Wordpress fórum spam

Hálózatok általános

Van egy Wordpress oldal, amin van a regisztrációnál CAPTHA (látszik, hogy szűr), illetve van Akismet is (elkapott napi 20-30 spam-et), ennek ellenére bejönnek humánnak tűnő spammer-ek, és elbuknak azon, hogy a felhasználók első 10 elfogadott fórum hozzászólásáig moderálásra kerülnek a hozzászólások.

Ezt észre is veszik ránézésre, mert elenyésző számban küldenek be több spam hozzászólást, az első után abbahagyják a próbálkozást, mert látják, hogy moderálásra került a spam (aztán törlöm a felhasználóval együtt).

Ez napi 10-30 moderálás és törlés, ami nem nagy dolog, de azért eltekintenék tőle. Mit lehet még tenni szerintetek? Írjam ki, hogy nem fog megjelenni a spam, tehát az ő idejét és az én időmet is feleslegesen raboljuk? :D

Egyéb ötlet? :)

  • 2745 megtekintés

( csardij v | 2017. 09. 30., szo – 17:57 )

WordPress-be nincs beépítve fórum, szóval melyik bővítményt használod erre a célra?

Up-to-date, nem törésről van szó. reCaptcha, invisible módban teljesen jól működik, látom a statisztikát.

"Nem lehet már a regisztrációt is email visszaigazolás + adminjóváhagyáshoz kötni?"

Honnan tudjam látatlanban, hogy spammer vagy sem? Angol nyelvű, de nemzetközi felhasználókkal, jöhet bárki bárhonnan.

( sj | 2017. 09. 30., szo – 19:41 )

a spamek automatikus torlese x nap mulva...

--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...

Amit az Akismet elkap, az meg se jelenik moderálásra, ezek átcsúsztak rajta.

"Masreszt minden nem "OK" statuszu (tehat moderalasra/engedelyezesre varo vagy spam) komment mehet automatikus torlesre X nap mulva..."

Értem, a kérdés az, hogy hogyan válogatom ki ezek közül az OK státuszúakat, anélkül, hogy egyenként megnézném? :D

( uzsolt v | 2017. 09. 30., szo – 20:39 )

És ha a regisztrációnál is kézi erőt vetnél be? Azaz aki átjutott a gépi szűrésen, még szűrheted kézzel (pl. gyanús email-cím). Nem tudom, mennyi valódi regisztráció van naponta, így lehet, hogy a kézi aktiválás több meló, mint a napi 10-30 fórum törlése.

"És ha a regisztrációnál is kézi erőt vetnél be?"

Az ugyanaz munkában, mintha a moderálandó listában megnyomnám a törlést, csak annyi információm sincs, hogy spammer lesz-e a felhasználóból vagy sem.

"Azaz aki átjutott a gépi szűrésen, még szűrheted kézzel (pl. gyanús email-cím)."

Nincs gyanús email cím, az még több idő, amíg elgondolkodom azon, hogy vajon gyanús-e.

"Nem tudom, mennyi valódi regisztráció van naponta, így lehet, hogy a kézi aktiválás több meló, mint a napi 10-30 fórum törlése."

Naponta 1-2 legális user jön. De továbbra is az a kérdés, hogy honnan tudom, hogy a regisztráció legális-e? :)

De továbbra is az a kérdés, hogy honnan tudom, hogy a regisztráció legális-e? :)

A gyanús email-címre gondolnék első esetben (ami most kiesett). Nem tudom, regisztrációnál milyen adatokat és hogyan kell megadni.
Ha tényleg semmi gyanús nem látszik a regisztrációnál (az email-cím is normálisnak tűnik, IP-cím se ismétlődik, az email-ben megküldött regisztrációs linkre is kattint, stb.), akkor szerintem nincs jobb megoldás (ha jól értem, nincs információ, ami alapján automatizálható lenne).

( TCH | 2017. 09. 30., szo – 22:10 )

A spameket nem hagyod jóvá, tehát be kell lőni a rendszert, hogy a jóvá nem hagyott üzeneteket N idő után törölje automatikusan és kész.

"A rekapca nem jó semmire, a robotot egy egyszerűbb védelem is megfogja, az ember úgyis átmegy rajta, a júzereket viszont rommá szopatja."

Eddig nem volt panasz a reCAPTCHA miatt, nem is látszik egyébként. A humán spammer megy át rajta jelenleg.

"Hát akkor csak az automata tartalomszűrő fejlesztése marad; a poszt tartalmának az elemzése kell, hogy megmondja, hogy spam vagy nem."

Ezt nevezik death star design pattern-nek, amikor egy jelentéktelen problémára egy hatalmas rendszert fejleszt az ember... :)

> Ezt nevezik death star design pattern-nek, amikor egy jelentéktelen problémára egy hatalmas rendszert fejleszt az ember... :)

Nem tudom mi a halálcsillag azon, hogy az ember javít a spamszűrő algoritmusán...de akkor igazán elárulhatná Vader nagyúr, hogy mégis mit óhajt, mert ha a jelenlegi spamszűrőn átmegy a spam és azt akarod, hogy ne menjen át rajta (mert nem akarsz kézzel törölgetni), akkor nem nagyon tudok elképzelni mást, mint a spamszűrő fejlesztését.

#1: adatbazis epitese

- legyen 2 halmazod: spam komment, jo komment
- az egyes szavak* gyakorisagat szamold meg mind a ket mintaban (tarold is el valahogy)

#2: uj komment kategorizalasa:
- bontsd szavakra a beerkezo kommentet
- nezd meg, hany jo ill. spam kommentben szerepeltek
- alkalmazd ra kedvenc Bayes, Chi-negyzet, Markov-lanc, whatever algoritmusod, ami kidob egy valoszinuseget
- az eredmeny alapjan dontsd el a komment sorsat

Nem is volt nehez, igaz? :-)

*: a szavak helyett / mellett kifejezeseket is vizsgalhatsz

--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...

"Az Akismet nem a te típikus tartalmad alapján dönti el, hogy az adott bejegyzes kontextusba illik-e, vagy sem (spam)."

De ezek teljesen egzaktul spamek... ha az ezzel nagyban foglalkozó szolgáltatónak nem sikerül megfognia, akkor én nem sok esélyt látok arra, hogy meg tudom fogni automatikusan. Ha ez egy pár napos feladat lenne, már lenne rá kész plugin, de nem hinném, hogy pár napos feladat, sőt... :)

Hát, ha mindenképpen faéket akarsz, akkor a legegyszerűbb mód a szótáralapú szűrés. Ha van egy listád, hogy mik azok a szavak, amiket a spammerek használnak, akkor amennyiben a szótár valamelyik szava szerepel az üzenetben, akkor eldobod. Ha átmegy egy spam, akkor azt persze kézzel kell törölni és megnézni, hogy milyen kulcsszavak voltak benne és azokat is felvenni. Egy ilyen függvényt lefejleszteni kb. 10 perc.

De egyébként még ennél is egyszerűbb dolgod van, ha nem nemzetközi az oldal, mert ha csak idehazulra szól, akkor ki lehet tiltani a külföldi IP címeket és ezzel megszabadulsz a spammerek döntő többségétől. De ha vársz külföldi vendégeket, akkor is érdemes lehet szelektálni, mert egy jól összeállított IP filterlista csodákat tehet, pl. Nigériát vagy az Antarktiszot (nem ez nem vicc) tuti érdemes blokkolni.

"Hát, ha mindenképpen faéket akarsz, akkor a legegyszerűbb mód a szótáralapú szűrés. Ha van egy listád, hogy mik azok a szavak, amiket a spammerek használnak, akkor amennyiben a szótár valamelyik szava szerepel az üzenetben, akkor eldobod."

Szerinted: ha a fő tevékenységként ezzel foglalkozó Akismet (https://en.wikipedia.org/wiki/Akismet) szűrőjén átmegy, akkor én fogok tudni fél nap alatt jobbat alkotni?

"De egyébként még ennél is egyszerűbb dolgod van, ha nem nemzetközi az oldal, mert ha csak idehazulra szól, akkor ki lehet tiltani a külföldi IP címeket és ezzel megszabadulsz a spammerek döntő többségétől."

Angol nyelvű nemzetközi, ahogy a spamek többsége is.

> Szerinted: ha a fő tevékenységként ezzel foglalkozó Akismet (https://en.wikipedia.org/wiki/Akismet) szűrőjén átmegy, akkor én fogok tudni fél nap alatt jobbat alkotni?

És ebben az Akismetben nincs szótáralapú szűrő? Mert akkor csak el kéne kezdeni felveszegetni a szavakat és nem is kéne írnod semmit.

> Angol nyelvű nemzetközi, ahogy a spamek többsége is.

Volt egy második fele is a mondandómnak: az IP filterlistát akkor is összerakhatod, csak körültekintőbbnek kell lenned.

Sz*rk: Az is lehet opció, hogy ha link van a kommentben, akkor dobja. De csak akkor, ha az userek nem szoktak linkeket postolni.

( joco01 v | 2017. 09. 30., szo – 22:13 )

Milyen captcha? Állítólag a Google-féle recaptcha jól szűri a botokat, már ha ezek tényleg botok, akik átjutnak a jelenlegi captchán.

( Wooody | 2017. 10. 01., v – 00:02 )

Ban Hammer bővítmény alaposan szűri az email címeket.
Illetve hasznos a iThemes Security /Banned Users/Enable HackRepair.com's blacklist feature.
Esetleg w3dev Ban Users bővítmény.

Vannak bőven... ország szerint USA, Russia, Brazil a top 3 legális user... :)

"Aztán nem csak a gyakori spam szolgáltatókat zárja ki hanem az 5-10-15 perces email szolgáltatókat is."

Nem nagyon figyeltem meg, de szerintem ilyenekről automatizáltan szoktak jönni, ezek már mindenen átjöttek és tudnak olvasni. Valószínűleg kiírom, hogy feleslegesen dolgozik, mert úgyis moderálásra, aztán törlésre kerül.

Megnéztem utolsó 1/2 év alatt 3 db kamu felhasználó regisztrált az oldalamra.
2 év alatt összesen 15 próbálkozás volt.
(azt inkább nem írom le melyikre, szeretném ha így is maradna:)

Cloudflare (https + HSTS No-sniff + TLS 1.3 összes titkosítás, tűzfal high)
Az elvadul háborús országok, övezetek, javacript ellenőrzése.
email címek titkosítása
sse (bár ezt nem tudom mit rejthet el automatikusan)

Wordpress
Ban Hammer
iThemes Security
google új Captcha
w3dev Ban Users

Nekem ezek bejöttek.
De lehet a szolgáltatóm a profi!

Te milyen security bővítményt használsz?
Lehet egyszerűbb lenne ebből kiindulni.

( Proci85 v | 2017. 10. 01., v – 22:11 )

A klasszikus krix-krax betű számos CAPTHA nálam elbukott. Ha magyar a célközönség, nagyon bevált a "milyen nap jön kedd után" típusú gondolkodós kérdések regisztrációnál, esetleg hozzászólásonként.

( _Franko_ v | 2017. 11. 01., sze – 14:13 )

Akurvaéletbemár... ma ez jött be.

This message is posted here using XRumer + XEvil 4.0
XEvil 4.0 is a revolutionary application that can bypass almost any anti-botnet protection.
Captcha Recognition Google (ReCaptcha-1, ReCaptcha-2), Facebook, Yandex, VKontakte, Captcha Com and over 8.4 million other types!
You read this - it means it works!

Baszki, olvasd el az első bekezdést a témaindító hozzászólásomban és utána a többi bekezdést is.

Azt a munkát szeretném megspórolni, hogy törölgetem az moderálásra váró napi 10-30 fórumbejegyzést, eddig azt hittem, hogy humán erőforrással jönnek be, de úgy néz ki, hogy nagyrészt automatizált a dolog és valahogy megkerülik a védelmeket.

szerintem szintet kell lepni a captcha-val: atvaltani heber karakterekre, esetleg rovasirasra. Vagy ott van meg a blackpanther modszer is: 40 ezer forintert adsz egy account-ot, amivel kommentelni lehet. De lehet egy olyan fejtoro is, hogy +/-10%-os marginnal meg kell saccolni, az adott nap hanyadik leggazdagabb ember a Meszaros Cukkerberg a vilagon?

OK, komolyra forditva, en ertem, hogy nem vagy boldog, de ha ez a cucc atmegy a captcha-don, akkor marad vagy a kezzel torteno moderalas (ha nem akarod a rizszabalokhoz outsource-olni a melot), vagy esetleg az a projekt, amit felvetettem, hogy statisztikai alapon, tanulas utan donti el, hogy az adott komment spam vagy sem.

Ehh, addig mergelsz, amig megcsinalom :-) [saas alapon, mint az akismet]

--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...

ehh, mi lenne, ha megcsinalnam a prototipus-t, ami - wordpress oldalrol nezve - kb. ugyanugy mukodne, mint az akismet? Gondolom, az adatbazisodban levo kommentek (including usernev) nem szenzitivek, max. a megadott email cim + IP-cim, ahonnan elkuldtek a kommentet. Bar azt meg at kell gondolni, hogy mukodhet-e egyaltalan az akismet mellett egy masik, hasonlo celu plugin...

--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...

( SySERR | 2017. 11. 01., sze – 20:59 )

CAPTHA, de kicsit másképp:
- A számokat vagy betűket visszafelé kelljen begépelni.
- Minden második karaktert kelljen begépelni.
- Kitenni kb 10 CAPTHA-t, de csak az egyikről kelljen begépelni, de minden alkalommal másikról.
- Mind a 3 módszer egyszerre :)

-------------------
https://onlinestream.hu/ - A legtöbb magyar rádió és TV egy helyen!

( Dyl4n | 2017. 11. 01., sze – 22:13 )

subscribe
(Érdekes topik, drukkolok!)

( TCH | 2017. 11. 01., sze – 23:26 )

Ki kell rakni egy CSS-ből eltüntetett, "name" nevű input mezőt, amit ha kitölt a robot, akkor el kell dobni a postot.