WordPress e lo spam

Lo spam, la pubblicità indesiderata, prima ha intasato le caselle di posta elettronica poi è approdato sui blog. Come difendere il proprio WordPress blog dai commenti o trackback spam e dai bot che cercano di sfruttare le falle di WordPress tentando qualche sql injection.

La prima cosa da fare è attivare il plugin Akismet e ottenere il codice chiave registrandosi sul sito wordpress.com.  Per abilitare Akismet basta semplicemente entrare nel pannello di amministrazione del blog e entrare nella sezione plugin, lì cliccare su Active.

akismet-spam

I commenti inviati al blog verranno filtrati automaticamente dal plug-in “antispam”, quelli che risultano palesemente indesiderati vengono messi in una coda che viene svuotata ogni quindici giorni. Se un commento per errore, raramente, viene incluso in questa lista è possibile pubblicarlo entro la data prestabilita di cancellazione periodica.

Capita più spesso, però, che alcuni messaggi pubblicitari o osceni non vengono riconosciuti da Akismet. Per evitare di far comparire tali annunci si può impostare la moderazione dei commenti (in Options > Discussion ); ogni commento che viene inviato al blog viene messo in una coda di moderazione e un e-mail è inviata all’amministratore del blog. Nell’e-mail è data la possibilità di segnare il commento o il trackback come spam, di approvarlo oppure di cancellarlo. Naturalmente questo è molto scomodo quando il sito riceve molti visitatori che vogliono dire la loro che devono aspettare che il moderatore approvi i loro messaggi.

spam-karma-2-settingsL’altra possibilità è adoperare altri plugin contro lo spam insieme ad Akismet. Spam Karma 2 ha un funzionamento simile a quello di Akismet. Spam Karma ha una serie di impostazioni più avanzate rispetto al plugin antispam già incluso in WordPress. Permette di essere personalizzato in modo da ottenere un comportamento diverso per il proprio blog così da evitare le routing più usate degli spam bot.

bad-behavior Un altro plugin molto usato per combattere lo spam e gli accessi indesiderati è Bad Behavior (o Bad Behaviour). A differenza degli altri due,  Bad Beavior consente di impedire l’accesso al blog protetta da parte di utenti o bot che fanno parte di una lista nera o che usano un certo pattern di attacco al sito.

Altre soluzioni possono essere modificare il file .htaccess (web server Apache) al fine di impedire la fruizione di parti del blog oppure di bloccare alcuni utenti o indirizzi IP.

RewriteEngine On
RewriteBase /
RewriteCond %{HTTP_USER_AGENT} libwww-perl.*
RewriteRule .* – [F,L]

Con queste regole è possibile elimiare l’accesso al sito da parte dei bot libwww-perl che spesso si mettono a scansionare tutte le pagine del sito oppure tentano di fare sql injection.

Inserendo nell .htaccess invece:

deny from 85.91.82.38
deny from 85.91.81.188

è possibile negare l’accesso  agli indirizzi IP 85.91.82.38 e 85.91.81.188

Oppure è possibile limtare l’invio dei commenti da parte delgi utenti che abbiano visitato il blog (o meglio quelli i cui browser invia un referal):

  1. RewriteEngine On
  2. RewriteCond %{REQUEST_METHOD} POST
  3. RewriteCond %{REQUEST_URI}.wp-comments-post\.php*
  4. RewriteCond %{HTTP_REFERER} !.*sitomio.it.* [OR]
  5. RewriteCond %{HTTP_USER_AGENT} ^$
  6. RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]

Nella quarta riga è necessario inserire il proprio indirizzo del blog.

comment-spam

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *