Evitando bots de spam no site?
https://stackoverflow.com/questions/2433602
-
19-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Estamos tendo um problema em um de nossos sites bastante grandes com bots de spam.Parece que os bots estão criando contas de usuário e postando entradas de diário que levam a vários links de spam.
Parece que eles estão ignorando nosso captcha de alguma forma – ou ele foi quebrado ou estão usando outro método para criar contas.
Pretendemos ativar as contas por e-mail, mas faltam cerca de uma semana para implementar essas mudanças (devido à agenda lotada).
No entanto, não acho que isso será suficiente se eles estiverem usando uma exploração SQL em algum lugar do site e fazendo todo o trabalho de script entre sites.Então, minha pergunta para você:
Se eles estiverem usando algum tipo de exploração XSS, como posso encontrá-lo?Estou protegendo as instruções onde posso, mas, novamente, é um site bastante grande e levaria algum tempo para limpar ativamente as instruções SQL para evitar XSS.Você pode recomendar algo para ajudar nossa situação?
Solução
1) Como mencionado acima Recaptcha é um bom começo.
2) Askimet é uma ótima maneira de sinalizar spam antes de ser publicado. É o que o WordPress usa para parar o spam e é extremamente eficaz. Você pode rejeitar ou fila a entrada para moderação com base nos resultados. Sua API também é ridiculamente fácil de usar. (Eu tenho código PHP, se precisar). Você pode precisar de uma licença comercial, embora eu tenha certeza de que pode começar a usar a versão gratuita.
3) A verificação dos endereços de email é definitivamente uma boa ideia, pois exige uma conta de email válida que muitos spammers não possuem. Apenas certifique -se de facilitar a verificação do endereço de e -mail, como se fosse muito difícil, ele também pode afastar os usuários legítimos.
Outras dicas
Se os bots estivessem explorando um buraco em um script em algum lugar, deve haver evidências disso nos troncos. Verifique se há postagens diretas para os scripts de criação de usuários e os scripts de criação de entrada do diário sem a atividade de navegação "normal" usual antes do golpe: os bots podem ter percorrido o site apenas uma vez e estão ignorando a etapa de puxar os formulários e fingir preencher eles entram. Procure solicitações de obter com dados óbvios do tipo XSS nas seqüências de consulta.
Você também pode incorporar um token aleatório em um campo oculto dentro dos formulários e exigir que esse token esteja presente para que a ativação/postagem seja realizada. Se os bots analisarem apenas seus scripts de inscrição uma vez e estiverem fazendo postagens diretas, isso as impedirá até que os criadores de botos vejam e procurem o token. Mas isso lhe daria algum espaço respiratório para implementar um sistema melhor.
Se as tabelas da sua conta de usuário não tiverem algum tipo de carimbo de hora de tempo de criação, coloque-as e faça com que o servidor crie o registro de data e hora, não os scripts do seu usuário. Dessa forma, você pode restringir o (s) período (s) de tempo para digitalizar os logs em busca de atividade de bot e ver o que eles estão fazendo. E se nada mais, você pode bloquear os IPs dos quais os bots estão postando.
Estou surpreso que alguém possa aconselhar o Akismet e ele seja aceito como resposta:
- O envolvimento do Akismet é ilegal na UE por violar as leis de proteção da privacidade;
- Qualquer sistema de lista negra ajuda criminosos, tornando a Internet inutilizável por usuários legítimos;
- Os sistemas que coletam spam para analisá-lo estão fadados a agir retroativamente, sempre ficando atrás dos avanços das técnicas de spammer e do desenvolvimento de bots;
- Por que acumular e analisar spam alimentado por bots em vez de bloquear bots de spam?
