Piszki Lab

Analiza przypadku w języku przodków…

Prowadzenie bloga, część 5: Walczymy ze spamem!

| 0 comments

Uruchamiamy Bloga (na WordPressie). Pyk, zarejestrował się użytkownik (WOW!), pyk, zarejestrował się użytkownik (ale fajnie!), pyk, zarejestrował się użytkownik (ale tak od razu?), pyk, zarejestrował się użytkownik (chyba coś jest nie tak). I tak to wygląda (plus dziwne komentarze). Człowiek z natury jest otwarty, domyślna konfiguracja WordPressa też. Jeśli mamy odrobinę popularności i machniemy ręką na bezpieczeństwo, w kilka chwil Blog jest zawalony spamem. Automaty są bardzo sprytne. Spam widoczny, czyli ten w postaci komentarzy i zarejestrowanych użytkowników to jedno. Z drugiej strony mamy gigantyczne ilości prób zarejestrowania się na blogu lub wstrzyknięcia komentarza. Czasami te próby, mimo że teoretycznie nie widoczne, są bardziej męczące. Generują bardzo duży ruch na stronie, niby nic się nie dzieje a Blog ledwo odpowiada. Jak z tym sobie radzić? Cóż, cały świat walczy ze spamem, nie jesteśmy w tej walce samotni i bezbronni!

spam0

W WordPressie wszystko załatwiamy za pomocą wtyczek, na każdy problem znajdziemy odpowiednie rozwiązanie w postaci wtyczki. Możemy szukać sami, lub skorzystać z doświadczeń innych (np. mnie hehe). To nie jest tak, że jedna wtyczka załatwi wszystko. Nie nie i jeszcze raz nie. Obronę Bloga musimy podzielić na strefy. Strefa pierwsza to Captcha, wystarczy proste zadanie matematyczne na ekranie logowania i w polu komentarza aby odsiać 30% robotów.

spam3

Strefa druga to Akismet (o ile używamy Jetpacka, ewentualnie odpowiednik). Działa bardzo dobrze, zasada działania jest prosta, oddziela ziarno od plew. Minusem jest to, że działa na już “napisanych” komentarzach.

spam2

Strefa trzecia to obrona przed atakami typu “brute force”. Robot tak długo próbuje się zarejestrować/zalogować aż w końcu położy stronę (typowy DDOS). Odpowiedzią na to jest wtyczka BruteProtect. Zasada jest bardzo prosta, podłączamy się do SIECI. Wymieniamy informację z innymi o adresach IP z których następują ataki. Wtyczka po prostu blokuje dostęp do Bloga z tych adresów.

spam1

Strefa czwarta, czyli kontratakujemy! Sun Tzu mawiał, że najlepszą obroną jest atak, zgodnie z tą zasadą działa wtyczka WP-SpamShield (i podobne). Przypomina to w zasadzie działania odrobinę firewalle aplikacyjne. W sposób całkowicie przeźroczysty dla potencjalnego czytelnika Bloga, strzelamy (wstrzykujemy w jego sesję) w kierunku jego przeglądarki (dowolnej) apletem JavaScript, który ma jedno zadanie. Sprawdza, czy przeglądarka jest prawdziwa. Zwykła, normalna (obsługiwana przez człowieka). Czyli że nie jest to zautomatyzowana próba odczytania naszego Bloga. Automat działa według schematu, nie jest przygotowany na odpowiedź na tego typu działanie. A jaka jest zaleta? Skrypt jest wysyłany przed zawartością strony, jeśli test nie jest pozytywny, zawartość Bloga nie jest wysyłana. Ergo, ruch na stronie równa się zero. Bot został zatrzymany zanim dotarł do nas! Uprzedzam jednak, że tego typu wtyczki blokują też działanie innych wtyczek, rozszerzających pole komentarza na naszej stronie. Czyli gdy działa WP-SpamShield nie działa np. moduł Jetpack Komentarze.

spam4

Czy to działa? Tak ustawiony perymetr obrony jest bardzo szczelny. Od czasów o których pisałem tutaj, upłynęło sporo wody w Wiśle, i pomimo wklejenia powyżej dramatycznych obrazków, mój blog jest… czysty! Aaaa i jeszcze jedno (bym był zapomniał)! Aktualizujmy co się da, wtyczki, bloga. W świecie informatyki to co porzucone (nie aktualizowane) jest podatne na atak! A czasy mamy takie, że jak się odwrócimy od naszej strony/bloga, to najbliższy bot wbije nam nóż w wirtualne plecy (i zamieni stronę w słup ogłoszeniowy spamerów). Pozdrawiam :-)

Oceń ten artykuł:
[Total: 0 Average: 0]

Dodaj komentarz

Required fields are marked *.