Spam spam spam… Encore ? ‹‹ 2000 Lux sur le Net

No spam !

Pour continuer sur ma série spammante, je vous livre une petite réflexion personnelle sur les solutions anti-spam (pour wordpress) que j’ai essayées.

Le spam “massif” est généralement l’oeuvre de robots, ces logiciels chargés de vadrouiller le net et poster leurs messages publicitaires sur les pages les plus vues (comme celles abritant un Livre d’Or par exemple). Leur but n’est pas vraiment de vous attirer sur leurs sites (peu de gens tombent encore dans le panneau), mais plutôt de gagner des places dans le classement des liens renvoyés par les moteurs de recherche (comme Google).

Quel plugin pour les intercepter ?

Le choix est vaste. Vous en trouverez un grand nombre ici et là. Parlons des plus connus :

Pour commencer, vous avez Akismet.
Fourni en natif avec votre installation Wordpress, il vous suffit de demander une clé API pour l’utiliser. Son fonctionnement est simple et mutualiste : quand votre blog reçoit un commentaire, un pingback ou un trackback, il est soumis à des tests pour trouver éventuellement des similitudes avec le spam déjà signalé grâce aux autres utilisateurs. S’il reçoit le feu vert, il est publié. Sinon, il est marqué comme spam mais gardé pendant 15 jours dans votre base de données pour vous permettre de le repêcher en cas de méprise. Son efficacité est réelle et repose sur la mise en commun des infos, car chacun le sait, l’union fait la force…

Oui, mais voilà, vous préféreriez maîtriser le filtrage vous-même, sans dépendre d’un autre site…

Dans ce cas, je vous conseille fortement Spam Karma 2.
Grosso modo, il remplit le même rôle, mais vous êtes le seul maître à bord pour établir le degré de filtrage à appliquer. Revers de la médaille, le plugin ne peut se baser que sur sa seule expérience et vos indications pour mettre les intrus en quarantaine. Mais rassurez-vous, ça marche très très bien.
Pour preuve, il a arrêté ici-même plus de 2000 commentaires de spam et n’a trébuché qu’une seule toute petite fois au début (erreur de jeunesse ).

Et si je veux les empêcher de continuer ?

Là, c’est la question à 1 million d’euros !

Car s’il est relativement facile d’éviter la publication de ces malotrus, vous constaterez comme moi que cela ne ralentit nullement leurs ardeurs. Ils continuent de vous polluer, encore et encore… des fois que ça passe à la 2001e tentative…

Plus basiquement, il est probable que le logiciel ne s’attarde pas à vérifier le succès de sa démarche : il a posté, sa requête n’a pas explicitement été refusée, donc il la considère acceptée et il recommence.

Résultat : les pourriels s’entassent dans votre base de données (coûteux en temps et bande passante), mais surtout ils noient dans la masse les éventuels commentaires, interceptés par erreur, que vous voudriez repêcher… c’est agaçant.

Que faire alors ? Le rêve serait de les empêcher de poster des commentaires. Ou mieux encore, de les empêcher d’accéder à votre site… C’est en partie possible mais il y a un prix à payer : vous augmentez le risque d’intercepter dans vos filets un malheureux et innocent commentateur.

Refuser le commentaire

Pas de mise en quarantaine, ni de possibilité de repêchage
C’est clair et net : filtrage à l’entrée, intrus refusé.

Bad Behavior protégera votre site en analysant la requête HTTP envoyée par le navigateur de votre visiteur et le laissera passer s’il ne trouve aucune correspondance avec les robots spams qu’il connaît. Sinon, ce dernier verra s’afficher à la place une page d’erreur lui indiquant la raison du refus et comment vous joindre s’il était bien un visiteur légitime.

Sur le papier, c’est séduisant. Mais les robots s’adaptent et s’il réduit le traffic importun, chez moi en tout cas, il n’arrête pas tout. Impossible de l’utiliser comme seul barrage donc.

Petite astuce : le plugin ne vous donne pas la possibilité de passer en revue son activité à l’intérieur de wordpress, il vous faut pour cela consulter directement sa table dans la base de données avec un outil comme Phpadmin. Ce n’est pas très pratique. Heureusement, quelqu’un a eu l’excellente idée de faire un petit plugin pour pallier cette lacune : Bad Behavior / Bad Behaviour Log Reader

Autres solutions à essayer : Referer Karma, Referrer Bouncer, AutoBanReferer ou encore SpamForceField

Modifier le code du formulaire d’envoi

Il existe différentes techniques, mais l’idée générale est de modifier légèrement le fichier wp-comments-post.php, pour empêcher les automates d’envoyer des requêtes directement à son adresse. C’est ce que fait Comments Post Rewriter Plugin en utilisant du javascript pour modifier aléatoirement la valeur du paramètre “action” du formulaire de commentaire.

Je cite ce plugin car l’idée me semblait excellente, mais je n’ai pas réussi à le faire fonctionner correctement ici, donc j’ignore son efficacité réelle. Peut-être aurez-vous plus de chance !

Machines (or Back To Humans)^[1]

Pour certains, c’est la solution parfaite. Pour d’autres, une nuisance à éviter à tout prix… Je veux parler des tests d’intelligence et autres captchas.

CAPTCHA est un acronyme pour « Completely Automated Public Turing test to Tell Computers and Humans Apart », soit en français, « test public de Turing complètement automatique ayant pour but de différencier les humains des ordinateurs », sigle déposé par l’université Carnegie Mellon. Ce terme a été inventé en 2000 par Luis von Ahn, Manuel Blum, et Nicholas J. Hopper de l’université Carnegie Mellon, et John Langford d’IBM.

Un type usuel de CAPTCHA requiert que l’utilisateur tape les lettres visibles sur une image distordue, avec parfois l’addition d’une séquence de lettres et de chiffres qui apparait sur l’écran. Parce que le test est réalisé par un ordinateur, en opposition avec les tests de Turing standards réalisés par des humains, un CAPTCHA est souvent décrit comme un test de Turing inversé.

En clair, vous faites passer à l’utilisateur un petit test avant d’enregistrer son commentaire : répondre à une question simple (combien font 2+2), recopier un mot-clé ou lire un code fourni sous forme d’image.

Cette solution est TRÈS efficace, mais elle a pourtant ses détracteurs, qui avancent principalement ces 2 arguments :

c’est contraignant pour le visiteur : pas plus que de taper son nom et son adresse e-mail
les captchas visuels (mots déformés) sont parfois difficiles à reconnaître et discriminants pour ceux qui utilisent des navigateurs en mode texte uniquement : là, je suis d’accord, c’est pour ça que j’ai opté pour un code texte à recopier plutôt qu’une image.

Vous trouverez un certain nombre de ces plugins sur les liens cités en début de page, moi j’utilise avec bonheur celui-ci : matriphe! KeyCode^[2]. Il est ultra-simple d’emploi, mais personnalisable (mots-codes proposés) et parfaitement efficace. Je vous le conseille donc sans réserve !

Après tout ça, si les spams vous envahissent encore, c’est à désespérer !

What’s that machine noise? It’s bytes and megachips for tea
It’s that machine boys, With random access memory
Never worry, never mind, Not for money not for gold
Its software, is hardware, its heartbeat, is time-share
Its midwife’s a disc drive, its sex life, is quantised
It’s self-perpetuating a parahumanoidarianised
Back to humans, Back to humans
Back to machines

Notes :

Machines (or Back To Humans) est une chanson du génialissime groupe Queen figurant sur l’album The Works RIP Freddie [retour]
il semble que ce plugin ne soit plus disponible actuellement au téléchargement sur le site de l’auteur. Voir ce commentaire pour récupérer ma version en attendant. [retour]

13 réactions à “Spam spam spam… Encore ?”

Flux RSS pour cet article Rétrolien / Trackback

1 Trackback/Ping :

1 Guestbook Generator en Français ‹‹ 2000 Lux sur le Net Pingback il y a 18 ans

12 Commentaires :

1 Ben Kenobi il y a 18 ans et 3 moiss

Perso j’utilise Akismet. Il me convient parfaitement. Il fonctionne très bien, n’est pas lourd, simple d’utilisation et très efficace. Je n’ai pas besoin de contrôler le filtrage plus que cela, je peux toujours vérifier dans la liste de commentaires bloqués si des erreurs ne se sont pas glissées et ça me suffit. Nul besoin de 462 options…

Alba > Au fait te verra-t-on samedi soir à la prochaine soirée WordPress (voir le blog de WordPress Fr. ) ?

1
2 Alba (admin) il y a 18 ans et 2 moiss

SK2 a beaucoup d’options mais on n’est pas obligé de toucher à tout, les réglages par défaut sont souvent suffisants.

Akismet est-il plus performant, plus rapide ? Honnêtement, je n’en sais rien mais d’un côté tu fais appel à la base de donnée de ton hébergeur et de l’autre à celle d’Akismet… Si quelqu’un a fait la comparaison, ça m’intéresse.

soirée WPF > hum… non ? (WE avant Noël, z’êtes fous les gars ! )

2
3 Cid0u il y a 18 ans et 2 moiss

Hmmm interressant tout ça.
Askimet ouai j’avou ca marche trés bien, sauf qu’il faut supprimer et vérifier les commentaires bloqués, c’est tout.
Sinon pour le plugin Keycode 1.0, j’arrive pas a le download sur la page du plugin, quand je clic sur le lien du zip, ca m’envoi sur une page …

Est-il possible que tu mette ton zip de matriphe! keycode en téléchargement sur ton blog ?

merci pour toutes ces info

3
4 Alba (admin) il y a 18 ans et 2 moiss

Effectivement, le lien pour télécharger le plugin ne marche plus, je viens de le signaler à l’auteur.

Je n’ai plus le zip original car je viens de formater mon DD et j’ai effacé mes sauvegardes wordpress par mégarde.

Par contre, tu peux prendre ma version du plugin (affichage francisé, et légère modif du code pour préserver l’affichage ajax dans K2), c’est ici.

4
5 Cid0u il y a 18 ans et 2 moiss

ah yes merci

5
6 Cid0u il y a 18 ans et 2 moiss

ah bon ben c’est chelou j’arrive pas a le faire fonctionner grrrr

6
7 Cid0u il y a 18 ans et 2 moiss

(pour ceux qui passe par ici pour télécharger le plugin, voici le README.txt de ce dernier.

README.txt

7
8 Cid0u il y a 18 ans et 2 moiss

c’est bon j’ai reussi a faire marcher tout ça avec le readme.
autre chose aussi pour les tete en l’air comme moi, le keycode s’affiche pas pour les gens logged-in

lol

8
9 Alba (admin) il y a 18 ans et 2 moiss
C’est sûr, ça va mieux avec les instructions. J’ai ajouté le readme à l’archive zip pour ceux qui voudraient le récupérer.

autre chose aussi pour les tete en l’air comme moi, le keycode s’affiche pas pour les gens logged-in

Autre astuce : pour ceux qui utilisent en plus le plugin Edit Comments (permet aux commentateurs de modifier leurs messages après publication), si on veut éviter à celui qui modifie son message la resaisie du code anti-spam à chaque fois, il suffit de remplacer
```
 if (function_exists('matriphe_auto_keycode_form')) {
matriphe_auto_keycode_form();}
?>
```
par
```
 if ((function_exists('matriphe_auto_keycode_form'))
and (!(function_exists('jal_edit_comment_link'))
or !isset($_GET['jal_edit_comments'])))
matriphe_auto_keycode_form();
?>
```
Ça ne marche que pour les messages édités, pas s’il tape un nouveau message.

9
10 Supplement Naturel il y a 16 ans et 9 moiss

super cette nouvelle application ou l’on peut modifier un commentaire, merci et bravo à tout ce que vous faites.

10
11 Léo, Blog PROPULSR il y a 15 ans et 1 mois

Je recommande aussi de jeter un coup d’oeil à CFC (Cookies For Comments), au lieu d’un CAPTCHA.

Le second bloque l’envoi du commentaire à n’importe qui n’autorisant pas les cookies.

CookieForComment laisse passer le commentaire (si on le souhaite) et le place dans les indésirables => pas de commentaires de perdus ou de visiteurs frustrés parce que leur message ne passe pas, qu’ils n’arrivent pas à lire le captcha, ou pire qu’ils soient obligés de changer les préférences de leur navigateur.

- désolé je viens de m’apercevoir que le sujet date un peu, mais je débarque du site fan6art qui a fait un billet récent -

11
12 don chakib il y a 12 ans et 9 moiss

12