Vous en avez marre des inscriptions indésirables et des commentaires spammés !!Mieux vaut connaître le mode opératoire des spammers pour lutter efficacement !Les robots-spammer sont des programmes web dont la plupart sont destinés à ouvrir des comptes sur toutes sortes de site (notamment sur les CMS puisque le code-source est public). Une fois le compte fictif ouvert, le programme pourra ajouter automatiquement et régulièrement des contenus spammés dans les commentaires, les forums, etc.
Ces centaines de milliers programmes sont autonomes et crawlent le net jour et nuit pour spammer le maximum de sites. Il est impossible de les déloger car ils se sont sournoisement installés sur des PC de monsieur tout_le_monde en mode zombie (par infection virale) ou sur des serveurs web piratés dont les propriétaires ignorent qu'ils ont été vampirisés !!
Ce qu'il ne faut pas faire :
Identifier l'adresse IP d'un compte fictif pour la bloquer définitivement. Cela ne sert à rien si l'attaque provient d'un PC zombie.
En effet, comme il n'y a pas assez d'adresses IP pour tous, les opérateurs utilisent des IP dynamiques qui sont distribués en fonction du trafic. Le plus souvent cela se traduit par un changement d'IP de votre box, grosso-modo tous les 48 heures (sauf évidemment, les abonnements Pro avec IP fixe, mais c'est une petite minorité).
En définitif, cette méthode aboutira à gérer une liste d'IP totalement innocente, qui grossit de jour en jour. Les fausses inscriptions continuent de plus belles !! Cela ne sert à rien et de surcroît votre site perd sensiblement une partie de sa visibilité sur le long terme.
Ce qu'il faut faire :
Emmettre une requête différenciée humain/programme !1/ Par exemple, vous ajoutez dans votre formulaire d'inscription un champ supplémentaire à remplir. Vous le rendez invisible par css. Le robot va le remplir car il n'analyse pas le css. L'humain lui ne le voit pas ... Il suffira de modifier votre register.php pour rejeter l'inscription de ceux qui renseignent ce champ invisible.
Bon, c'est un peu compliqué pour vous .... regardez la suite :
2/
Ma méthode, celle que j'utilise avec une
efficacité à 100 % et cela depuis plusieurs mois.
Le captcha de Xoops utilise classiquement une image déformée d'un code à recopier. Aujourd'hui, l'efficacité de ce filtre est caduc. Il y a bien longtemps que la plupart des programmes spammers ont intégré du code OCR qui analyse et interprète les images.
L'astuce : les programmes-spammer sont codés pour répondre à des questions connues sur les formulaires : nom, adresse, email, ville, métier, etc. En dehors de ces questions types, il ne savent pas répondre.
A la classe Image du captcha Xoops, j'ai fini par ajouter une classe Question. Une fois, ce hack installé .. le système Xoops pose une question, par exemple :
- Quelle est la couleur de la neige ?
Si la réponse est 'blanche' ou 'blanc', l'inscription est validée
ou alors une question plus sophistiquée :
- Sur quel objet, êtes-vous en train de tapoter pour remplir du texte sur votre ordinateur ?
Si la réponse est 'clavier' ou 'touches' alors l'inscription est validée.
Peu importe la question dès lors que la réponse est quasi unique et que tous les humains peuvent répondre.
Pour ceux qui le souhaitent, je mets à disposition ce Xoops Captcha amélioré :
Télécharger CaptchaAvecQuestionPour paramétrer votre question et sa réponse, il suffit juste d'adapter ce fichier
/language/french/captcha.php
// Hack GG antispam
define("_CAPTCHA_SPAM_LABEL1","Quelle est la couleur de la neige: ");
define("_CAPTCHA_SPAM_BONNEREP1","blanc");
define("_CAPTCHA_SPAM_BONNEREP2","blanche");
define("_CAPTCHA_SPAM_LABEL2","( question anti robot_spam )");
define("_CAPTCHA_SPAM_ERROR","<span style='color: red;'>Erreur dans la reponse antispam...</span><br />Vous pouvez recommencer:");
Il y a la possibilité de prévoir une 2ème réponse valide, si vous ne l'utilisez pas surtout ne remplacez pas cette réponse2 par du vide : "", sinon l'absence de réponse validera l'inscription. (mettre une suite de caractères mélangés)
Si un jour, les programmes spammer sont modifiés pour répondre à la question (très peu probable surtout en français), il suffira de modifier votre jeu question/réponse.
Bonne Année
