Naporno

(ne)sigurnostweb

Ovi Wordpress spameri u komentarima su sve naporniji. Izgleda da im je vikend omiljeno vrijeme za napad. Pokušao sam instalirati 2-3 CAPTCHA pluginova za WP, ali nijedan nije radio kako treba ili su radili više štete nego koristi, pa sam sve vratio na staro. Nije mi se više dalo istraživati koji plugin radi. Jedino sam na crnu listu dodao nekoliko novih riječi koje su (zasad) zaustavile najupornije spamere.

Vjerojatnost da ćete voditi borbu sa spamom je veća ukoliko koristite neku od poznatih web aplikacija. Isto tako je veća i vjerojatnost da će netko iskoristiti neku poznatu rupu u tim aplikacijama da vam 'defejsa' stranicu ili napravi neku drugu nepodopštinu. Zbog toga je dobro stringove tipa 'powered by...' i slične maknuti sa stranice, a umjesto toga staviti sliku s informacijom o aplikaciji ili string naknadno formirajte uz pomoć JavaScripta. Znam, znam, savjetujem nešto čega se ni sam ne držim. :-)

Čak i ako imate nekakvu malo poznatu aplikaciju mogućnost njezine zloupotrebe postoji. Susjedi sam prije par godina, na njezinu stranicu, stavio neku knjigu gostiju koju sam pokupio na hotscripts.com. Ovih dana su mi počele dolaziti čudne poruke koje su signalizirale da je neka od formi zloupotrijebljena. Web hosting provider mi je ukazao na zaboravljenu skriptu.

Oni koji koriste vlastite aplikacije su u malo boljem položaju. Oni se uglavnom susreću samo s običnim spamerima od krvi i mesa. A takvi su obično u ofenzivi. WP spameri su prikriveni, u stare postove ubacuju naizgled prijateljske komentare, ostave link il' dva. Još da ostave post il' dva možda bi se i provukli, ali kad ostave nekoliko desetina komentara onda upadaju u oči...



Komentari

8. svibnja 2006. 07:10

Koju verziju WordPressa koristis? Ja imam verziju 2.0.2 (redovno apdejtam preko Fantastica) i odavno vise nemam problema s comment spammerima.

8. svibnja 2006. 08:20

Valjda iz razloga sto mi blog nije toliko posjecen, nemam problema sa spamerima, mislim da sam imao mozda tri posta koji su bilii cisti spam, ostalo je uglavnom bilo offtopic :)

A sto se tice captche, sa svojom sam totalno zadovoljan, jest da ponekad ide na zivce, no pruza mi makar malo sigurnosti sto se tice spamera.

Izgleda da sam jedan od rijetkih u nasoj blogosferi koji koristi sopstveno rijesenje sto se tice bloga i captche pa sumnjam da ce netko uloziti toliko truda da potrazi exploit (kojih sigurno ima tona!) i iskoristi ga.

Downside koristenja osobnog rijesenja je nekompatibilnost sa ostalim platformama i sa 3rd party servisima jer trazi od vlasnika da konstantno kodira nekog vraga i uglavnom to kaaaaasni :)

8. svibnja 2006. 08:32

@Berislav: istu tu, ali dopustio sam slobodno komentiranje tj. nema ograničenja ukoliko se ispune traženi podaci. Imaš uključen Akismet?

@sinisa: tvoja captcha me je prvi put zbunila, preglednik je zbog samo njemu znanih razloga samo jednom odvrtio gif i stao, a ja sam ostao zbunjen. Nakon refresha sve je proradilo. Zbog nedostatka vremena sam ja odustao od vlastitog rješenja.

9. svibnja 2006. 13:28

Imam Akismet, po defaultu ako se ne varam.

9. svibnja 2006. 13:47

Za njega treba wordpress.com api key, čini mi se da ne radi po defaultu. Meni se ne dopada činjenica da mi stranice ovise od nekom drugom servisu. Imao sam jednog upornog spamera iz Rusije kojeg sam se riješio blokiranjem IP adresa. Dotični i dalje pokušava postati komentare, jučer mi je nabio duplo više unique posjeta nego što ih inače imam dnevno.

10. svibnja 2006. 18:20

Hehe za Rusa. :)

Izgleda da ovi moji na www.plus.hr imaju taj API na razini cijelog sustava, ili mozda na razini Fantastica, ne znam. U svakom slucaju radi, i ja se ne bunim. :)

12. svibnja 2006. 19:37

Možda bi ti napametnije bilo da sam uradiš nadogradnju koja će to riješiti. Recimo napraviš onu sliku sa slovima i brojevima, koje korisnik mora unijeti ako želi ostaviti komentar. To bi riješilo sve probleme.

13. svibnja 2006. 08:02

Pokušao sam, ali nijedna CAPTCHA koju sam stavio nije radila u ovom WP-u. Stavio sam zabranu za jedan cijeli IP range u Rusiji i za sada su napadi stali. Ali evo počinje vikend...