Меню Рубрики

Установка защиты от спамов

6 бесплатных плагинов WordPress для борьбы со спамом на сайте

Частая проблема сайтов, где посетители оставляют комментарии или отзывы, — это спам. Спамеры размещают комментарии с рекламой, ссылками на вредоносный контент или на свой сайт, чтобы получить бэклинк. Зачастую это делают боты.

Не нашли свежей статистики по количеству спама относительно разных движков, последняя датируется 2016:

Статистика спам-атак за 2016 год

WordPress выглядит довольно защищенным, но владельцы сайтов на этом движке все равно периодически жалуются на спам.

У многих CMS, включая WordPress, есть стандартная система фильтрации спам-комментариев. В админке сайта на WordPress можно настроить стоп-слова, по которым система определит спам и отправит сообщение в черный список, или вручную помечать комментарии.

Часто стандартная система не справляется, и на сайте появляется реклама какой-нибудь виагры. Если неестественных комментариев много, поставьте дополнительный плагин для защиты от спама, который боты и мошенники не смогут обойти.

От ботов спасает капча — автор комментария будет вынужден подтвердить, что не робот. Старые версии капчи могут раздражать людей: пользователям лень переключать раскладку и вводить символы, тратить время на перетаскивание картинок или выбор изображений с поездами.

Капча с выбором изображения

Версия reCAPTCHA 2 от Google выглядит ненавязчиво и требует сделать один клик.

Пример капчи

Google стремится к тому, чтобы живым пользователям не нужно было ничего доказывать. Недавно Google анонсировали запуск reCAPTCHA 3 — она сама определяет качество трафика, наблюдая за обычным поведением пользователей. Капча попросит подтвердить, что комментирует человек, только если заметит подозрительное поведение.

Вместе с сервисом капчи стоит поставить плагин, чтобы не пропустить на сайт и естественные комментарии со спамом. В подборке только русифицированные, полностью или частично бесплатные плагины, совместимые с актуальными версиями CMS WordPress.

Akismet

Самый популярный плагин для борьбы со спамом на WordPress. Плагин Akismet проверяет комментарии на спам-ссылки и блокирует их, модератор может вручную отправлять в блеклист комментарии, которые пропустил плагин, или возвращать несправедливо удаленные.

  • автоматически проверяет комментарии, подозрительные блокирует;
  • дает возможность корректировать действия плагина вручную;
  • сохраняет историю пометок каждого комментария, поэтому можно смотреть, какие были заблокированы, какие отмечены модератором;
  • модераторам доступен просмотр счетчик удаленных комментариев у каждого пользователя.

Окно настройки плагина

Русифицирован, для персональных блогов ключи бесплатны, а для компаний и коммерческих сайтов придется купить платную подписку.

Antispam Bee

Простой плагин с широкими настройками фильтрации. Оценивает комментарии по составляющим и блокирует подозрительные: смотрит на текст, IP-адрес и граватар — аватар пользователя, привязанный к e-mail. Плагин не требует регистрации и не хранит персональные данные.

  • подробно настраивается: по фразам, времени публикации, граватару, языку, стране и другим фильтрам;
  • позволяет создать белые и черные списки пользователей;
  • создает базы комментаторов, отмеченных как спамеры;
  • уведомляет администраторов о новых сообщениях;
  • собирает статистику за 30 дней в график с интенсивностью и счетчиком спама.

Фрагмент настройки плагина

CleanTalk

Плагин не требует от пользователей дополнительных действий: не нужно вводить капчу или отмечать галочкой «я не робот». Он удаляет и подсчитывает заблокированные комментарии, попытки отправить спам через форму обратной связи или форму регистрации. Совместим с плагином WooCommerce для интернет-магазинов.

  • блокирует сам в комментариях,опросах и голосованиях, виджетах, формах регистрации, заказа, бронирования и подписки;
  • проверяет существующие комментарии на спам;
  • совместим с WooCommerce.

Фрагмент работы плагина

Есть бесплатный триал, по окончанию его действия использование плагина обойдется в 550 рублей в год.

BulletProof Security

Плагин защищает не только от спама, но и от вредоносного кода, атак и потери данных, ведет журнал ошибок, берет на себя свойства простого антивируса. Некоторые пользователи жалуются на сложную настройку.

  • автоматически создает белые списки пользователей;
  • сканирует код и выявляет вредоносный;
  • защищает сайт файрволами — файлами с расширением .htaccess;
  • анализирует папки и файлы скрытых плагинов;
  • защищает вход в систему;
  • удаляет комментарии со спамом;
  • создает резервные копии баз данных по расписанию, можно выбрать часть БД для копирования;
  • ведет журнал безопасности и статистику ошибок.

Фрагмент настроек плагина

Плагин можно установить бесплатно, он русифицирован.

Limit Attempts

Плагин защищает от спама и брутфорс-атак, то есть не дает скриптам подобрать комбинацию логина и пароля для взлома.

  • блокирует IP-адреса, которые многократно пытались войти на сайт;
  • автоматически отправляет в черный список IP, которые получили несколько блокировок;
  • позволяет создавать белый список пользователей;
  • создает файлы с расширением .htaccess, добавляет в них IP-адреса из черного списка;
  • позволяет настроить капчу;
  • собирает статистику с IP-адресами, количеством попыток входа, числом блокировок;
  • отправляет уведомления о событиях на сайте.

Пример настройки плагина

Плагин русифицирован, установка бесплатна.

Contact Form 7

Плагин для настройки и управления контактными формами. Позволяет работать с ними с помощью разметки и добавлять капчу для проверки пользователей.

  • настройка внешнего вида множества контактных форм на сайте;
  • добавление капчи на формы обратной связи.

Настройки плагина

Плагин бесплатный, русифицированный.

Стандартных функций WordPress может не хватать для защиты от спама. Для этого лучше использовать капчу и отдельные функциональные плагины: капча не даст ботам оставить комментарий, плагины усилят защиту и не позволят размещать спам ботам и людям.

источник

Антиспам для сайтов: как защититься от ботов в комментариях

Спамеры как тараканы. К счастью, и для них есть свой дихлофос. Вместе с облачным антиспам-сервисом Cleantalk рассказываем, как с ними расправиться.

От спам-ботов страдают все сайты без исключения. Реклама сомнительных способов заработка в комментариях портит репутацию и отпугивает пользователей. Пустые регистрации сильно искажают реальную статистику интернет-магазинов и мешают владельцам правильно оценивать ситуацию. Если у вас нет таких проблем, значит:

  • У вас нет сайта. Зачем вы вообще это читаете?
  • Ваш сайт никто не посещает. И в первую очередь вам надо решать именно эту проблему.
  • Вы не разрешаете пользователям регистрироваться, оставлять комментарии и отзывы. А зря.
Читайте также:  Установка и обслуживание доводчиков

Зачем разрешать пользователям оставлять комментарии

Лайфхакер пробовал отключать комментарии, и ничего хорошего из этого не вышло. Без общения с пользователями мы начали терять наше сообщество.

Сообщество — это активные лояльные пользователи, ваши лучшие друзья. Без них никак. Они пишут, обсуждают, дают дельные советы, помогают новичкам, делятся мнениями, опытом и знаниями. Дискуссия в комментариях — это возврат аудитории, рост числа посещений и срока жизни контента.

Активность посетителей делает сайт популярнее. Но там, где много людей, неизбежно заводятся и спамеры. С ними даже самый уютный блог быстро превращается в помойку. Смотреть на неё неприятно, посещать её — тем более.

Как избавиться от спама, не закрывая комментарии и отзывы

1. Нанять модератора

Вы нанимаете человека, который следит за новыми комментариями и отзывами, удаляет спам и банит тех, кто его оставляет.

  • Плюс: высокая точность обнаружения. Человек способен вычислить не только спам, но и троллей, провокаторов и просто нежелательных личностей, ведущих деструктивную деятельность.
  • Минусы: модератору надо платить зарплату. А ещё модератор спит, а спамеры не спят. Это значит, что вам потребуются несколько человек, которые будут работать по сменам.

2. Установить автономную программу-антиспам

Автономный антиспам вы можете установить на свой сервер. Для корректной работы нужно провести первоначальную настройку, после чего периодически обновлять программу.

  • Плюсы: программа работает круглосуточно, не устаёт и не ленится.
  • Минусы: робот-антиспам может пропустить спам или карать невиновных. Он не способен обнаруживать неявные нежелательные сообщения: провокацию, троллинг и распространение информации, противоречащей законам РФ. Точность программы и количество потребляемых ею ресурсов сервера зависит от мастерства разработчика.

3. Использовать облачный антиспам

Облачный антиспам — это самый продвинутый вариант защиты. Вы устанавливаете плагин, и он автоматически проверяет комментарии и регистрации, блокируя спамеров и не мешая обычным пользователям. Например, можно использовать Cleantalk — облачный антиспам-сервис за 550 рублей в год с бесплатным 7-дневным пробным периодом.

  • Плюсы: незаметен для пользователя, легко устанавливается, не требует ручного обновления, стоит значительно дешевле других способов защиты.
  • Минусы: хотя облачные антиспам-сервисы лишены недостатков автономных программ, вероятность ложного срабатывания всё равно будет выше, чем если бы сайт вручную модерировал человек. Но на зарплату модераторам вы будете тратить минимум 40 000 рублей в месяц.

Как работают облачные антиспам-сервисы

Преимущество облачного антиспама перед автономным проще всего объяснить на примере с бабушками. Представьте бабушек, сидящих на лавках во дворах. Они зорко следят, чтобы в подъезды домов не проникли мутные личности, и активно между собой общаются.

Стоит одной бабушке увидеть подозрительного человека, и уже через несколько минут о нём будут знать все бабушки в окрестностях. Приметы, одежда, с кем и откуда шёл, что нёс в руках — полный детальный портрет. Теперь ему точно не пробраться ни в один подъезд на районе.

Примерно так же работает Cleantalk. Единая система защищает больше 250 тысяч сайтов. Стоит спамеру сунуться на один сайт, и система закроет ему доступ ко всем остальным сайтам. Процесс происходит автоматически, вручную обновлять чёрные списки не нужно.

Cleantalk позволяет настроить индивидуальные фильтры по стоп-словам и записывает все действия в логи. Так вы сможете создать персональную защиту под себя и всегда будете знать, кто что делал и не попали ли под раздачу невиновные.

Важное преимущество облачного сервиса в том, что он работает незаметно и не раздражает пользователей.

Все знают, что такое капча. Ты хочешь написать комментарий или ещё что-то сделать, а тебя просят ввести еле читаемые буквы или цифры с картинки, тыкнуть на все изображения, на которых есть автобус, и тому подобное. Бесит? Ещё как. Хочется плюнуть и уйти с сайта. Многие именно так и делают. Капча ощутимо снижает активность и лояльность сообщества.

Cleantalk действует незаметно и, в отличие от той же капчи, корректно работает при отключённых у пользователя в браузере JS и куки. Никаких форм подтверждений и прочих раздражающих, отнимающих время вещей, гораздо меньше нагрузки на сайт и куда более простая установка.

Другие полезные фишки Cleantalk

  • Проверка существующих пользователей и комментариев. Если на вашем сайте уже много комментариев и юзеров, Cleantalk может проверить их все и навести порядок.
  • Блокировка по странам и языкам. Вы можете избавить свой сайт от орков, говорящих на языке Мордора.

  • Снижение нагрузки на сервер и защита от брутфорса. В составе Cleantalk есть инструмент SpamFirewall, который проверяет запросы до того, как отдаёт страницы сайта на прогрузку. Таким образом, ресурсы сервера, на котором расположен ваш сайт, расходуются только на хороших пользователей, а не на спамеров и ботов.
  • Удобный плагин для WordPress. Если вы, как и Лайфхакер, тоже используете лучшую и самую популярную CMS, то установка и настройка антиспама для вас будет ещё проще. Скачайте плагин Cleantalk из каталога WordPress и сразу начинайте работать.
  • Бесплатный пробный период. Позволяет полностью изучить сервис и его возможности, протестировать на своём сайте и понять, подходит вам Cleantalk или нет.

Спам можно победить. Протестируйте Cleantalk и убедитесь в этом лично.

источник

Легкая защита WordPress от сплога: способы блокировки спам-пользователей

При создании сайта WordPress рано или поздно сталкиваешься со спамом, который начинает лезть на сайт «изо всех дыр». Прежде всего, спам проникает через комментарии и через регистрацию пользователей, если они разрешены в системе.

Читайте также:  Установка качалок на пружине

Что такое спам

Спам это пустая, не тематическая информация на сайте, попадающая на него через комментарии, форму обратной связи, формы регистрации. Обычно спам заносится на сайт в автоматическом режиме, специальными роботами рассылок. Нужен спам для раскрутки своих ресурсов, продвижения сплогов, скрытой рекламы, черного seo и т.п.

Кроме понятия спам (spam), можно встретить понятие сплог (splog). Это образование двух слов: спам и блог. В теории SEO понятие сплог несколько шире, чем просто «спам на блоге». Сплог это целые блоги созданные из не уникального, а по сути ворованного, контента. При помощи разбросанных комментариев сплоги маскируются от бана, создавая иллюзию рабочего сайта.

Спам в комментариях

Спам в комментариях это попытка продвинуть свой блог (сайт) при помощи ссылок размещенных в комментариях, или пытаться рекламировать свою продукцию размещая в комментариях свои ссылки.

Спам пользователи

Вторая группа спама это спам пользователи. Обычно эта группа спама проходит регистрацию на сайте, не производя больше никаких видимых действий. Спам регистрация проходит вручную (редко) или с помощью ботов.

Защита WordPress от сплога (спама)

Понятно, что спам на сайте не нужен. Большое количество «пустых» и не тематических комментариев не только ухудшают смысловую значимость сайта, но ухудшает загрузку страниц. Покажу одну примерную статистику. На одном из моих сайтов WordPress в течение двух месяцев выявлено около трехсот тысяч спам комментариев. Очевидно, что вручную защититься и проанализировать такой «набег» не получится.

Бороться со спамом нужно, как при попытке проникновения его на сайт, так и проводить чистку спама который уже попал на сайт.

Защита от спама это один из элементов, комплексной защиты сайта WordPress, наряду с защитой от взлома и защитой от вируса.

Способы блокировки спам-пользователей и спам комментариев

Хочу обратить внимание, что спам комментарии несколько отличаются от спам-пользователей и защита от них разная. Далее я приведу несколько способов защиты от спама всех мастей.

Легкая защита WordPress от сплога

  • комментарии,
  • форму регистрации,
  • обратную связь,
  • форму восстановления пароля,
  • форму напоминания пароля.

Без специальных плагинов Каптчу не поставить. Плагины: Google Captcha (reCAPTCHA) by BestWebSoft, WP-reCAPTCHA-bp, WP Captcha, Uber reCaptcha, постоянно обновляются и поставят каптчу на все формы сайта.

2. Закрыть свободное комментирование. Закрывается в настройках сайта. Снижает количество потенциальных комментариев.

3. Регистрация пользователей с модерацией администратором. Выставляется в настройках сайта. Эта защита не очень эффективна, потому что, трудно визуально определить спам пользователя.

5. Активация плагина антиспам, включенного в коробочную версию, под названием Akismet.

Усиленная защита WordPress от сплога, спама

Установка дополнительных плагинов специально разработанных для борьбы со спамом на сайте WordPress. Например, CleanTalk.

Убойная защита от спама

Установка плагинов нового поколения, борющихся со спамом, по типу антивирусных программ. Например, плагин WangGuard – терминатор спама всех типов.

И последняя убойная защита от спама, Запретить регистрацию, комментирование, подписку или вообще закрыть блог.

источник

Защита сайта от спама обратной связи

В предыдущей статье я рассказывал как защищать устаревшую джумлу и админку от перебора паролей. Но при этом многие задаются вопросом: «Почему мне приходит спам с моего сайта через установленную на моем сайте форму обратной связи?».

Убрать спам с контактной формы сайта

На этот раз я расскажу о вариантах защиты всяческих контактных форм и полей конструкторов, калькуляторов — вообщем того, что отправляет письмо администратору сайта. Мало того, что порой неинтересно читать спам или рекламу, которую прислали вместо потенциального клиента, уязвимость форм обратной связи грозит ещё баном от хостинга почтовой службы. И ваши клиенты в этот день уже не смогут отправить вам заявку.

Поэтому стоит заранее подумать о защите, а не когда заспамят по самое не хочу. Хотя в большинстве случаев владельцы сайтов думают, что сайт никому не интересен и не догадываются, что на них могут выйти боты. Другая половина считает, что лишние поля отпугивают потенциальных посетителей, а в некоторых случаях и слишком сложны для заполнения. В любом случае давайте разбирать подробнее.

Установка капчи на сайт как защита от спама

Чтобы предотвратить массовую отправку данных, следует своевременно позаботиться о защите подписных форм. Конечно, самым действенным вариантом будет установка капчи (captcha) — рисунка, текст или цифры с которого надо будет ввести в отдельное поле для подтверждения, что вы не робот. На данный момент существует огромный выбор разновидностей капчи:

— можно взять из примеров и написать или модифицировать стандартные капчи. При этом мы можем задать какие символы будут использоваться, и насколько буквы и цифры будут подвергаться всяким изменениям для ухудшения автоматического распознавания. Плюсом будет простота в распознавании людьми, такую капчу обычно ставят на сайтах с небольшой посещаемостью и где нет смысла её усложнять, то есть где атаки ботов минимальны. Минусом данного метода является то, что данный тип капчи очень быстро и легко взламывается, поэтому при большей активности спамеров следует поставить решение посложнее.

— готовые решения от Google, Yandex и других сторонних сервисов. Это не только цифро-буквенные капчи, среди них есть много интересных вариантов, таких как собрать картинку-паззл, выбрать подходящие изображения и т.п.

Recaptcha как универсальная альтернатива всем капчам

С выходом второй версии рекапчи от гугла она кардинально изменилась: сложным, длинным и неразборчивым фразам на смену пришёл поведенческий анализ. Теперь при первых попытках не надо вводить проверочных фраз — достаточно поставить галку подтверждения и проверка пройдена. При подозрительной активности Вам предложат сделать несложные действия, к примеру выбрать изображения с природой или витринами.

Читайте также:  Установка акроникс на флешку

Удобство нового метода смогли оценить многие пользователи, поэтому многими разработчиками API рекапчи интегрировано в программный код, необходимо только получить уникальные ключи на домен.

Recaptcha 2 в Joomla

В популярной CMS джумла рекапча реализована системным плагином, поэтому стоит выбрать её в настройках, активировать плагин и ввести полученные ключи. После этого как системные компоненты могут обращаться к гуглокапче (к примеру, регистрация пользователей или стандартная контактная форма), так и различные сторонние модули и расширения (Virtuemart, сторонние контактные формы, Jcomments и другие).

Немного по другому ситуация обстоит в более старых версиях (Joomla 1.5 и 2.5). Максимум там можно найти первую капчу от гугла, но она настолько отпугивает своей сложностью, что стоит подумать или о дописывании своего варианта или решиться на миграцию на последнюю версию.

WordPress и рекапча от гугла

У вордпресса дела обстоят иначе: по умолчанию там в борьбе со спамом предлагается Akismet, который порой очень часто пропускает спам и работает не самым лучшим образом. Recaptcha существует отдельми плагинами, которые могут добавлять защитное поле в комментарии, форму авторизации или регистрации, а также в совместимости с контактной формой.

Быстрый взляд на популярные варианты к сожалению не нашел подходящего решения, удовлетворяющего всем параметрам. У всех решений были свои косяки: обнуление полей комментариев при неверном вводе капчи, необходимость проходить проверку для входа в админку, поле рекапчи находилось ниже кнопки отправить — не всегда заметно с первого раза.

Поэтому на мой взгляд вп требует допила.

Невидимая Recaptcha

Google анонсировала бета-тестирование нового типа рекапчи — Invisible reCAPTCHA. Как Вы знаете, усовершенствованная версия позволяла отличать ботов от настоящих людей на ранней стадии и предлагала реальным людям нажать простую кнопку. В то же время некоторые раскритиковали необходимость данного действия. Поэтому сейчас есть возможность опробовать новую вариацию — теперь и эту кнопку жать не надо, а рекапча будет сама анализировать момент появления на сайте. С одной стороны это облегчит жизнь пользователям, с другой стороны возможны проколы с пропуском ботов, однако это уже время покажет.

Для того, чтобы поставить новую невидимую рекапчу на сайт, необходимо получить отдельные ключи. Также необходимо реализовать функция обратного вызова (callback) для проверки легитимности. Более подробную информацию можно найти в API, и когда с ним разберусь, постараюсь выложить пример реализации на сайте.

Так как информации получилось много, то я вынес в отдельную статью — Используем невидимую рекапчу на сайте.

Рекапча на произвольном сайте

На самом деле нету ничего сложного в реализации recaptcha в любом модуле или самописной форме обратной связи. На сайте расписано подробное API как реализовать необходимую проверку. С размещением кода на фронтэнде обычно не возникает проблем, однако не все могут корректно отослать запрос проверки секретного ключа.

Поэтому я рассмотрю простой вариант back-end отправки json на php

Если понадобятся дополнительные действия с апи, то советую изучить документацию.

Защищаем форму обратной связи без капчи

Капча поможет решить нам проблему со спамом, однако многих она раздражает, и многие стараются обходиться без неё. Кроме этого, существуют различные сервисы как антигейт по обходу капчи (там люди за деньги заполняют данные с капчи). Поэтому не лишним будет рассмотреть альтернативные варианты. Для популярных CMS существуют готовые решения, в других случаях придется применить навыки программирования либо обратиться к специалистам.

Итак, я расскажу пару приемов, как повысить защищенность формы без капчи.

Скрытые поля как защита форм

Создаем hidden поля. Достаточно для заполняемых полей (name,phone, email) в стилях прописать display:none; и дополнительно создать поля с нестандартными атрибутами name (к примеру phone-protect). Обязательно надо изменить код под новые поля и добавить ещё одну проверку: если наши скрытые поля будут заполнены ( или изменены дефолтные значения), тогда будет выдавать ошибку » Спам здесь не пройдет, обнаружен бот».

Этот метод дает большой выбор пофантазировать в вариантах проверок и названий полей, а значит своей нестандартностью защититься от большего количества ботов

Используем cookies для проверки уникальность посетителя

Проверяем cookies. Тут можно создавать разнообразные варианты. При этом с помощью куков можно реализовать проверку на однократное исполнение формы ( К примеру пользователь отправил заявку, и начинает снова и снова заполнять форму обратной связи — вдруг он просто конкурент. А ему в ответ » Вы уже отправили свою заявку»).

Преимущество данного метода закрывает заодно достаточно распространенную уязвимость, на которую часто закрывают глаза, — CSRF данных формы. А ведь с помощью этой дыры можно совершать множество виртуозных атак.

Фильтрация входящих данных контактных форм обратной связи

Хорошая валидация полей на корректное заполнение является примером тоном правильного программирования. Это не только обезопасит Ваш сайт от SQL инъекций и XSS-уязвимостей, но с учетом того, что боты заполняют случайными значениями, в большинстве случаев они могут не пройти элементарной проверки на корректный телефон. Как дополнительный вариант можно устроить какую-нибудь самописную подгрузку какой-нибудь проверки на Javascript — чем больше уникальность вашего решения, тем меньше шансов пройти спаму!

Не забудьте проверить, не изменилась ли работоспособность с вашими правками. С этими советами можно защитить сайт от спама в формах обратной связи. Ну а в следующей статье я расскажу, как бороться против примитивных DDos-атак и снизить нагрузку на сервер от ботов.

источник