Прошел месяц с тех пор, как я снял защиту Akismet и заменил Simple CAPTCHA на NotCAPTCHA для отсеивания спамеров на своем блоге. Думаю, пора подвести некоторые итоги использования такой комбинации защиты.
Перейду сразу к делу. Итоги следующие: за последний месяц я получил около 20-30 спам-трэкбэков и ни одного спам-комментария, который прошел защиту NotCaptcha. Сразу виден результат работы этого плагина — на данный момент он работает замечательно и не пропускает мусор на мой сайт. С Simple CAPTCHA было не так — временами она все-таки пробивалась. Не хочу ничего плохого писать об этом плагине, тем более, что он спасал меня от спама на протяжении 8 месяцев — с самого старта моего блога. В целом я им доволен, хотя он и небезупречен — пяток спам-комментариев в месяц ко мне все-таки проскакивали. И именно желание довести защиту до абсолюта хотя бы со стороны комментариев подтолкнуло меня к смене плагина. За последний год я уже сталкивался с необходимостью защищать веб-ресурсы, и, должен отметить, что каптча плагина Simple CAPTCHA достаточно проста (это видно и в названии плагина) для распознавания всякими сервисами, коих в Интернет уже порядочное количество. Поэтому, я хочу передать пожелание автору плагина Zorex‘у — необходимо усложнить каптчу плагина, чтобы он был конкурентоспособным. Сайт автора, к сожалению, сейчас недоступен, но я надеюсь, что у Zorex’а все в порядке, он увидит мое пожелание и продолжит работать над усовершенствованием своего плагина.
Какой вывод можно извлечь из текущих цифр? Ну, в моей ситуации, при небольшой посещаемости и вялых атаках спамеров)), имеет смысл пока не включать Akismet. Многие блоггеры, использующие Akismet, наверняка заметили, что он порой бракует вполне полноценные комментарии/трэкбэки. Пока я вполне терплю спам, идущий через механизм трэкбэков блога и могу отсеивать ненужные вручную, сводя к нулю потери действительных трэкбэков. Я очень доволен работой NotCAPTCHA, и, конечно же, оставлю ее отсеивать спам-комментарии на своем блоге.
В заключение отмечу, что приведенные мной цифры актуальны для моего блога, посещаемость которого вы можете посмотреть по счетчикам на правом сайдбаре внизу. Не думаю что вы получите сходные данные, но общую картину увидите.
P.S.: ребята из спам-отдела Интернета последнее время очень любят слать трэкбэки такого вида:
Такие трэкбэки в админке блога видны без ссылок — анкоры-то пустые:
Более того, Akismet “сомневается”, спам это или нет, и сваливает их в папку со спамом вместо того, чтобы зарезать автоматически.
Даже не знаю, для чего такие трэкбэки. У тега ссылки стоит параметр nofollow — Google такие ссылки игнорирует, и вес передаваться по ним на сайты не будет. Нет тега <noindex> вокруг тега <a> — получается — ссылки для Яндекса. Но насколько я знаю, ссылки с пустыми анкорами одинаково режутся и G и Я, так что не очень понятно, что хотели получить от этого спамеры. Если только загадить страницы моего блога. Но что-то тоже не верится — не такой уж у меня крутой блог, чтобы за что-то его пессимизировать. Ну да ладно. Эй, ребята из спам-каморки, изобретите уже что-нибудь похитрее, ваш расчет на человеческий фактор весьма слаб :D.
Олег! Спасибо за ответ! Да, если поправить, как Вы сказали, то срабатывает. Спасибо!
Кроме того, эта капча действительно не убивает комментарий после неправильного ввода цифр. Собственно ради этого, я и заменил старую капчу “Challenge”.
У Challenge, кстати, есть ещё один недостаток. Если выйти за пределы “0-9”, то она начинает иногда привирать. Я сам её на этом не словил, но посетители жаловались. То есть, надёжно она работает только с цифрами по-умолчанию, но их видимо научились вводить роботы, или просто научились обходить её или саму защиту WordPress-а.
Nofollow у меня включено, но какие-то роботизированные спам комменты с завидной периодичностью начинают атаковать сайт. В каждом комменте две, а иногда три ссылки на несуществующие сайты. Точно такие же комменты шли по линии трэкбеков, пока я их не отключил. Думал сначала, что регион мой закрыт, но проверил через прокси, всё равно ни одна не открывается. Очень бы было интересно узнать, в чём смысл этих комментов.
Вот пример: http://s45.radikal.ru/i108/1006/2d/7ce1a969f047.png
Олег, у меня проблемы в основном с IE6-IE8, а там таких нет. Да и не удобно это. Например, если на Денвере смотришь. Как вариант - http://torwald.ru/72/portable/ Хотя я кроме IE6 всё обычным путём установил. По сравнению с современными программами, они почти ничего не весят.
Привет Олег! Простите за настырность!
Нашёл баг в плагине simpleCaptcha. Проявляется в IE6 в IE8, находящийся в режиме совместимости с IE6. Картинка с защитным кодом налезает на окошко предназначенное для ввода кода.
http://s001.radikal.ru/i194/1006/b1/05a64f218f90.png
Раз Вы его использовали, может быть сумели побороть? Тогда поделитесь, пожалуйста, наработками с начинающими. Спасибо!
спасибо за интересный блог
Олег, Я, когда устанавливал IE8, возлагал большие надежды не то, что можно будет в одном браузере проверять сразу и вместо IE6, и вместо IE7, и вместо IE8. Но, попытка не увенчалась успехом. Сначала мне товарищ сообщил, что что-то не так в шестом, а потом я и сам на ноутбуке зашёл и офонарел. Так как IE8 при установке сносит IE6, то теперь я использую Portable IE6. У него очень сильно обрезан функционал, но показывает он именно как IE6. Пробловал какой-то полнофункциональный IE6 portable, но он повреждает кое-какие функции в IE8, так что, если кто пользуется IE8, то это неприемлемо. В общем, не получился у Мелкомяхких режим совместимости. Работает, но только частично.
Kolobokk Я уже несколько месяцев не использую этот плагин, потому не берусь утверждать, можно ли это сделать через админку блога. Но, если покопаться в коде плагина, то можно найти следующие строки в файле gdimg.php в папке плагина:
//we generate random number for use $str = rand(0, 9) . rand(0, 9) . rand(0, 9) . rand(0, 9) . rand(0, 9) . rand(0, 9); Для плагина версии 1.5.1b это строки 28-29. Если убрать пару вызовов функции rand(), длина капчи уменьшится соответственно на пару цифр. Я не пробовал тестировать это, но, полагаю, что работать будет - код хорошо читаем и понятен
По поводу спама через трэкбеки. Тут дело в том, что, во-первых, наращивается ссылочная масса для целевого сайта, если ссылки учитываются (они не завернуты в < noindex > или не прописан параметр rel=”nofollow”), то, к примеру, Google PR может частично перетечь на целевой сайт. Также вместе с пузомеркой целевой сайт может получить кусочек трафика. А во-вторых, слишком большое количество ссылок не любят поисковики. Если такие скопления обнаруживаются, у сайта может быть понижено место в поисковой выдаче, понижена пузомерка, или он может быть забанен поисковиком. Таким образом можно попытаться расправиться с конкурентом))
Вопрос снимается. Докукал сам. Задал в файле zrx_captcha.inc.php размер для таблицы капчи 320px и всё выровнялось во всех браузерах.
Gachsaush Рад, что вам понравилось, постараюсь писать больше и лучше ;)
Kolobokk Судя по bbcodes в тексте комментарии, это явно криво спамили в расчете прежде всего на форумы :) (в обычном случае WP не понимает BBCodes). За неимением других версий, я пока придерживаюсь описанной про трэкбеки в предыдущем своем комментарии :)
http://habrahabr.ru/blogs/spam/74076/
Согласен, другое дело, что роботы не умеют этого на данный момент, а при ручном комментировании такое не нужно. Отмечу, что того спама, который я получал раньше постоянно, я уже давно не видел у себя на блоге :) .
Kolobokk Вот, а я не успел ответить:). Видимо IE немного по своему обрабатывает стили, и что-то унаследовалось от родительского, или наоборот, не унаследовалось, а должно было))
Не подскажете, как уменьшить количество цифр в simpleCAPTCHA? Я пока остановился на ней, так как она не убивает комментарий, если юзер неправильно набрал цифры. Спасибо!
А по поводу бот-комментов, что у Вас на картинке, так я тоже их получаю, но не могу понять в чём их смысл. Линки-то никуда не ведут.
Олег, Форум у меня PHPBB3, но туда спам совсем не проникает, видимо защита намного лучше. Может быть, они нашли брешь в форумах интегрированных в WordPress… У меня не такой, вот и вышла нестыковочка. :)
Kolobokk Действительно, у IE здорово изменился движок, наверно это даже к лучшему. А вообще, проверять, как выглядит сайт в разных браузерах, можно здесь - http://browsershots.org/
Kolobokk Думаю, дело не в бреши. Многие каптчи пробиваются по-разному - от систем распознавания до банального использования сотни китайцев (не в обиду китайцам), которые делают это руками