Bonjour à tous,

Ayant étudié à ma façon ce problème, je me permets d'apporter mon humble contribution.

Cela ne sert à rien de collectionner des bad-IPs par milliers dans une base de données puisque les users-IP sont dynamiques, (je rappelle que la plupart des robots-spammer sont installés sur des PC zombis, donc gérés par des adresses dynamiques). Vous allez juste censurer votre site pour des milliers d'IPs.

En revanche, si votre site est strictement francophone, le filtrage d'IP par pays est une bonne idée. Vous allez drastiquement limiter les attaques !!

De mon coté, j'utilise le captcha intégré dans Xoops avec une modification.

En effet, il est possible de paramétrer le captcha avec un mode Text ou Image. J'ai ajouté une classe "Question".

Ainsi lors de l'inscription, le système pose une question simple, ... par exemple 'Quelle est la couleur du ciel ?", si la réponse n'est pas strictement 'bleu' alors l'inscription est refusée.

Ce dispositif est hyper efficace.

Citation :

Oui et non, tu as seulement modifié la façon de s'inscrire sur ton site, ce qui perturbe les robots qui détectent les traces "Xoops", le résultat est là, mais il existe des "robots" plus sophistiqués qui sont capable de passer à travers très facilement.

Au moins, ça supprime les "robots" bas de gamme, ce qui correspond quand même à 99% des inscriptions.

Concernant ton analyse des IP, c'est vrai, pas la peine de les garder "viva eternam", je me contente de les bannir 30 minutes (si cela persiste 15 jours) et j'en profite pour mutualiser la BDD des bannis entre mes sites.

Oui c'est le serpent de mer ce truc ... moi j'ai ajouté un champs avec une question.

Si la réponse est fausse ou inexistante je sais qu'il faut supprimer le nouvel inscrit.

C'est ça, environ 99% minimum d'efficacité ... cela me convient très bien. Je n'ai quasiment jamais de fausse inscription.

Une autre solution est de modifier le formulaire d'inscription pour ajouter un champ piège à renseigner. Par exemple, ajouter un champ "code postal" avec un astérix pour laisser penser que c'est obligatoire. On le rend invisible avec une nouvelle classe CSS. Les humains ne voient pas ce champ. Les robots ne peuvent pas savoir qu'il est invisible. Si le champ est rempli, alors l'inscription est refusée ou mieux l'IP est bannie 30 mn pour bloquer une éventuelle récidive.

je suis ancien serrurier, et l'informatique est pareil.
Tout verrous se contourne !!!!
avec plus ou moins de temps.

Ha bon ? tous les serruriers ne sont pas en prison ?

Bonjour à tous, je viens de lire une partie des messages de ce sujet, bien que datant de plus de deux ans, j'ai pour ma part pas mal de faux membres qui s'inscrivent sur mes sites, je dispose de 6 sites hébergés par mes soins sur un PC et ma connexion free avec wampserver 3.0.3, j'ai découvert XOOPS il y a peut de temps mais coté prog je suis resté sur du PHP4 donc je suis un peut perdu par moment, avant j'utilisais MyPhpNuke 1.8, devenu obsolète vu son ancienneté et le manque de support, je n'avais pas trop de problèmes de faux membres avant, mais après avoir installé xoops 2.5.7 pour 4 de mes sites dans un premier temps il y a 3 mois, depuis environ 1 mois je suis submergé par de faux membres qui s'inscrivent sur mes sites, j'ai encore 2 sites nouvellement installés qui sont pour le moment épargnés mais je sais très bien que ça ne va pas durer, sur un des 4, 57 inscriptions rien que pour la journée d'hier, c'est énorme! je ne suis pas certain que ce soit des robots car parfois le compte est activé, mais ce n'est pas toujours le cas, mais le type d'inscription reste le même à chaque fois, adresse mail étrange, localisé à l'étrangé, souvent en URSS, un pseudo étrange avec un lien de site commercial dans le champ signature, je ne sais pas trop comment empêcher cela, si quelqu'un à une suggestion je suis preneur car franchement, les gens qui n'ont que ça à faire de leur journée, ça devient lourd.
Merci à tout ceux qui liront ce message, et qui tenteront d'apporter une solution.

A l'avenir, tu auras souvent des soucis d'inscriptions non désirées car la plupart des spammeurs n'utilisent plus que des bots mais s'inscrivent dorénavant manuellement.

Sous d'autres CMS, c'est pareil.

Je peux juste te dire qu'avec Xoops 2.5.9, une sécurité supplémentaire sera ajoutée.

Sinon, quand tu vas dans l'administration, dans Préférences puis Options du système puis Paramètres des utilisateurs, à la ligne "Saisissez les courriels qui ne pourront pas être utilisés dans les profils des utilisateurs", tu peux ajouter dans le cadre les terminaisons de courriel qui te semblent douteuses.

Par exemple ajoute :



Tu as aussi la solution de cocher "non" à l'inscription des utilisateurs et au lieu de ça, d'utiliser un formulaire externe ou tout simplement préciser quelque part sur ton site que pour toute inscription ils doivent te contacter par courriel. De là tu te crées un courriel "poubelle" où tu recevras les demandes de gens spammeurs ou non spammeurs.

Je te remercie infiniment Cesagonchu pour ces infos, j'utilise déjà le formulaire pour les adresses mail, mais je ne savais pas que l'on pouvaient mettre directement @mail.ru ou @*.ru, ça va m'aider grandement car ce sont souvent les mêmes terminaisons qui reviennent, j'ai fermé les inscriptions sur 2 de mes sites pour le moment, mais pour les autres je préfère les laisser ouvertes, je vais continuer à filtrer mais là ça devrait être plus simple.
Encore merci de ton aide.

Cordialement.

David