Решаем проблемы с программным обеспечением, не спешащим нам на помощь в получении желаемых благ. Выявляем баги, устраняем конфликты или просто рассказываем о софте, которым приятно и полезно пользоваться в повседневной жизни звукомана.


ЗАЩИТА WORDPRESS ОТ СПАМА | ЧАСТНЫЙ СЛУЧАЙ

| 2013-09-09 | работа с файлами |

Это как назойливые комары в душный летний период, СПАМа не избежать ни одному владельцу сайта на известных CMS. В частности, каждый блоггер со своим уютненьким Wordpress сайтом сталкивается со СПАМом буквально сразу же после публикации первой заметки.

Но это всё настолько обыденно, что в большинстве случаев не стоит мобилизации на борьбу всех ваших жизненных сил. СПАМ был, есть и будет. Владельцу сайта надо лишь освоить наиболее эффективные приёмы противодействия, которые ему доступны, и не париться, если какой-то небольшой процентик СПАМа всё же просочится в ящик.

Да, очень легко сидеть в удобном кресле и давать такие мирные советы людям. Да, я знаю. Буквально неделю назад очередная порция злостного почтового мусора чуть не вынесла мне мозг. Но дело оказалось в совершенно особенном случае, который засуживает парочки-другой абзацев чуть пониже. А пока, я думаю, не лишним будет упомянуть самый проверенный перечень в арсенале юного борца со СПАМом на своём сайте.

WORDPRESS: ЗАЩИТА САЙТА ОТ СПАМА, простые правила

1. Не разбрасываться своим почтовым адресом на просторах интернета, лучше чтоб его вообще никто не знал, даже вы сами.

2. Всегда использовать в правилах комментирования премодерацию сообщений - Публиковать только после проверки администратором

3. Прохладно воспринимать лесть хвалебных комментариев, возможно, "ручной" мусорщик просто ждёт одобрения первого комментария, рассчитывая на благосклонность Wordpress к авторам, уже имеющим одобренные комментарии.

4. Все подозрительные комментарии проверять на наличие скрытых ссылок через открытие их в консоли Wordpress командой "Изменить".

5. Обязательно использовать Капчу - любую, какая вам понравится. В частности, хорошо себя показывает Invisible Captcha. Она защищает формы комментирования заметок, а некоторые виды других Captcha защищают и почтовые формы тоже.

6. Регулярно устранять уязвимости программного кода: обновлять Wordpress (новая версия Wordpress запросто может нанести урон функциональности используемой вами темы оформления, так что перед обновлением создаём резервную копию абсолютно всего - базы данных, темы оформления, загруженных файлов, да ещё и до кучи используем встроенную функцию Wordpress под названием Импорт/Экспорт и экспортируем на компьютер в xml файл все наши статьи). Кстати, в понятие устранения уязвимостей кода входит обязательное удаление всех лишних плагинов и тем, которые вы не используете; они не должны валяться в файловой системе вашего сайта, покрываясь пылью, потому что как раз в них хакеры часто прячут дорвеи и их копии, если один-два чёрных входа вам удастся случайно прибить.

7. Поставить таки один плагин повышения безопасности Wordpress из большого ассортимента - ну хоть например Secure Wordpress, активировав в нём всё что можно (осторожно! плагины типа Better WP Security получают полный доступ к базе данных и могут нечаянно её порушить, так что - снова бэкап и резервное копирование перед каждым нововведением на сайте).

8. Вряд ли стоит упоминать, но на админский вход сайта ставим как можно более сложные пароли, и не храним никакую админскую информацию (доступ к своему хостигну, пароли от сайтов) в почтовом ящике!

9. Избегаем качать темы оформления (Wordpress Template) с наших серых пиратских сайтов под видом благотворительной бесплатной русификации, особенно если исходно это были платные и дорогие Premium темы! Все полученные темы проверяем плагином TAC на наличие закодированных/шифрованных участков (base64 и т.п.). Все бесплатные темы качаем исключительно с сайта разработчика и непосредственного автора темы, а не из многочисленных "обзоров новых тем". Кстати, здесь мы незаметно подошли к теме нашего частного случая.

Частный случай защиты от СПАМа в Wordpress

Если вы предприняли все нешуточные меры защиты Wordpress и даже не накосячили при этом, а СПАМ продолжает поступать в ящик аккуратными, строго дозированными пачками, да ещё и с одним и тем же фирменным почерком, самое время провести небольшое личное расследование.

Открываем СПАМ-письмо в своём любимом почтовом ящике и... нет, конечно же не начинаем его читать! Напротив, вызываем функцию просмотра служебных заголовков почтового отправления. Да, это там где написана вся эта ахинея о путях и перевалочных станциях движения письма от отправителя в ваш почтовый ящик; это то самое, что можно открыть и заблудиться в нём. Но раз уж случай необычный, а нервы уже на пределе, делать нечего - придётся начинать медитацию над служебной информацией, тупо уставившись в экран. Не пытайтесь ничего понять, первые пять минут это просто бесполезно :) Сначала только смотрите.

Примерно на десятой минуте до вас может счастливо дойти, что в технической ахинее служебных почтовых тегов прослеживается, с какой страницы сообщение ушло, каким скриптом обработано, какие ip-адреса были задействованы, как письмо попало на сервера вашей почтовой системы. Само по себе созерцание этой информации способно подтолкнуть вас с пониманию, как СПАМ попадает в ваш почтовый ящик, и какой канал при этом следует перекрыть. В моём случае, в каждом СПАМ-письме с назойливым постоянством присутствовал ряд повторяющихся признаков: мусорные сообщения зарождались всегда с участием служебного скрипта sendmail.php моей темы оформления и каждый раз имели заголовок типа "Message from site contact form". Каково же было моё изумление, когда первое же гугление по запросу 'wordpress+sendmail.php' тотчас вывело на сообщение об уязвимости этого скрипта в продуктах одного и того же разработчика бесплатных тем для Wordpress - американского "Site5"! В тексте независимого эксперта-программиста на примерах кода раскладывалось, как была создана уязвимость в sendmail.php, и на основе анализа всех бесплатных тем Site5 приводился намёк, что дырявость скрипта выполнена умышленно и на совесть, а разработчик, судя по всему, просто в доле. Всё в этой статье оказалось мне полезным, не было только сказано как эту предумышленную уязвимость устранить.

В моём случае всё завершилось удачно для меня, но лишь наполовину. Скрипт sendmail.php я просто заблокировал его тупым переименованием, подключившись к сайту по ftp, и весь характерный СПАМ в моих ящиках тут же исчез. Но при этом пришлось пожертвовать функциональностью темы, лишив её возможности формировать письма в почтовой форме обратной связи. Что ж, не такая уж это потеря. Просто сделал надёжно работающую форму обратной связи на изолированном сайте и на кнопку "Контакты" повесил ссылку на эту стороннюю форму, получив неожиданный profit: и СПАМа теперь нет, и контактность сайта сохранилась. Так что дополнительный совет по безопасности Wordpress от СПАМа: не преуменьшайте возможности своей интуиции! Разглядывайте код, в котором вы ничего не смыслите; разглядывайте почтовые заголовки; это однажды приносит результат.

Вопросы, замечания и критику можно отправить через [ почтовую форму].


©MG 2011-2017, zvukoman.ru