antispambot — функция для защиты email адресов на блоге от спам-ботов. Wordpress защита от ботов
Как защитить WordPress сайт от спама и спам ботов
Существует много плагинов для защиты от спама, почти все они имеют свои некоторые минусы. По нашему мнению оптимальным является использование облачного сервиса CleanTalk.
Так как это облачный сервис, за счет получения и анализа данных с более 100 000 веб сайтов, CleanTalk очень эффективно защищает от спама. Алгоритмы анализа поведения спам ботов увеличивают эффективность сервиса до 99,998%. Это один из самых быстрых анти спам плагинов и не нагружает сервер и базу данных.
Что бы начать использовать CleanTalk на вашем WordPress сайте, выполните следующие действия:
Перейдите в WordPress панель управления->Plugins->Add New и в строке поиска введите CleanTalk и нажмите Install.
Активируйте плагин и перейдите в настройки CleanTalk.
Для подключения плагина к сервису, вам потребуется API ключ. Для получения ключа нажмите на кнопку “Get access key”.
Вы перейдете на сайт CleanTalk. Вы можете сменить ваш емайл для регистрации в сервисе.
Нажимаем на на кнопку и получаем свой access key.
Возвращаемся в настройки плагина, вставляем access key и нажимаем “Save Changes”. На этом установка и настройка плагина завершены, изменения в Advanced Settings нужны в редких случаях.
Для проверки работы плагина выйдите из аккаунта администратора и перейдите на ваш сайт. Напишите тестовый комментарий или сделайте тестовую регистрацию с емайлом
*protected email*, эти сообщения будут заблокированы.
Далее вы должны получить сообщение о блокировке
Отлично, ваш сайт защищен от спам ботов!
Точно так же вы можете проверить любую форму на вашем сайте.
Для просмотра логов сервиса, перейдите в CleanTalk Dashboard. Или войдите в ваш WordPress Dashboard->Settings-CleanTalk и нажмите кнопку “Click here to get anti-spam statistics”
Если у вас возникли вопросы, вы всегда можете к нам обратиться
*protected email* Мы будем рады вам помочь.Больше информации
Help
Features
Защита WordPress от спам-ботов .htaccess
Тема уже много раз обсуждалась, предложена огромная куча различных плагинов и прочих решений, но в данном посте я хочу поделиться еще одним очень не обычным и сильно действующим способом. Речь идет о защите вашего блога на WordPress от спама в комментариях рассылаемого ботами. От ручного спама этот метод не поможет.
Прежде чем переходить к сути защиты, немного расскажу о том как работают эти зловредные боты, по какому принципу они рассылают комментарии.
1. Бот находит ваш блог, сканированием списка сайтов из своей базы
2. Затем отсылает $_POST запрос скрипту wp-comments-post.php, с указанием различных параметров и текста комментария.
Таким образом, для защиты от такого рода комментарием достаточно ограничить доступ к этому скрипту извне, как вариант проверять реферер клиента и если он не совпадает с доменом вашего сайта то просто отсылать его обратно.
Делать это можно с помощью .htaccess, добавив в него несколько дополнительных строк, привожу несколько строк ниже (Внимания! перед внесением изменений в свой файл .htaccess сделайте его резервную копию):
| RewriteEngine On RewriteCond %{REQUEST_METHOD} POST RewriteCond %{REQUEST_URI} .wp-comments-post\.php* RewriteCond %{HTTP_REFERER} !.*yourdomain.ru.* [OR] RewriteCond %{HTTP_USER_AGENT} ^$ RewriteRule (.*) http://%{REMOTE_ADDR}/$ [R=301,L] |
Обратите внимания на первую строку включения модуля RewriteEngine, возможно она у вас уже присутствует. Также yourdomain.ru следует заменить на домен вашего блога.
Данный пример работает очень просто, проверяет реферера, при несовпадении его с вашим доменом перенаправляет клиента (бота) на его же собственный IP. Вы можете указать собственную станицу на которую будет перенаправляться бот, заменив в последней строке %{REMOTE_ADDR} на адрес страницы.
Метод не универсален и поэтому не стоит отказываться от плагинов типа Akismet, но часть нежелательных комментариев он вам поможет отсеять. Кроме того немного снизит нагрузку на ваш хостинг.
Похожие записи
rche.ru
Защита сайта на WordPress от взлома
Друзья! Многие из вас уже наверняка слышали о том, что с 2 августа множество сайтов на движке WordPress и некоторые на движке Joomla подвергаются массовой атаке ботов.
Используя большое количество ботов, злоумышленники подбирают пароли к админке сайта методом брутфорса. Естественно, серверы не выдерживают такой нагрузки, потому тех. поддержка делает все, чтобы блокировать или отфильтровать ботов.
Позаботьтесь о своих сайтах. Если вы используете CMS движок для вашего сайта, то убедитесь, что пароль в админку устойчив для подбора, а также постарайтесь обезопасить свой сайт.
Советы по защите от Brute Force атак, которые приводит сам WordPress:
1. Не используйте имя пользователя «admin». Если вы не меняли имя после создания своего аккаунта на WordPress, то создайте новый аккаунт с другим именем, перенесите туда все посты и измените имя пользователя «admin» (или вообще его удалите). Кроме того, вы можете использовать плагин Admin Renamed Extended, который позволяет быстро поменять имя пользователя.
2. Используйте сложный пароль. Для генерации пароля можно использовать автоматические системы генерации паролей. Придумывая пароль, не используйте в нем имена, название вашей компании или сайта, не используйте словарные слова, только буквы или только цифры, избегайте коротких паролей.
Сложный пароль защитит не только содержимое сайта. Получив доступ в админ-панель сайта, хакер может установить различные скрипты, которые могут нанести вред всему серверу.
3. Вы можете использовать следующие плагины, которые ограничивают количество попыток входа или блокируют тех, кто пытаются получить доступ к wp-admin:
4. Если вы единственный администратор своего сайта, вы можете заблокировать вход в админ-панель для всех, кроме себя через файл .htaccess. Естественно, вы можете использовать этот способ, только если у вас статический IP.
Создайте файл в текстовом редакторе, назовите его .htaccess и добавьте следующее:
# Block access to wp-admin. order deny,allow allow from x.x.x.x deny from allx.x.x.x – ваш IP адрес (узнать свой IP адрес).
Файл .htaccess необходимо разместить в каталоге wp-admin/
Для Nginx вы можете добавить следующий блок, который работает так же, как и приведенный выше.
SetEnvIf Remote_Addr х.х.х.х realremoteaddr order deny,allow allow from env=realremoteaddr deny from allЕсли необходимо добавить еще один IP адрес доступа, то прописываем аналогичную строку с другим адресом под указанной.
Если темы или плагины вашего сайта используют AJAX, в файл .htaccess необходимо добавить следующую информацию.
# Allow acces to wp-admin/admin-ajax.php <Files admin-ajax.php> Order allow,deny Allow from all Satisfy any </Files>Сохраните файл и загрузите его в вашу папку wp-admin.
Если вы ограничиваете доступ к wp-admin в Nginx и используете AJAX, вы должны добавить в файл следующую запись
location /wp-admin/admin-ajax.php { allow all; }Дополнительную информацию по защите вашего сайта на WordPress от взлома вы можете прочесть здесь.
Позаботьтесь о защите содержимого ваших сайтов.
hostpro.ua
ставим защиту от ботов на странице регистрации в блоге WordPress
Главная > WordPress > Плагин Sabre: ставим защиту от ботов на странице регистрации в блоге WordPress
27.05.10 WordPress
По какой-то непонятной мне причине при регистрации на блоге под управлением админки WordPress не нужно вводить никакой капчи. То ли авторы этой админки не считают проблемой многочисленные автоматические регистрации спам-ботов, то ли стандартная защита от спама все равно будет взломана, но факт остается фактом. Чтобы усложнить жизнь авторегистрирующимся спам-программам придется ставить специальный плагин. Например, Sabre.
Я долгое время не обращал внимание на количество регистраций на своих wordpress-блогах. Новые комментарии появляются – и хорошо. Ведь чтобы их оставлять регистрироваться не нужно, а парочка антиспам-фильтров доблестно сражаются с автоматическим постингом комментов – вот я не придумывал себе лишних проблем. Пока, проводя литературный конкурс на своем сайте о прохождении игр с доменом в зоне .com, не увидел масштабы проблемы.
Американские спам-боты регистрировались пачками. Редкий день обходился без 20-30 «новых читателей» с нечитаемыми никами. И хотя комментарии они оставить не могли из-за толковой капчи и отсутствия поля для ввода URL как такового, но базу данных забивали и напрягали приходящими на почту уведомлениями о новых регистрациях. Пришлось выделить время и поискать подходящий плагин, потому что править вручную страницу регистрации мне было лень. Кроме того, мои познания в PHP не так велики, а свободного времени не так много, чтобы заниматься самостоятельным изобретением велосипеда.
«Подходящий плагин» для добавления защитного кода на страницу регистрации в WordPress называется Sabre. Его установка проста и стандартна: нужно разархивировать скачанный с официального сайта zip-архив и полученную папку скопировать на хостинг своего блога по адресу /wp-content/plugins/:
После чего активировать плагин в настройках админки своего блога WordPress. В результате получим возможность выбрать способ защиты от автоматических регистраций: от привычной капчи с возможностью настройки фона и вводимых символов до необходимости вписать результат математического действия для продолжения регистрации:
Помогло. За 3 недели, пока работает плагин, не зарегистрировался ни один новый спамер. А старых я легко вычислил по отсутствии записей, комментариев и нечитаемым никам. Теперь у меня очень маленькая база зарегистрированных пользователей, следовательно, снизилась нагрузка на хостинг и снизилось время обработки сложных запросов к БД. И бесполезные письма об успешной регистрации очередного робота не отвлекают о работы.
Я уверен, что разработка сайтов на базе CMS WordPress обязательно должна включать в себя установку и настройку подобного плагина защиты от автоматических регистраций. Для других систем управления существуют аналогичные бесплатные решения, которые можно легко найти, если не лениться гуглить.
Читайте также:
www.web-article.com.ua
Как защититься от спам-ботов
Представьте ситуацию: вы открываете отчеты Google Analytics и видите рост реферального трафика. Отлично, думаете вы, появились какие-то жирные внешние ссылки, по которым народ приходит на сайт табунами. Однако анализ показывает, что 90 % реферального трафика идет с какого-то сомнительного ресурса. Более того, под вашими публикациями ежедневно появляются невнятные комментарии в стиле «классная тема, а я вот тут недавно скачал что-то классное и бесплатное». Естественно, комментаторы ссылаются на это самое классное и бесплатное. Похоже, на ваш сайт приходят спам-боты. Как от них защититься и зачем это делать?
Зачем блокировать и фильтровать спамеров
Столкнувшись со спам-ботами, многие веб-мастера ограничиваются премодерацией комментариев. Этого мало по трем причинам. Во-первых, если спамеры активно посещают ваш сайт, это искажает аналитические данные. Несколько сотен или даже десятков визитов спам-ботов в месяц делают некорректной статистику о реферальных переходах, а также поведенческие метрики.
Во-вторых, массовые нашествия ботов создают лишнюю нагрузку на сервер. Если речь идет об одном-двух визитах в сутки, скорее всего, вы не заметите проблем. А если визиты исчисляются десятками в день, ваши реальные посетители могут заметить падение скорости загрузки страниц. Как вы знаете, это большая проблема. Наконец, боты могут не просто оставлять комментарии. Некоторые программы ищут уязвимости в вашем движке или пытаются получить доступ к серверу.
Как защититься от спам-ботов
Вы можете воспользоваться тремя способами защиты от спамеров. Первый можно считать самым радикальным и опасным. Второй и третий — это мягкие способы защиты. Для повышения эффективности их можно использовать одновременно.
1. Заблокируйте спам-ботов с помощью файла .htaccess
Как отмечалось выше, это самый радикальный способ борьбы со спамерами и любыми другими нежелательными посетителями. Настроив файл .htaccess, вы запрещаете вход на сайт пользователям, приходящим с указанных вами IP-адресов. Главное достоинство этого метода — вы защищаете сайт от попыток взлома, сервер от ненужной нагрузки, пользователей от спама, а статистические данные от искажения.
Однако блокировка с помощью файла .htaccess имеет и недостатки. Во-первых, спамеры могут легко менять IP-адреса. Во-вторых, вы можете закрыть сайт для нормальных посетителей, которые имеют одинаковый со спамерами «айпишник». Если это вас не пугает, тогда приступайте:
- Найдите в корневой директории сайта файл .htaccess. Доступ к корневому каталогу обычно осуществляется через FTP в кабинете настроек хостинга.
- Если соответствующий файл отсутствует, создайте его самостоятельно. Для этого откройте блокнот, создайте файл htaccess.txt, загрузите его в корневую директорию и переименуйте в .htaccess.
- Чтобы заблокировать спамеров, сделайте в файле следующую запись:
Order Allow,Deny
Allow from all
Deny from **.***.***.**
Deny from **.***.***.**
Вместо звездочек поставьте IP-адреса, которые вы хотите заблокировать. Скорее всего вам придется постоянно добавлять в список запрещенных новые «айпишники».
2. Настройте фильтры Google Analytics
Этот способ решает единственную задачу: защищает статистические данные от искажения. При этом спам-боты продолжают ходить на ваш сайт, оставляют комментарии, создают нагрузку на сервер и, возможно, пытаются получить доступ к управлению ресурсом.
Чтобы исключить данные о действиях ботов на сайте, вам необходимо создать новый фильтр. Придерживайтесь следующего алгоритма действий:
- Выберите опцию «Администратор» в горизонтальном меню.
- В правой колонке выберите меню «Фильтры» и нажмите кнопку «Новый фильтр».
- Воспользуйтесь встроенным фильтром, чтобы заблокировать нежелательные IP-адреса. Для этого в меню «Выберите тип фильтра» укажите «Исключить», в меню «Выберите источник или цель» укажите опцию «Трафик с IP-адресов», в меню «Выберите выражения» укажите опцию «Идентичные». В поле «IP-адрес» укажите адреса, которые необходимо заблокировать. Сохраните настройки.
Также вы можете исключить данные о посещениях из определенных стран, регионов и городов. Для этого выберите соответствующую опцию с помощью выпадающего меню «Поле фильтра».
Также в меню «Настройки представления» подтвердите опцию «Фильтрация роботов». Дефолтный фильтр Google Analytics может исключить посещения некоторых роботов из отчетов.
3. Используйте возможности CMS и дополнительные плагины
Этот метод защищает пользователей от спам-комментариев, а ваш сайт от попыток взлома. Выбирайте конкретные инструменты в зависимости от движка, на котором работает ваш ресурс. В число универсальных инструментов входят следующие:
- Ручная премодерация комментариев.
- Капча.
- Защита админпанели сайта от брутфорсинга. Если ваш сайт работает на Wordpress, эта задача решается с помощью плагина Limit Login Attempts.
- Блокировка спам-комментаторов по IP, использованию спам-слов, электронным адресам. Рекомендации для ресурса на WordPress: в админпанели выберите меню «Настройки — обсуждения». В поле «Черный список» внесите нежелательные «айпишники», электронные адреса, спам-слова. Эту задачу также можно решить с помощью плагина WP-Ban.
- Антиспам-плагины. Эти программы определяют спамеров алгоритмически. В число наиболее популярных плагинов для WordPress входят Akismet, Anti-Spam, Invisible Captcha, Antispam Bee.
Обратите внимание, антиспам-плагины и премодерация комментариев ухудшают пользовательский опыт. Поэтому используйте их, если спамеры действительно оставляют много комментариев на вашем сайте.
Какую тактику защиты от спам-ботов выбрать
Если спамеры досаждают вам дурацкой рекламой волшебных пилюль или файлообменников, боритесь с ними с помощью плагинов и программ. Так вы заблокируете большинство автоматических сообщений. Для борьбы с ручным спам-комментированием придется использовать премодерацию. Чтобы очистить статистические данные, настройте фильтры в Google Analytics. А если вы подозреваете, что к вашему сайту целенаправленно пытаются получить доступ злоумышленники, блокируйте подозрительные IP с помощью файла .htaccess. Также вы можете использовать программные средства защиты от взлома. Не забудьте сообщить о попытках несанкционированного доступа к сайту хостинг-провайдеру.
Адаптация материала How to Stop Spam Bots from Ruining Your Analytics Referral Data by Jared Gardner.
kak-zashchititsya-ot-spam-botovtexterra.ru
функция WordPress для защиты email адресов на сайте
Блог / Кодекс WordPress / antispambot — функция для защиты email адресов на блоге от спам-ботовФункция преобразует рандомные символы в емаил в HTML-сущности, тем самым делая его невидимым для ботов.
Что будет видеть бот:
| true@truemisha.ru |
Что будет видеть человек:
Мне кажется этот способ уж получше, чем вставлять вместо email картинку 🙂
Использование
| <?php antispambot( $email, $mailto ) ?> |
Параметры
$email(строка) (обязательный параметр) адрес email
$mailto(целое число) включает более хитрое кодирование. Если указать 1, то вывести email на странице в читаемом виде уже не удастся, зато можно с успехом использовать в ссылках типа <a href="mailto:по умолчанию — 0
| <a href="mailto:<?php echo antispambot('[email protected]', 1) ?>"> <?php echo antispambot('[email protected]') ?> </a> |
Вот что получится:
Возвращаемые значения
(строка) закодированный email адрес.Каждый раз возвращает разные значения, так как преобразует случайно выбранные символы из email.
Использование внутри содержимого поста при помощи шорткода
Сначала вставим это в functions.php:
| function true_email_shortcode( $atts, $content ){ return '<a href="mailto:'.antispambot($content, 1).'">'.antispambot($content).'</a>'; } add_shortcode( 'email', 'true_email_shortcode' ); |
Затем, при написании поста можно использовать этот шорткод:
| [email][email protected][/email] |
P.S. До этого я никогда не защищал свои email адреса подобным способом, использовал их в обычном виде на сайтах, но спама так и не заметил (возможно это Gmail так хорошо фильтрует, я хз).
P.P.S. Основная причина заспамленности почтового ящика на мой взгляд — это указывать его при регистрации на сомнительных сайтах.
misha.blog
