Комментарии, спам, пароль и безопасность в CMS WordPress

 

Модерация комментариев и САРТСНА

Один из способов борьбы с нежелательными комментариями — замедление де­ятельности спамеров. Этот подход достаточно прост, однако он также замедляет и деятельность обычных комментаторов.

• Вы можете предложить комментаторам регистрироваться на сайте в качестве пользователей для получения доступа к до­полнительным возможностям комментирования записей. Этот вариант рассматри­вается далее в настоящем разделе, однако случайные посетители не смогут делиться своими мыслями на вашем сайте.
• Также это решение подразумевает ваше активное наблюдение за регистрацией пользователей, так как некоторые пользователи будут регистрироваться на вашем сайте исключительно с целью размещения на нем не­желательной информации.

Модерация комментариев

Другим инструментом для замедления деятельности спамеров без отключения воз­можности комментирования является модерация.

1. Можно установить модерацию всех комментариев или публиковать без модерации только комментарии от уже проверенных комментаторов.
2. По сути, вы берете на себя обязательства по выявле­нию спама, отслеживаете каждый новый комментарий и принимаете решение о его публикации или отклонении.
3. И в этом случае кажущийся невинным комментарий может оказаться первым шагом пользователя, стремящегося к размещению неже­лательной информации на вашем сайте.
4. По мере усовершенствования механизмов обеспечения безопасности злоумышленники тоже становятся умнее, применяют больше автоматизированных средств и предварительно испытывают защитные системы, которые хотят обойти.

Внесение IP — адресов — малоэффективный способ

Внесение IP — адресов, с которых поступает нежелательная информация, совме­щает в себе жесткие методы и метод модерации. Доступ можно контролировать при помощи файла. htaccess.

Впрочем, и этот способ чем-то похож на пальбу из гигантского ружья по комарам, ведь вполне возможно, что в итоге вы заблоки­руете IP — адрес, с которого ваш сайт посещают не только спамеры, но и обычные пользователи. Также помните, что спамеры легко меняют IP — адреса при помощи бот-сетей и других ресурсов, и такой способ борьбы с ними просто не позволит вам окончательно решить эту проблему.

Требование ввода капчи (САРТСНА)

Препятствует размещению нежелательных комментариев спамерами, так как от них требуется ввести дополнительную динами­чески изменяющуюся информацию.

Существует немного плагинов, позволяющих использовать ввод капчи при работе с WordPress, и все они предлагают при по­пытке размещения комментария ввести отображаемое на экране слово или решить математический пример.

Плагины антиспам

Math Test

Наиболее простым плагином является Math Test, кото­рый предлагает пользователю решить пример на сложение двух чисел. Основная идея этого метода заключается в том, что процессы автоматического размещения нежелательной информации не могут распознать слова или решить примеры, что предотвращает размещение такой информации на сайте.

Нет однозначного мнения по поводу эффективности этого метода, так как уровень его отказа достаточно вы­сок, около 20%, да и комментаторы, желающие вступить в обсуждение, вынуждены выполнять это пусть и простое, но все-таки дополнительное действие.

А если ваш сайт посещают не только англоговорящие посетители, метод ввода капчи, пред­лагающий английские слова, набранные изогнутым шрифтом, защитит ваш сайт в том числе и от ценных комментариев расстроенных пользователей.

WP-Spam

Бесплатный плагин WP-Spam предлагает обратный порядок ввода капчи: этот плагин проверяет, использует пользователь браузер или автоматический процесс. Такой набор приемов JavaScript представляет собой один из способов борьбы с не­желательной информацией, и его эффективность и воздействие на пользователей зависят от территориального размещения посетителей вашего сайта так же, как и в случае со всеми остальными способами.

Автоматизация обнаружения спама

Черный список стоп-слов в комментариях

Первым шагом к автоматизации обнаружения спама является занесение опре­деленных типов записей или определенных слов в черный список.

Через панель наблюдения выберите пункт Settings (Настройки) ► Discussion (Обсуждение) в меню Comment Moderation (Модерация комментариев).

Там вы сможете заблокировать раз­мещение любых комментариев, если они содержат больше ссылок, чем вы укажете. Не устанавливайте значение этого параметра равным нулю, так как в этом случае будут заблокированы любые комментарии, в которых пользователи указывают адрес своего сайта.

Эта функция позволяет отсеять явные спам-сообщения.

Также вы можете добавить в черный список конкретные слова, например «Викодин», что поможет отсеять нежелательные сообщения, рекламирующие поддельные фармацевтические препараты.

Впрочем, если вас беспокоят частые предложения поддельных «Роллексов», не вносите в черный список слово «watches» (ведь watches это не только часы, но и глагол «смотреть»), поскольку в этом случае все коммен­тарии, в которых это слово используется как глагол, также будут заблокированы.

Черные списки конкретных слов эффективны в применении, если в них вносятся слова, которые имеют одно значение независимо от контекста.

Akismet

• К счастью, в систему WordPress встроен плагин Akismet, который позволяет спра­виться с нежелательными комментариями за счет применения общего черного списка, и при этом принцип его работы очевиден для пользователей.
• Помимо функций, выполняемых встроенным плагином, служба Akismet исполь­зуется и другими способами. Akismet работает и с другими системами управления контентом.
• Стоимость использования Akismet зависит от объема и типа вашего сайта и может составить от 0 до 50 долларов в месяц. Несмотря на то что мы под­черкиваем бесплатность системы WordPress и большинства связанных с ней тем и плагинов, мы все же рекомендуем воспользоваться платной службой Akismet, обеспечивающей защиту от спама.
• По сравнению со стоимостью коммерческого хостинга WordPress наиболее бюджетные варианты службы Akismet стоят совсем немного, и всего за несколько долларов в месяц вы можете избежать выполнения достаточно времязатратной административной работы.

Обеспечение безопасности сайта WordPress

К сожалению, становясь более успешными и популярными, вы также становитесь мишенью. WordPress — успешная и популярная платформа для веб-сайтов, что не может не привлекать внимания хакеров и других злоумышленников.

Очевидно, что злоумышленники, желающие создать сеть сайтов, будут выискивать наиболее по­пулярные приложения и наносить удары в их уязвимые места.

К сожалению, одним из слабых мест системы WordPress (так же, как и РНР) является то, что в связи с низким порогом входа и простотой использования пользователи с небольшим объемом технических знаний и не сильно озабоченные вопросами безопасности используют систему, не до конца понимая всю серьезность вопроса обеспечения безопасности.

В этом разделе рассматриваются основные принципы обеспечения безопасности, рекомендуемые к исполнению при использовании системы WordPress.

Некото­рые из них продиктованы здравым смыслом, однако, как это ни удивительно, не все среднестатистические сайты применяют их. Все описанные меры являются профилактическими, их следует применять до того, как в них возникнет реальная необходимость.

Как говорил Бенджамин Франклин: «Унция профилактики лучше фунта лечения».

Время, которое вы потратите на защиту своего сайта, полностью окупится, если вам придется приводить свой подвергшийся вторжению сайт в по­рядок.

Ограничение количества попыток входа в систему

Среди прочих мер предосторожности рассмотрим ограничение количества попыток входа в систему через Консоль WordPress. Такая мера предосторожности может предотвратить атаку на ваш сайт методом грубого перебора паролей.

По умолчанию система WordPress допускает неограниченное количество попыток входа на сайт, это означает, что автоматический сценарий будет иметь возможность пытаться войти на ваш сайт сутки напролет.

Плагин Limit Login Attempts авторства Ионы Енфелдта может помочь решить эту проблему. После совершения предварительно заданного количества попыток входа на сайт IP -адрес, с которого идут попытки доступа, блокируется на заданный период времени.

Такая мера снижает привлекательность вашего сайта для атак при помощи автоматических сценариев. Информация о плагине Limit Login Attempts приведена на сайте

Использование надежных паролей

Также рекомендуется использовать надежные пароли для доступа к учетной запи­си, причем эта рекомендация относится к любым учетным записям в Интернете, а не только к записям в системе WordPress.

Да, нам приходится запоминать сотни паролей, однако при помощи мнемосхем и программ для хранения паролей вполне возможно использовать только надежные пароли.

В WordPress есть удобный пока­затель качества паролей JavaScript, который помогает оценить надежность пароля при его вводе.

Хорошим надежным паролем может оказаться и что-то, что вам легко запомнить, а также вы можете использовать приложение для сохранения паролей. Ваш пароль — ключ от вашего королевства, и этот ключ следует выбирать тщательно.