Come fermare lo spam nei commenti di WordPress con CloudFlare

Comment Spam, la piaga di Internet con qualsiasi sito Web con moduli di input, con WordPress la maggior parte dei proprietari e amministratori di siti Web saprebbe bene quanto spam può essere pubblicato ogni giorno, soprattutto man mano che il tuo sito Web cresce. Attualmente ci sono plugin gratuiti e a pagamento, alcuni funzionano ma con vari gradi di successo, quindi in più puoi aggiungere un ritardo al tuo sito con il caricamento di file aggiuntivi per i captcha che è la forma più efficace per ridurre lo spam dei commenti fino ad oggi .

Un trucco utile per gli utenti che gestiscono i loro siti Web dietro il proxy inverso Cloudflare per la protezione DDoS e che utilizzano il loro servizio CDN è quello di inserire una sfida javascript automatica su tutti i commenti pubblicati, che è molto più efficace nel bloccare immediatamente tutti i commenti spam nella sua traccia. Un altro vantaggio utile, dato che i bot non visitano il tuo sito come un utente tradizionale. Tutti i tentativi di spam non colpiranno il tuo sito ma verranno fermati sui server Cloudflare, riducendo il carico dei tuoi server se sei gravemente spammato.

Il seguente tutorial ti mostrerà alcuni trucchi pratici con le regole di Cloudflare che possono funzionare su qualsiasi piano Free to Enterprise.

Prerequisiti

  • Software richiesto: WordPress – Con stato di amministratore o proprietario.
  • Servizi richiesti: CloudFlare – Con stato di amministratore o proprietario.

pubblicità


Crea regole per lo spam di WordPress

Innanzitutto, accedi al tuo account Cloudflare e vai alla sezione Firewall.

Esempio:

Come fermare lo spam nei commenti di WordPress con CloudFlare

Successivamente, dovrai creare la regola del firewall, e questo è facile; clic Crea una regola del firewall pulsante.

Esempio:

Come fermare lo spam nei commenti di WordPress con CloudFlare

Successivamente, qui è necessario specificare il nome della regola del firewall, il campo, il valore dell'operatore, e la successiva azione. Non preoccuparti. Per gli utenti che sono alle prime armi con Cloudflare e WordPress, questo è molto semplice e puoi applicarlo a più plug-in di moduli di input come WP Forms. Ma per ora, segui l'esempio seguente per creare una regola solo per le risposte ai commenti.

Esempio:

Come fermare lo spam nei commenti di WordPress con CloudFlare

Per andare oltre l'esempio precedente.

  • Nome regola: Il nome della regola, usa l'esempio "Filtro spam commenti WordPress" o dai un nome alla regola come preferisci.
  • Settore: L'opzione di quale circostanza si applica anche la regola, questo deve essere “PERCORSO URI” affinché il filtro funzioni correttamente.
  • Operatore: Questa è la stringa delle corrispondenze, per impostazione predefinita è selezionato uguale, questo non è completamente efficace assicurati di digitare “CONTIENE” poiché deve solo corrispondere a parte del valore.
  • Valore: Come suggerisce il nome, il valore di ciò che il tuo campo e l'operatore corrispondono a cui “wp-comments.php”. Assicurati di includere il .php, altrimenti il ​​percorso URI potrebbe creare problemi se lo stesso valore è nel permalink.
  • Scegli un'azione: L'azione che può essere Consenti, Blocca, Javascript challenge o challenge. Il set di regole ha scelto “sfida javascript” in quanto è il meno invasivo per gli utenti.

In alternativa, è possibile selezionare "Sfida" al di sopra "Sfida JavaScript", tieni presente che questo costringerà gli utenti a compilare a “captcha” con la compilazione di modelli sulle immagini. In genere, gli spambot non hanno browser abilitati per javascript, quindi non dovresti andare a questo estremo a meno che tu non abbia uno spammer seriale che ti prende di mira, il che sarà molto raro, ma ammettiamolo, la maggior parte degli utenti odia compilare i captcha, quindi usalo come ultima risorsa.

Il modo in cui funzionano le Javascript Challenges è che l'utente avrà da 2 a 5 secondi per controllare il messaggio del browser da Cloudflare e poi, una volta superato, verrà portato alla pagina successiva. Questo piccolo prezzo per l'utente che invia una risposta è in genere più semplice rispetto alla compilazione dei recaptcha dei plug-in standard sui siti Web.

Clicca Schierare una volta eseguita, affinché la norma abbia effetto immediato. Ciao ciao spam!

Controlla lo spam dei commenti di WordPress nei log di Cloudflare

Ora che la tua regola è attivata e funzionante, puoi vedere la percentuale di successo e il numero di volte che una persona o un bot ha provato a postare sui tuoi moduli di commento. Questo è un esempio da Linuxcapable.com.

Come fermare lo spam nei commenti di WordPress con CloudFlare

Come sopra, in 24 ore, il 5% di tutti i 20 commenti pubblicati erano in realtà da umani. Dal grafico, puoi vedere i picchi e in genere i picchi di commenti si verificano quando i bot non riescono a pubblicare più volte, alcuni anche di più. Nel complesso, il punteggio del 5% è buono; più basso, meglio significa bloccare più bot degli umani. Se la percentuale era del 90% su 20, 9 su 10 erano veri esseri umani, significa che stai sfidando più umani che bot, ma questo non dovrebbe accadere se hai un sito web elencato pubblicamente.

Puoi anche scorrere i dati del 5% per rivelare i numeri invece del grafico.

Esempio:

Come fermare lo spam nei commenti di WordPress con CloudFlare

Come spiegato, la velocità risolta più bassa significa che stai effettivamente fermando più robot che umani.

Puoi anche accedere alla regola stessa per ulteriori informazioni facendo clic sul grafico a barre originale.

Esempio:

Come fermare lo spam nei commenti di WordPress con CloudFlare

Come sopra, puoi vedere le statistiche sullo spam, insieme ai filtri Azione, Host, Paese, ASN, IP, Percorso, e altro ancora. Più in basso, la pagina rivela ulteriori informazioni.

Esempio:

Come fermare lo spam nei commenti di WordPress con CloudFlare

Queste informazioni possono essere utili se si desidera visualizzare uno schema da un provider o ASN specifico e bloccare o contestare tale impostazione predefinita se si ricevono centinaia di tentativi di spam al giorno. Lo stesso si può dire degli indirizzi IP. Il giorno prima un indirizzo IP ha provato a inviare spam diverse centinaia di volte in poche ore; quell'IP è stato ora bloccato in modo permanente utilizzando Cloudflare Tools.

Esempio:

Come fermare lo spam nei commenti di WordPress con CloudFlare

Dall'esempio, 1.1.1.1 è l'indirizzo IP di esempio, insieme all'azione Block. Se ospiti più siti Web, puoi applicare a tutti i siti Web ospitati sull'account Cloudflare, il che è ancora più pratico. Facoltativamente, puoi inserire una nota alla fine, il che è una buona idea per il monitoraggio. Per impostazione predefinita, Cloudflare fornisce 50,000 regole di accesso IP, quindi riempirlo richiederà un po' di tempo; il suggerimento sarebbe quello di vietare i recidivi più tossici.


pubblicità


Commenti e Conclusione

Il metodo Cloudflare per fermare lo spam di WordPress può sembrare un po' estremo, ma se inserito nel contesto, lo spam sarà un problema quando cresci il tuo sito. L'utilizzo di plug-in aggiunge ritardi ai siti e comporta problemi di sicurezza indesiderati e qualsiasi plug-in decente costa denaro. Il metodo di Cloudflare può essere utilizzato su account gratuiti, non aumenta il tempo di caricamento o le risorse del tuo sito e viene attivato solo quando qualcuno invoca il file wp-comments.php. Nel complesso, non è a prova di tutto, ma fermerà efficacemente lo spam nelle sue tracce poiché i bot di spam sono realizzati a buon mercato. Ad oggi, da quando è stato applicato al nostro dominio, nessun commento spam è passato. Se diventa un problema, è sempre possibile aumentarlo a un hcaptcha corretto con lo stesso principio.

Fai un tentativo e non hai nulla da perdere se utilizzi già CloudFlare.

8 pensieri su "Come fermare lo spam nei commenti di WordPress con CloudFlare"

    • Ciao Derek,

      Stai usando i commenti nativi di WordPress? o qualcosa di diverso come wp-Discuz che è su questi moduli? SE così ha bisogno di tweaking.

      Posso avere qualche informazione in più, sono sicuro che possiamo capirlo.

      Grazie.

      Rispondi
        • Interessante, hai usato? contenere e non uguale? Anche il tuo indirizzo IP non è autorizzato nella sezione degli strumenti firewall?

          Un altro test, a volte stupidi script kiddies fanno minori DDoS abusando della funzione di ricerca di WordPress, è possibile creare una nuova regola, invece del percorso URI creare una stringa di query URI, quindi contenere l'operatore e quindi aggiungere ? S =

          Quindi prova andando alla tua ricerca e digitando qualcosa, puoi scegliere il tipo di sfida. Se questo non funziona, allora sono un po' perplesso.

          Curioso di risentirci
          Grazie ancora per il messaggio.

          Rispondi
          • Non sono sicuro di cosa sto sbagliando. Ma non sono bravo in queste cose. Tuttavia, dopo averci pensato, metterebbe alla prova i miei lettori abituali. Quindi ho usato le sfide IP e ASN JS negli strumenti e funziona bene. Sono riuscito a bloccare il 90% degli spammer. Akismet ottiene il resto, che ora è solo 10-15 al giorno invece di 300-400. È un po' sbalordito, ma funziona abbastanza bene.

          • Vedo che è bello sapere che Cloudflare può essere usato per fare molte cose interessanti, ho alcune regole personalizzate troppo lunghe con i vasi di miele che uso con fail2ban per eliminare i veri bot dannosi. Nel complesso, non sono sicuro del motivo per cui questo non funziona dovrebbe funzionare. Se hai la stanza delle regole, forse lascialo per vedere cosa succede poiché in pratica se hai contiene e il percorso impostato correttamente funzionerà poiché stai chiamando wp-comments-post.php, sospetto che un'altra regola possa essere in conflitto personalmente.

            L'ho usato personalmente sui commenti nativi, bloccato il 100% dello spam con la sola sfida javascript, non un singolo messaggio di spam è passato, quindi perché ho creato il tutorial, il fatto è che i bot di spam sono progettati male. Alcuni bot possono superare le sfide javascript, ma questi sono meglio progettati e realizzati da persone che fanno cose più dannose o avanzate e generalmente non vengono distribuiti per semplice spamming. E anche se gli spambot si evolvono, hai hcaptcha che può essere aggirato, ma questo è ancora più difficile da fare e nessuno spammer si preoccuperà di farlo. Quasi tutto lo spam è per la costruzione di backlink di merda o per aumentare o viceversa distruggere il ranking di un sito.

            Come puoi vedere dalle mie foto che sono state scattate, funziona, tecnicamente puoi usare lo stesso per fermare la ricerca DDoS e usarlo sui tuoi moduli di contatto, tutto ciò che serve è ottenere il file .PHP utilizzato per comunicare (eseguire) quando premendo invia e Cloudflare lo vedrà e utilizzerà la sfida.

            Farò presto un tutorial su molte regole di Cloudflare, ho quasi 20 esempi, forse alcuni potrebbero essere d'aiuto in futuro se non funziona così bene.

            Grazie per il messaggio a prescindere.

          • Tutto bene, ho letto che stavi bloccando il traffico dei bot non validi.

            L'ultima regola che mi è venuta in mente era di fare anche questo.

            (http.user_agent contiene "Chrome/3" e non cf.client.bot) o (http.user_agent contiene "Chrome/4" e non cf.client.bot) o (http.user_agent contiene "Chrome/5" e non cf.client.bot) o (http.user_agent contiene "Chrome/6" e non cf.client.bot) o (http.user_agent contiene "Chrome/7" e non cf.client.bot) o (http.user_agent contiene “Chrome/2” e non cf.client.bot)

            Quelle sfide java sono tutte obsolete dalla versione da 1. a 79. Potresti fare da 80 a 89, ma l'ho rimosso poiché alcuni utenti usano queste versioni.

            Firefox

            (http.user_agent contiene “Firefox/3” e non cf.client.bot) o (http.user_agent contiene “Firefox/4” e non cf.client.bot) o (http.user_agent contiene “Firefox/5” e non cf.client.bot) o (http.user_agent contiene “Firefox/6” e non cf.client.bot)

            Questo blocca le versioni di Firefox da 3xx a 6xx. Fare 7, 8 e 9 è complicato a causa dell'ESR sui sistemi Linux, ma ripulirai.

            Fai anche MSIE, dal momento che è obsoleto

            (http.user_agent contiene "MSIE" e non cf.client.bot) o (http.user_agent contiene "Mozilla 4" e non cf.client.bot)

            Questo sfida anche Mozilla 4.0, tutti usano 5.0 ... Rimani scioccato da quanti bot usano il vecchio 20 di 4.0 anni.

            Basta copiare e incollare quelle stringhe, passare al blocco JS/Challenge o altro. Piano piano ho iniziato un tutorial su tutte le regole che conosco, alcune le uso altre no ma utili per altre configurazioni.

            Inoltre, per coprire le regole che ho collegato, ho aggiunto se si tratta di un bot noto a CF che è opportuno consentire, sebbene 99.99 non lo siano, dubito che CF approverebbe i bot utilizzando i vecchi agenti utente del browser 😛

Lascia un tuo commento