Когда WordPress был создан только для блогов, владельцам сайтов не приходилось бороться с такой проблемой как спам. Но как только в WordPress появилась регистрация пользователей, BuddyPress и многопользовательский режим доступа, спамеры на WordPress стали большой трудностью для многих владельцев сайтов.
Цель спам атаки на форму регистрации WordPress - создать бот-аккаунты, чтобы спамить ссылки или пытаться внедрить вредоносные скрипты. Но, с небольшими знаниями, вы сможете бороться против этих мерзавцев и избавить свой сайт от спама раз и навсегда.
В этом посте мы расскажем, как определить и удалить существующих спамеров среди своих пользователей. А затем покажем, как автоматически предотвращать их появление на WordPress.
Почему спам-пользователи на WordPress являются проблемой
Спамеры могут навредить вашему сайту как внутренне, так и внешне, именно это и вызывает беспокойство. Внутренне, спамеры вторгаются в базу данных и, как правило, просто осложняют управление сайтом. Понадобится много времени, чтобы справляться с реальными пользователями, отфильтровывая их из числа сотни спамеров. Подобным образом, если на сервере находиться куча спамеров в базе данных, это также ухудшит его эффективность.
Спамеры мешают вам путем размещения исходящих спам ссылок, которые могут навредить вашему сайту в Google. Если вы используете что-то вроде BuddyPress, спамеры могут даже отправлять личные сообщения зарегистрированным пользователям, что, конечно, им не очень понравится.
Поэтому пора покончить с этим раз и навсегда, научившись распознавать, удалять и предотвращать спамеров на WordPress.
Как определить и удалить существующих спамеров на WordPress
Один раз применив способы защиты от спам-пользователей, вам больше не придется делать это часто. Но если вы только начинаете, следует выявить (а затем удалить) всех существующих спамеров на своем сайте.
Если проблема спама не так значительна, вы можете сделать это вручную путем удаления большого количества пользователей, которые проявляют спам активность. Если есть реальное нападение вредителей, запустите плагин, который может автоматически обнаружить спамеров.
Как удалить спам-юзеров на WordPress с помощью Bulk Delete
Самый простой способ удаления спамеров - это просто перейти в меню Пользователи и проверить тех пользователей, которых вы хотите удалить. Затем можете удалить их, выбрав опцию Удалить из раскрывающегося списка действий.
Конечно, делать это с помощью стандартного меню Пользователи в WordPress глупо, потому что на экране вы видите только 20 пользователей. К счастью, вы можете изменить количество, нажав на Настройки экрана в правом верхнем углу панели управления WordPress:
Затем измените количество, которое вы хотите отобразить на каждой странице:
Если вы не хотите нажимать на пару сотен флажков, можно автоматизировать этот процесс с помощью плагина Bulk Delete .
Плагин Bulk Delete позволяет удалять пользователей, которые соответствуют таким критериям, как:
- Конкретные роли пользователей
- Конкретные мета-данные
- Дата последнего входа
- Дата регистрации
Если спамеры тщательно перемешаны с реальными пользователями, эти критерии могут быть не особенно полезными. Но все же плагин Bulk Delete отлично подходит для очистки одноразовой атаки, где спам-аккаунты были зарегистрированные в одно время, или для устранения предыдущих спамеров, которые вошли в систему, но с тех пор больше не возвращались.
Выявление и удаление спамеров на WordPress
Если у вас слишком много пользователей, чтобы определять вручную, вы можете использовать плагин WangGuard , чтобы автоматически выявлять и удалять спамеров. Мы также обсудим функцию проактивной защиты этого плагина в следующем разделе.
WangGuard осматривает существующих пользователей и сравнивает их со своей базой данных спамеров. Если есть соответствия, WangGuard обозначит этого пользователя в новом столбце “Splogger”. Затем вы легко можете удалить спамеров после подтверждения.
WangGuard также умеет с помощью одной кнопки Report as Splogger удалять пользователей и добавлять их в централизованную базу SplogHunter (аналогично функции Akismet для борьбы со спамом в комментариях).
Как предотвратить спам-регистрацию пользователей на WordPress
Вам известна старая поговорка "Легче болезнь предупредить, чем потом её лечить"? Это определенно относится к спамерам на WordPress. Если изначально предотвратить их от регистрации, вам не придется беспокоиться об их выявлении и устранении в будущем.
Есть несколько способов блокировки:
- Усильте режим регистрации при помощи CAPTCHA – это надежный метод, так как он требует реальных людей для подтверждения, что они не роботы.
- Используйте плагин, который сравнивает новые регистрации по базе данных спамеров . Это лучший способ, который не предоставляет неудобств реальным людям. Плагин просто блокирует уже знакомых спамеров.
- Добавьте правила доступа, чтобы предотвратить спамеров . Если вы заметили, что большинство спамеров поступают, скажем, из зоны.ru, установите правило, которое блокирует всех, кто для регистрации использует электронную почту.ru.
Теперь мы поделимся некоторыми плагинами, которые помогут выполнить одну или несколько из этих проверок.
1. Captcha by BestWebSoft
Если вы хотите, чтобы все пользователи заполняли CAPTCHA перед регистрацией, используйте Captcha by BestWebSoft для добавления простых математических уравнений в поле при регистрации. С другой стороны, мы не уверены, что стоит переходить прямо к CAPTCHA плагинам. Но если у вас действительно большие проблемы со спамом, это хороший способ, чтобы сразу его убрать.
Основные характеристики :
- Действует на вход, регистрацию, восстановления пароля, комментарии и формы обратной связи
- Добавляет простое математическое уравнение, что запутывает спам-ботов
- Позволяет пользователям получить новый вопрос, если тот слишком сложный
- Можно настроить сложность математических вопросов
- Включает в себя буквы и цифры CAPTCHA
2. WangGuard
WangGuard автоматически указывает на спамеров без CAPTCHA. Помимо исключения существующих спамеров, WangGuard также может защитить регистрационные формы, не требуя от пользователей заполнения CAPTCHA. При регистрации пользователи будут автоматически сравниваться с базой данных спамщеров SplogHunter:
Основные характеристики :
- Блокирует спам регистрации без CAPTCHA
- Базы данных спамеров постоянно обновляются из-за использования коллективных ресурсов как Akismet
- Подходит для WordPress, BuddyPress и bbPress 2.0
- Можно вручную блокировать определенные домены регистрации
Примечание - вы должны получить бесплатный API ключ от WangGuard для использования плагина.
3. WP-SpamShield
WP-SpamShield - это широко используемый плагин, отвечающий за защиту от спама всех составляющих вашего сайта. Часть плагина включает в себя регистрационные формы.
Работает плагин очень умным способом. Он защищает вас как с помощью JavaScript/cookie protection, так и посредством анти-спам алгоритма. Он также не использует CAPTCHA, что нам очень нравится.
Основные характеристики :
- Защищает от регистрационного спама, а также спама в комментариях, уведомлениях и других его формах
- Не применяется CAPTCHA – нет интерфейсных препятствий для пользователей
- Подходит для BuddyPress, bbPress и других форм
Итоги
Спамеры на WordPress - это реальная помеха для тех, кто ведет сайт с открытой регистрацией. Эти помехи могут доставлять беспокойство реальным пользователям, засорять базы данных и разрушать SEO исходящими спам-ссылками.
Но если вы примените подходящую защиту, вы сможете искоренить спамеров и даже не допустить их к будущей регистрации.
Чтобы не вызывать неудобств у реальных пользователей, используя CAPTCHA, примените плагин WangGuard или WP-SpamShield. Если проблема спама при использовании этих плагинов все еще будет существовать, тогда вы можете начинать блокировку определенных доменов, которые являются спамом, и применить CAPTCHA.
Спам может стать настоящей проблемой, если ваш сайт или блог использует. Даже при обычной роботе, и не высоком количестве посителей, ваш сайт постоянно получает трафик от ботов. С каждым годом процент автоматизированного трафика только возрастает. Рост трафика ботов опережает рост органического трафика. Работа бота сейчас на много проще чем раньше, поэтому количество спама увеличивается.
Вторым путем защиты для защиты WordPress от спама есть использование различных плагинов . Мы предлагаем вам ознакомится с наиболее популярными бесплатными WP Spam-Shield Anti Spam, Antispam Bee, Akismet и CleanTalk (платный).
WP Spam-Shield Anti Spam
- работает с всеми популярными плагинами и плагинами для работы с электронной коммерцией на сайте;
- предоставляет зашиту от спам ботов и другого вида спама;
- работает с JS/Cookies Anti-Spam Layer и Algorithmic Anti Spam Layer;
- частично защищает сайт от SQL внедрений и XSS уязвимостей;
- обещает ноль ложных срабатываний;
- использует спам фильтр очереди, который анализирует информацию, прежде чем она попадает в базу данных WordPress;
- останавливает спамовые попытки регистрации.
Antispam Bee
- Различает Спам IP-адреса и требует авторизации для оставления комментариев;
- плагин не требует авторизации для использования и не собирает персональной информации;
- авторизация в системе по желанию;
- плагин поддерживает автоматическое удаление спама и выбор страны для блокировки;
- разрешает оставлять комментарии только на одном языке;
- бесплатный даже для коммерческих проектов.
Akismet
Защитник от спама для всех сайтов на WordPress по умолчанию. Плагин представляет отличное решения по защите сайта причем совершенно бесплатно.
- Автоматическая проверка всех комментариев и использование спам фильтров, также у вас останется возможность модерировать комментарии время от времени.
- Сохраняется история комментариев, что позволяет пользователю проверить, был ли его комментарий отмечен как спам Akismet или модератором
- поддерживает способность полностью избавиться от спама, эффективная даже для худших видов спама
- поддерживает работу на 24 языках
Для некоммерческих сайтов и даже для коммерческих с средним уровнем трафика, один из трех выше перечисленных фильтров прекрасно подойдет и будет прекрасным решение для борьбы со спамом.
Стоит также отметить, что для большинства сайтов достаточно будет стандартного Akismet для защиты от спама . Бесплатный тариф Akismet предусматривает 50000 проверок комментариев, после превышения данного числа проверок предлагается пользователю пользователю перейти на ежемесячный тариф стоимость 5 дол.
Бесплатных плагинов волне достаточно для защиты от самых распространенных атак, но если вас интересует приложения премиум уровня, то вам стоит ознакомится с функционалом Anti-Spam By Clean Talk. За 8 дол. год Вы можете получить полную защиту от спама сайта. Данный плагин обрабатывает 1.5 до 2 миллионов запросов ежедневно, 99,8% из которых обозначаются как спам.
CleanTalk – это облачная система защиты для ограничения спама в комментариях , при регистрации, рассылки через контактные формы и создания трекбеков. Кроме того, плагин также фильтрует заказы, виджеты и емейл рассылки. Плагин определяет и останавливает спам не использую капчи или других техник. CleanTalk использует похожие принципы работы что и бесплатные плагины. Процедура работы плагина происходит путем распознавания спама по следующим признакам:
Спам в WordPress – больная тема на все времена. Такова плата за популярность и открытый код движка. Остается либо мириться, либо бороться с этой проблемой. Причем популярность и посещаеость не влияют на количесвто спама. Сайты с нулевой посещаемостью могут с успехом спамиться в разы больше, нежели рейтинговые сайты с приличной посещаемостью. Защита WordPress от спама в нашем случае будет осуществляться проверенными плагинами, которые можно найти в “магазине” Wordpress. Данный материал можно назвать “ – как я избавился от спама”. Представляем Вашему вниманию “джентельменский” набор плагинов, которые позволили полностью избавиться от спама в Wordpress (с кратким описанием плагинов). Сразу отмечу, что не использую популярный антиспам плагин Aksimet (не охота играться с регистрациями).
WordPress спам – набор плагинов защиты wordpress от спама
1. Первый плагин, который будет защищать наш сайт на Wordpress от спама – Antispam Bee. Плагин прекрасно локализирован, так что настройку описывать нету смысла, да и настройки по-умолчанию являются оптимальными. Единственное что можно добавить, это отметить пункт “Использовать общую БД антиспама”, дабы расширить спам фильтр. Плагин прекрасно справляется с борьбой со спамом без регистраций (в отличии от Aksimet), имеет гибкую настройку и статистику.
2. Под вторым номером пойдет у нас старенький BotBlocker. На момент написания статьи, плагин не обновлялся уже 5 лет, но тем неменее работает и справляется со своей задачей. Опять же – настройки по-умолчанию менять не нужно, просто устанавливаем и активируем плагин.
3. – дополнительная защита капчей. После утановки предыдущих плагинов, капча, как таковая, впринципе, и не особо нужна. Но, как говориться – “лучше перебдеть, чем недобдеть”. Исползую для этого плагин Captcha Code прост в установке и настройке – без лишних движений, получаем простую капчу. Отмечу, что просто установка капчи на комментарии практически не блокирует спам (причем были опробованы практически все плагины данного направления, что доступны в коллекции плагинов движка).
Вот с таким набором плагинов защита wordpress от спама больше не кажеться невыполнимой задачей. Именно данная комбинация плагинов позволила полностью избавиться от спама на нескольких обслуживаемых сайтах Wordpress, которые активно “бомбились” спамом на протяжении долгого времени.
Остается еще одно уязвимое место в плане спама в Wordpress – ручная рассылка спама – но с этим уже ничего не поделаешь. Радует, что данный вид спама – капля в море, по сравнению с автоматизированной рассылкой спама, и встречается крайне редко.
Защита от спама в WordPress чаще всего представлена плагином Akismet , который де-факто считается основным способом защиты от авто-спама в WordPress. Но ряд неудобств, сопряженных с использованием этого плагина (Получение Akismet API key, Настройки в Админке, Необходимость регистрации на WordPress.com, Необходимость постоянной очистки папки спам) зачастую отпугивает простого пользователя от включения Akismet в свой сетап по умолчанию. Тем более что существует ряд не менее эффективных в использовании, но гораздо более простых решений.
Самый простой, и очень надежный способ, это использовать Плагин от KAMA для защиты от спама в комментариях WordPress Он не имеет настроек, скачиваете , устанавливаете, активируете, если комментарии после активации оставляются, значит плагин работает. В противном случае при отправке комментария вы увидите сообщение «Comment is blocked! Press the botton to send your comment one more time:».
Защиту от спама плагином можно проверить на Специальной страничке имитирующей спам-программу, пройдите по ссылке и попробуйте оставить комментарий у себя на блоге. Попробуйте выключить плагин и снова оставить комментарий и вы увидите, что плагин работает.
Защита от спама. Преимущества плагина KAMA:
- Никаких каптчей, чекбоксов (галочек), картинок и прочей античеловечности. Присутствие плагина визуально никак не проявляется;
- Никакого авто-спама!
- Не мусорит админку оповещениями, и дополнительными настройками.
- И наконец он просто - РАБОТАЕТ 🙂
Если Вы, как и я, не сторонник использования плагинов, то можно воспользоваться таким очень простым методом. Суть метода очень проста. В форму отправки комментариев добавляем скрытое для пользователя поле, помеченное как обязательное к заполнению. Роботы для авто-спама - заполнят это поле, и у нас будет критерий, по которому можно отсеивать спам комментарии. Для пущей надежности, можно добавить еще один критерия проверки, основанный на том, что спам-боты не умеют выполнять программы на JavaScript . И если на кнопку «Отправить» нажмет человек, то при нажатии на кнопку выполнится JavaScript код, в результате выполнения которого в скрытое запишется значение «StopSPAM» . А в случае с роботом переменная так и останется пустой.
И все что останется предпринять — это проверить в скрипте чему равна полученная переменная, если она равна проверочному слову «StopSPAM» , значит сообщение отправил человек. Ну а в противном случае, - это робот.
Итак, делаем 2 проверки:
В форму добавления комментария добавляем скрытое поле с именем name=»check» и пустым значением value=»»,
// Скрытое поле заполняемое JS при нажатии кнопки Отправить // Визуально скрытое поле не заполняемое пользователем
В кнопку оправки формы добавляем JavaScript код:
// JavaScript код в кнопке отправки формы
В общем случае, необходимо внести следующий код в php-скрипт, который проверяет данные из формы:
// Проверка заполнено ли поле, да - бот, нет - пользователь if(!empty($_POST["check2"])) exit("Это поле не нужно заполнять"); // Если в поле есть StopSPAM значит JS выполнялся if ($_POST["check"] != "StopSPAM") exit("Защита от спама. Включите JavaScript!");
Конкретно для WordPress, необходимо внести изменения в php-скрипт, который проверяет данные из формы комментариев. Находим в /wp-comments-post.php такой код:
If ("" == $comment_content) wp_die(__("ERROR: please type a comment."));
И вписываем сразу после него:
If ($_POST["check"] != "StopSPAM") wp_die("Ошибка: Защита от спама. Включите JavaScript."); if (!empty($_POST["check2"])) wp_die("Ошибка: Это поле не нужно заполнять");
Добавляем проверку так же и в форму обратной связи (если онау Вас присутствует).
От автора: приветствую вас, друзья. В этой небольшой статье мы с вами поговорим о защите от спама на WordPress. К сожалению, сегодня Интернет это не только источник доступной и нужной информации, но и, как некоторые говорят, — всемирная помойка. Во многом это заслуга спамеров, которых с каждым годом становится все больше и больше.
Очень большая доля сайтов в сети — это блоги. Ну а поскольку речь идет о WordPress, то сделать блог на нем, как говорится, сам Бог велел. Ведь WordPress изначально и создавался, как в первую очередь блоговый движок. Ну а какой же блог да без комментариев? Правильно, блог без комментариев уже и блогом назвать как-то язык не поворачивается. Ведь каждый блоггер, написав свежую статью, хочет получить обратную связь в виде общения с читателями в комментариях.
Соответственно, практически на любом сайте на WordPress разрешено комментирование статей и комментировать зачастую разрешено абсолютно всем, как зарегистрированным и авторизованным пользователям, так и гостям. А ведь это огромное раздолье для спамеров, которые через комментарии пытаются рекламировать тот или иной ресурс.
Именно поэтому одной из важных задач при ведении сайта на WordPress будет его защита от спама. Для начала давайте посмотрим, какие средства защиты предлагает нам WordPress из коробки. Для этого перейдем на страницу Настройки — Обсуждение.
Здесь нам могут помочь следующие настройки:
Пользователи должны быть зарегистрированы и авторизованы для комментирования
Комментарий должен быть одобрен вручную
Модерация комментариев
Чёрный список
Некоторые из этих настроек уже отмечены и используются, некоторые пока не используются. В принципе, названия этих настроек и описания к ним говорят сами за себя и объяснять здесь особо и нечего. Например, если вы не хотите видеть на своем сайте комментарии от гостей, тогда отметьте соответствующую настройку. Также обязательно рекомендую вам включить модерирование комментариев (Комментарий должен быть одобрен вручную). Это оградит читателей вашего сайта от чтения спама, поскольку комментарий никто не увидит до тех пор, пока администратор сайта не одобрит его. Ну а вы, как администратор, уже примете решение о том, достоин ли комментарий того, чтобы появиться на вашем сайте.
Конечно же, это, можно сказать, ограничение свободы слова Однако, к сожалению, в современных реалиях это практически вынужденная мера. На первом этапе принятых мер будет вполне достаточно для того, чтобы защитить ваш сайт на WordPress от спама. Если на вашем сайте «поселится» спамер и регулярно будет оставлять спамовые сообщения, тогда вы дополнительно можете занести его в Черный список, используя для этого целый набор признаков (e-mail, URL, IP и другие).
Однако может так статься, что со временем модерировать и вычищать спамовые комментарии вам станет все сложнее, поскольку таких комментариев станет все больше. Вы вполне можете за сутки удалить несколько десятков вот таких вот спамовых комментариев. Как же быть? В этом случае нам потребуется более весомая защита от спама, нам нужен плагин.
Как вы понимаете, это будет плагин, который добавит капчу для формы добавления комментария, то есть, к уже имеющимся полям, будет добавлено еще одно поле, с капчей. Подобных плагинов десятки и сотни. Это могут быть плагины, добавляющие обычное поле чекбокса, которое нужно отметить или, наоборот, снять отметку, чтобы доказать, что вы не бот. Это могут быть плагины, добавляющие гораздо более сложные варианты защиты. Для примера давайте воспользуемся плагином Captcha Code для WordPress. Как обычно находим и устанавливаем плагин.
После установки плагина в меню появится новый пункт — Captcha.
Здесь нам предлагают настроить капчу на свой вкус. Например, мы можем выбрать тип кода (буквы/числа) и букв (заглавные/маленькие буквы). Что особенно интересно, так это то, что капчу мы можем поставить не только для формы комментариев, но и для других форм на сайте WordPress: для формы авторизации и регистрации и для формы восстановления пароля. Также мы можем скрыть капчу для авторизованных пользователей.
Ну что же, посмотрим на работу плагина защиты от спама в действии. Попробуем ввести код неверно и получим соответствующее сообщение.
Вот, собственно, и все. Как видим, защитить ваши комментарии от спама в WordPress — довольно просто. К слову, если вы хотите узнать, как создаются такие плагины, тогда предлагаю вам познакомиться с нашим курсом по изучению .
На этом у меня все. Удачи!
