Несколько дней не заходил в блог и вот результат – 48 комментариев за 4 дня и все они похожи на автоматический спам. Плагин антиспама Akismet фильтрует не все, да и часто наоборот в спам закидывает нормальные комментарии, поэтому на 100% полагаться на него нельзя и все равно приходится просматривать все самому. Решил поискать, как защитить WordPress от спама не плагинами и нашел интересное решение – переделать форму отправки комментариев.
Люди спамят осмысленно и немного, роботы составляют большинство спамящих, и берут они числом и скоростью. Им не важно пройдет ли комментарий, не на этом сайте, так на следующем они пройдут сквозь защиту, поэтому рассылка осуществляется быстро и по стандартному сценарию. Отсюда вывод – от людей мы не защитимся, а вот от роботов реально вполне, причем делать это нужно в автоматическом порядке без участия владельца блога.
Порядок поведения спам-ботов следующий: находим блог, в нем статью, далее форму для комментариев, заполняем стандартные поля и уходим дальше. Иногда роботы выбирают 1-2 строки из текста страницы и вставляют в поле комментария, но это для нас не важно. Ни блог, ни статью мы спрятать от них не сможем, а вот с формой размещения комментариев как раз поработать и стоит. Обычно она состоит из 4 полей- “имя”, “e-mail”, “сайт”, “комментарий”. Если копнуть чуть глубже, то мы увидим, что эти поля имеют name и id, которые для большинства сайтов совпадают.
Как же обмануть бота? При заполнении формы, он пойдет по стандартным полям, и, если создать дубликат поля с другим name, то заполнено будут именно стандартное. Но что делать пользователю-человеку, ведь он увидит несколько одинаковых полей в форме? Все просто – оставим для человека переименованное, он ничего не заметит, а стандартное скроем при помощи css, его увидит и заполнит робот. Дальше сделаем анализ заполненной формы, и при наличии текста в скрытом поле удалим комментарий, как спам.
Для изменения нам понадобятся следующие файлы: /wp-content/themes/тема/comments.php – это файл формы комментария и /wp-comments-post.php – это обработчик формы, ну и файл стилей, в котором мы будем прятать дублирующее поле, обычно это /wp-content/themes/тема/style.css.
Сначала исправляем саму форму добавления комментариев, для этого находим в comments.php часть кода, которая ответственна за внешний вид, обычно она расположена ближе к концу файла, нас будет интересовать строка ввода e-mail:
<input type=”text” name=”email” id=”email” value=”<?php echo $comment_author_email; ?>” size=”22″ tabindex=”2″ />
Для этого поля создаем дубликат для ботов и добавляем класс для невидимости, для людей меняем название поля:
<input type=”text” class=”irobot” name=”email” id=”email” value=“” size=”22″ tabindex=”2″ />
<input type=”text” name=”notaspam” id=”true-email” value=”<?php echo $comment_author_email; ?>” size=”22″ tabindex=”3″ />
При использовании кода желательно поменять irobot, notaspam и true-email на любые другие имена.
Переходим к обработчику формы /wp-comments-post.php. В файле находим обработку формы, добавляем проверку на заполнение скрытого поля и меняем содержимое email на пользовательское:
$spam_test_field = trim($_POST['email']);
if(!empty($spam_test_field)) wp_die(‘Spam must die!’);
$comment_author = ( isset($_POST['author']) ) ? trim(strip_tags($_POST['author'])) : null;
$comment_author_email = ( isset($_POST['notaspam']) ) ? trim($_POST['notaspam']) : null;
Таким образом, если заполнено невидимое поле email, то комментарий не пройдет – это однозначно бот. Осталось только спрятать дублированное поле, и человек заполнить его не сможет. Прописываем класс в файле стилей:
.irobot{ display: none; }
Плюс данного метода в том, что он не особенно распространен, а значит спаммеры не будут сильно задумываться над его обходом и какое-то время эффективность будет высока. Минус один, но большой, при изменении темы или обновлении блога, нужно не забыть повторить процедуру.
UPD. Исходя из опыта администрирования нескольких блогов, могу сделать вывод, что защита WordPress от спама путем изменения формы комментариев, в результате является самым простым способом. Плагины рано или поздно начинают пропускать спам, а затем становятся полностью неэффективными, кроме этого они требуют настройки, обновления и т.д., а тут минимальные манипуляции и почти 100% результат отсеивания ненужных сообщений.
Ссылки по теме:
Защита блога от спама по версии adw0rd
Плагин “Я не робот!”
Защита от спама при помощи математики Math Comment Spam Protection
Уничтожитель паразитов Новикова
Поделиться в соц.сетях
Похожие записи
Мне нравится! | ||
| Нравится | ||
27 comments
Artem says:
Сен 16, 2009
Мне один хороший человек посоветовал плагин AntiSpam Bee, я понятия не имею как он работает, собственно с виду он себя не проявляет, не нужно регистроироваться, как при Akismet, но работает просто на ура!!! Отфильтровывает отлично, очень рекомендую.
xela says:
Сен 17, 2009
Он отфильтровывает в спам, или не пускает комментарии? Фильтрует и акисмет хорошо, вот только удалять задалбывает периодически.
Artem says:
Сен 18, 2009
Эм… Не совсем понял, что вы имеете ввиду, но если я правильно вас понял, он отфильтровывает в спам. Потом в списке спам-комментариев они видны и их можно сразу все удалить. Также, в настройках плагина можно поставить опцию сразу удалять или автоматически удалять по истечение нескольких дней. Отфильтровывает отлично, все по делу.
xela says:
Сен 18, 2009
Не знаю- не знаю, у меня акисмет порой ошибается. А с манипуляциями, которые написаны выше, спам просто исчез, он не попадает в базу и его перестают посылать. Даже удалять ничего не нужно.
zoOm says:
Окт 12, 2009
Одно время, после создания блога, спам доводил просто до бешенства. По 200 сообщений в день. После установки плагинов спам просто на автомате отсеивался. Банил все IP с которых спамили, а они все равно лезли и лезли. А теперь уже пару месяцев ни одной крупной “атаки”… Может забили ?
xela says:
Окт 12, 2009
У меня после описанной модификации спам исчез вовсе. Но что-то подсказывает, что спаммеры-то не перевелись
Lex says:
Окт 14, 2009
Идея хорошая
Только, по-моему, код надо немного поправить:
Во втором коде из input type=”text” name=”notaspam” удалите id=”email” (насколько я знаю, нельзя иметь два элемента с одинаковым id). Должно быть так:
input type=”text” name=”notaspam” value=”…
В третьем коде вместо isset($_POST['email']) надо написать isset($_POST['notaspam']) (прежде, чем брать значение переменной — надо проверить, существует ли она. Она, а не спамерская переменная)
Первое, как я вижу, на форме комментария исправлено. Просто в статье забыли поправить?
xela says:
Окт 15, 2009
Согласен полностью, поправил в тексте. Приятно увидеть внимательного читателя. Спасибо.
Qvot says:
Апр 21, 2010
.irobot{ display: none; }
лучше сразу прописать в самом поле с помошью style, что бы исключить вариант с недозагруженным css
Lex says:
Апр 21, 2010
а я вот подумал: а что если какой-нибудь писатель спам-ботов прочтет это статью и исправит свое творение, чтобы оно пропускало поля со style=”display:none”?
мой вариант (с .antispam{display:none}):
Оставьте это поле пустым: (это для тех, у кого нет CSS)
а вот уж в наследовании свойств, я решил, никакой спам-робот разбираться не будет!
Lex says:
Апр 21, 2010
p.s. у Вас время не московское или не летнее?
по моим часам сейчас без одной минуты полночь!
xela says:
Апр 22, 2010
Lex, насчет display:none как раз чуть выше предложение было. Наверное так и стоит делать, пока копаться не стану, даже с предыдущим вариантом особенных проблем со спамом нет. За время, спасибо, поправил. В вордпрессе автоматом не переводится увы
Lex says:
Апр 23, 2010
про display:none я как раз на предыдущее предложение отвечал
наверное, непонятно мысль выразил.
и весь мой пример исчез, не заметил… вот исправленный вариант (угловые скобки заменил на квадратные):
[div class="antispam"]
Оставьте это поле пустым:
[input type="text" name="email"]
[/div]
(с .antispam{display:none} в CSS)
bigooyan says:
Июнь 13, 2010
Спасибо за наводку на Math Comment Spam Protection, пока только поставил, а потому не могу сказать, насколько он эффективен. Есть в плуге приятная фича – кастомизация вида выводимого арифметического выражения, есть место для фантазии. Ставится очень просто.
xela says:
Июнь 24, 2010
bigooyan, да. Тоже недавно поставил, пока все супер!
Фёдор Ашифин says:
Июнь 21, 2010
Интересное решение, буду пробовать, а то спамеры одолели что только не ставил.
xela says:
Июнь 24, 2010
Фёдор Ашифин, я перебрался на Math Comment Spam Protection. То, что описано в статье теряет эффективность где-то через полгода-год, а опять залезать в код желания нет. Хотя реально 8 месяцев вообще проблем не было.
shadow says:
Сен 3, 2010
Один из способов отсечь спамботов – вырезать поле URL из файла шаблона comments.php (применительно в wordpress темам) ведь именно это поле ищут боты. а различные капчи со временем будут ими обойдены, ибо если один человек что-то сделал, другой завсегда поломать сможет.
xela says:
Сен 5, 2010
это поле, один из стимулов для людей оставить комментарий, поэтому я думаю, что предложенное решение – не выход.
Ruutu says:
Ноя 3, 2010
У меня блог на Блоггере. Уважаемый автор, подскажите, как сделать такой же формы как у вас отправку комментариев, как на WP? Буду признателен.
xela says:
Ноя 3, 2010
Честно? Без понятия
Ruutu says:
Ноя 3, 2010
Жаль жаль жаль……
Lex says:
Ноя 4, 2010
Ruutu: подозреваю, что никак, т.к. блоггер не дает доступа к серверной части своего “движка”
pagood says:
Дек 6, 2010
А почему на вашем блоге не применяется этот метод удаления спама?
xela says:
Дек 6, 2010
Потому что я нашел другой вариант.
pagood says:
Дек 7, 2010
поделитесь плиз!
xela says:
Дек 7, 2010
В статье внизу ссылка на Math Comment Spam Protection. Боты пробивают мой вариант через полгода где-то и приходится его руками переделывать, что неудобно.