwiązaniem tego typu. Od czasu, gdy zacząłem się udzielać w kilku zagranicznych blogach ilość spamu wzrosła mi do jakichś obłędnych ilości. Wprawdzie Spam Karma wychwytuje prawie 100% niechcianych komentarzy, to jednak i tak niepotrzebnie zaśmiecają one bazę – nawet jeśli ich nie widać. Tylko ten timeout mnie martwi…
Futomaki.pl
Na ten timeout powinno być jakieś rozwiązanie. W phpBB można ustawić go zmienną, pewnie i w WordPressie jest gdzieś taka, niestety nie w panelu administratora.
No i wykrakaliście :-)
Dziś dostałe 6 spamowych komentarzy mimo tego zabezpieczenia :-)
Szkoda że nie mam pojęcia o php bo w sumie ten kod pluginu jest prosty i mozna całość przerobić tak, aby jeszcze bardziej utrudnić życcie botom.
Na przykład do tych dwóch przypadkowo wygenerowanych liczb można tektem poprosić użytkownika „dodaj do tego dwa” , w funkcji comment_post tego pluginu , np. w linijce
if ( $_SESSION[’DYPM_MATH_ANSWER’] != $answer ) {
odpowiednio zmanipulować wartość $answer tak aby wyrunek był spełniony to jest to łatwe do rozszyfrowania dla człowieka, ale może zamieszać botowi.
Co Wy na to?
Jak można to zaimplementować? Nie każcie mi uczyć się jeszcze php :-)
Właśnie zajrzałem do referencji php, w sumie język zdaje się być dość prosty :-)
Jak w znajdę trochę czasu to sam podłubię. Dam Wam znać co wyszło :-)
Spojrzałem też na rozwiązanie, które zaproponował wyżej Bellois.
To jednak różne rozwiązania, tam przekazywanie pewnych wartości, o ile rozumiem odbywa się w sposób ukryty, wiąc jest może bardziej odporne na parsing?
Mam dziś tutaj bardzo niestabilne połączenie i nie bardzo mogę eksperymentować
Dziś dostałem 6 komentarzy spamowych mimo tego zabezpieczenia. Trzeba będzie rzeczywiście coś indywiduajnie przerobić, albo spróbować tę drugą wersje zabezpieczenia, do której link podał Bellois.
Aktualnie testuję to zabezpieczenie na nowej wersji mojego bloga, za jakiś czas podzielę się spostrzeżeniami.
Bardzo proszę! :-)