Założyłem mojej lubej blog. Oczywiście na WordPress. Prosty szablon, wtyczka tylko do kontaktu. Rozbuduje się, jak luba zacznie coś publikować… Tak pomyślałem. Luba, po publikacji drugiego wpisu, dostała pierwszy komentarz. I się przestraszyła…

Bezprawne wykorzystanie zdjęcia

Komentarz był po angielsku i delikatnie sugerował, że przed wykorzystaniem zdjęcia do wpisu dobrze było by sprawdzić czy zdjęcie owo nie jest objęte prawami autorskimi. A wy, moi mili, co byście pomyśleli, widząc taki komentarz?

Sztuczki w spamowych komentarzach pod wpisami w WordPress

Jak dla mnie to oczywista oczywistość, iż jest to po prostu spam.

Jak rozpoznać spam?

Po pierwsze fraza „erotik” zastosowana w nazwie użytkownika już nam sugeruje, że ktoś chce wypromować treści erotyczne lub nakłonić nas do wejścia na stronę filmkovasi kropka org lub com (w dalszych komentarzach ze spamem były podlinkowane 2 różne domeny).

Po drugie właśnie link dodany w komentarzu. Moja luba próbowała podlinkowaną stronę otworzyć. Na szczęście przeglądarka wyświetliła jej monit, iż strona może być niebezpieczna.

Jeśli jesteście przekonani, że komentarz jest spamem, nie próbujcie otwierać podanej w komentarzu strony. Zazwyczaj wasza przeglądarka ostrzeże was, że taka strona jest zagrożeniem… Ale jeśli nie? W najlepszym wypadku nabijecie po prostu komuś statystyk wejść. Niestety zazwyczaj taka wizyta może skończyć się zawirusowaniem waszego komputera, co w konsekwencji może doprowadzić także do zawirusowania waszej strony. I wasza strona może promować treści erotyczne czy hazardowe nie tylko poprzez spam w komentarzach.

Po trzecie, do dodania formularza wykorzystano email z domeny yandex kropka com. Dla mniej zorientowanych, Yandex to taki rosyjski Google. To może już nas trochę zastanowić, że wschodni przyjaciele martwią się o wykorzystanie przez nas zdjęcia na stronie.

A po czwarte, wiadomo było nam, iż wykorzystane we wpisie zdjęcie pochodzi z serwisu unsplash.com. Więc źródło zdjęcia i jego wykorzystanie na stronie było całkowicie zgodne z prawem i licencją.

A po piąte, to za pół godziny pojawiły się następne komentarze ze spamem, linkujące do tej samej domeny, tym razem wychwalające treści zawarte na blogu.

Uspokoiłem swą lubą i pogratulowałem pierwszego spamu w komentarzach, zapewniając by się nie martwiła i czym prędzej wrzuciła wszystkie te ciekawe komentarze do spamu. A następnie cały ten spam usunęła. Jednym kliknięciem.

Jak zablokować spam w komentarzach w WordPress?

Więc spam usunięty, wszyscy zadowoleni, a za jakąś chwilę wpada następny niechciany komentarz. I co zrobić z takim fantem? A najlepiej zablokować cały ten spam! Poniżej przedstawiam 3 sposoby na zabezpieczenie strony internetowej stworzonej na platformie WordPress przed spamem w komentarzach.

Wtyczka Akismet Spam Protection

Instalując WordPressa domyślnie otrzymujemy z nim 2 wtyczki. Jedną z nich jest Akismet. To wtyczka służąca właśnie do ochrony naszej strony lub bloga przed spamem. Akismet został stworzony przez zespół Automattic czyli twórców samego WordPressa. Wtyczka sprawdza komentarze w swojej globalnej bazie danych, a następnie wyłapuje i filtruje te, których byśmy jednak nie chcieli publikować. Akismet chroni przed spamem zarówno komentarze jak i formularze kontaktowe. I to chroni całkiem skutecznie.

Niemniej już na wstępie zaznaczę, że wtyczka Akismet jest darmowa tylko dla stron i blogów niekomercyjnych. Jeśli na swojej stronie nie mamy reklam, nie sprzedajemy produktów czy usług oraz jeśli nie jest to strona firmowa, możemy użyć wtyczki całkowicie za darmo. Dlatego na blogu mojej lubej nie użyłem Akismet, bo kto wie, może luba rozkręci dobry blogowy biznes… 😉

Jeśli prowadzimy stronę komercyjną, firmową, stronę organizacji, sprzedajemy produkty czy oferujemy usługi, czy choćby mamy na naszej stronie umieszczone reklamy czy linki afiliacyjne to łapiemy się już na jeden z płatnych planów.

Akismet – instalacja

Jak wcześniej wspomniałem, wtyczka Akismet dostarczana jest wraz z WordPressem. Więc jeśli jej nie usunęliśmy na starcie (ja tak robię), to nie musimy jej instalować. Znajdziemy ją w panelu administratora WordPress w zakładce Wtyczki gotową do włączenia.

Z Akismet korzysta również narzędzie antyspamowe dostępne w kombajnie zwanym Jetpack. Tak tylko wspominam, jeślibyście Jetpacka używali.

Akismet – konfiguracja

Po włączeniu wtyczki należy podać w niej klucz API ze swojego konta na stronie akismet.com. Do strony akismet.com zalogujemy się np. stosując konto z serwisu WordPress.com – jeśli takie posiadamy. Jeśli nie, klikamy przycisk Skonfiguruj swoje konto Akismeta i zakładamy sobie nowe konto w serwisie Akismet.

Akismet – ustawienia

Po podaniu klucza API wtyczka zostaje aktywowana i zaczyna chronić naszą stronę przed niechcianymi komentarzami. Jeśli chcemy zmienić ustawienia wtyczki, możemy to zrobić w zakładce Ustawienia -> Akismet antyspam. Ustawień nie jest dużo i są dokładnie opisane więc nie będę się nad nimi rozwodził tekstowo. Musi wam wystarczyć jeden obrazek.

Wtyczka Antispam Bee

Jedna z moich ulubionych wtyczek antyspamowych. Instalujemy, aktywujemy, ustawiamy i zapominamy co to spam w komentarzach WordPress. Wtyczka współpracuje głównie z domyślnym systemem komentarzy WordPress, ma ponad 600 tysięcy aktywnych instalacji i jest na bieżąco aktualizowana. I to właśnie tą wtyczkę wykorzystałem do zatrzymania fali spamu zalewającej blog mej lubej.

Antispam Bee – instalacja

Wtyczka Antispam Bee jest całkowicie darmowa, także dla projektów komercyjnych i jest dostępna w oficjalnym repozytorium wtyczek WordPress. Także w panelu administracyjnym WordPressa przechodzimy do zakładki Wtyczki -> Dodaj nową i wyszukujemy naszą bohaterską pszczółkę, która będzie dzielnie walczyć ze spamem atakującym nasz blog czy stronę.

Antispam Bee – konfiguracja

Ogólnie rzecz biorąc, to wtyczka Antispam Bee po instalacji i włączeniu już działa i blokuje spam w komentarzach na naszej stronie. Nie trzeba nic dodatkowo konfigurować. Natomiast, jeśli chcemy zmienić jakieś wytyczne dla naszej pracowitej pszczółki, to zaglądamy do ustawień.

Antispam Bee – ustawienia

Ustawienia wtyczki znajdziemy w zakładce Ustawienia – > Antispam Bee. Ustawienia podzielone są na 3 grupy: Filtr antyspamowy, ZaawansowaneWięcej. Nie sugerujcie się proszę tym, co jest pozaznaczane na obrazku poniżej. Ustawcie opcję pod siebie i swoją stronę.

Opcje dostępne w grupie Antispam filter (Filtr antyspamowy):

  1. Jeśli zaznaczymy, nie będziemy musieli potwierdzać dodania komentarzy od użytkowników, których komentarze wcześniej zatwierdziliśmy.
  2. Jeśli zaznaczymy, komentujący użytkownicy, którzy używają Gravatara, będą tymi zaufanymi.
  3. Wtyczka bodajże sprawdza czas dodawania komentarza. Boty pewnie dodają komentarz poniżej sekundy. Opcja nie zalecana jeśli używamy jakiejś wtyczki cache do WordPressa.
  4. Jeśli zaznaczymy, to wszystkie komentarze mające linki w postaci kodu BBCode zostaną zakwalifikowane jako spam.
  5. Używa wyrażeń regularnych – wtyczka wykrywa spam na podstawie swoich predefiniowanych i dodatkowych wzorców i wytycznych – cokolwiek to znaczy… muszę doczytać 😉
  6. Wtyczka sprawdza, czy na naszym blogu były już takie spamowe komentarze.
  7. Opcja pozwala zablokować komentujących z wybranych krajów i/lub pozwolić na komentowanie użytkownikom z państw, które wybierzemy. Nazwy państw podajemy w formacie ISO, np. PL, BF, SG…
  8. Pozwala na komentowanie tylko w wybranym języku. Niestety jest do wyboru tylko 5 języków i nie ma w śród nich polskiego.

W grupie Advenced (Zaawansowane) znajdziemy opcje:

  1. Jeśli zaznaczymy, niechciane komentarze zostaną oznaczone jako spam przeniesione do odpowiedniego dla nich folderu Spam. Jeśli odznaczymy tą opcję, wszystkie komentarze, uznane przez naszą waleczną pszczółkę za spam, zostaną od razu usunięte.
  2. Gdy zaznaczymy, będziemy otrzymywać powiadomienia na maila o niechcianych komentarzach.
  3. Jeśli zaznaczymy, w statystykach nie będziemy widzieć kolumny, w której jest podana przyczyna uznania komentarza na spam. Statystyki możemy włączyć w 1 punkcie w grupie Więcej.
  4. W tej opcji możemy ustawić czy i po ilu dniach będzie opróżniany folder Spam z niechcianymi komentarzami
  5. Możemy zaznaczyć czy chcemy ograniczyć zatwierdzanie tylko do jednej opcji, komentarze lub pingi. Druga opcja będzie automatycznie usuwana.
  6. Możemy wybrać powody z jakich komentarze będą usuwane. By zaznaczyć kilka opcji należy przytrzymać klawisz Ctrl.
  7. Jeśli zaznaczymy, po odinstalowaniu wtyczki, wszystkie dane dotyczące Antispam Bee zostaną również usunięte.

W ostatniej grupie More (Więcej) znajdziemy:

  1. Gdy zaznaczymy, na Kokpicie w panelu administratora znajdziemy widżet wyświetlający statystyki dotyczące zablokowanego spamu przez wtyczkę Antispam Bee.
  2. Licznik spamu w Kokpicie WordPressa.
  3. Jeśli zaznaczymy, wtyczka nie będzie sprawdzać trackbacks/ pingbaks pod kątem spamu.
  4. Gdy zaznaczymy, wtyczka będzie sprawdzać także komentarze dodawane nie tylko w postach, lecz także np. na stronie kategorii.

Google reCAPTCHA

Google reCAPTCHA to skuteczne narzędzie do walki ze spamem. Sam zastosowałem je do ochrony formularza kontaktowego. W najnowszej wersji v3 nie musimy już wypełniać różnych zadań, czy przepisywać niewyraźnego tekstu. O tym, że strona jest chroniona przez reCAPTCHA informuje mały znaczek w prawym dolnym rogu ekranu. W wersji v2 mamy do zaznaczenia „ptaszka” tudzież „dzióbka” z napisem „I’m not a robot”. A jeśli okaże się, że jednak jesteśmy robotem to dodatkowo będziemy mieć do wykonania jakieś wyzwanie w stylu wskazania wszystkich obrazków ze znakami drogowymi. Pewnie kojarzycie.

Ogólnie usługa reCAPTCHA od Google jest bezpłatna dla wszystkich. Istnieje wersja Enterprise, którą musimy się zainteresować, gdy przekroczymy pewną liczbę wywołań, tj. 1000 wywołań na sekundę lub 1 milion wywołań na miesiąc.

Narzędzie to, oprócz ochrony formularza kontaktowego, możemy także wykorzystać do wyłapywania spamu w komentarzach. Aby to zrobić potrzebujemy odpowiedniej wtyczki. Po wpisaniu frazy recaptcha przy wyszukiwaniu wtyczki otrzymamy dość sporą liczbę wyników. Wybierajcie, moi mili, zatem te, które są w miarę aktualizowane i które mają w miarę dobre noty.

Wtyczka Advanced noCaptcha & invisible Captcha (v2 & v3)

Do zaprezentowania działania reCAPTCHA w komentarzach WordPressa posłużę się wtyczką Advanced noCaptcha & invisible Captcha (v2 & v3). Choć oczywiście możecie użyć innej wtyczki, działającej na tej samej zasadzie.

Advanced noCaptcha & invisible Captcha – instalacja

Instalacja, jak to instalacja. Łatwizna. Wyszukujemy wtyczkę i instalujemy. Po instalacji włączamy tudzież aktywujemy.

Advanced noCaptcha & invisible Captcha – konfiguracja

Tak jak w przypadku wtyczki Akismet, tu również korzystamy z zewnętrznego dostawcy usługi. I tu także musimy się zarejestrować w usłudze Google reCAPTCHA. Na pewno jednak, moi mili, posiadacie konto Google, nieprawdaż? Choć mały Gmail czy choćby Google Analytics..? Jeśli tak, to logujemy się na swoje konto Google i przechodzimy pod adres: https://www.google.com/recaptcha/admin/create.

Możemy tam skonfigurować swoją usługę reCAPTCHA. Podajemy etykietę, wybieramy typ reCAPTCHA i wskazujemy na jakich stronach będziemy używać tej usługi. Wszystkie opcje są bardzo dobrze opisane, a jeśli potrzebujemy dodatkowych wyjaśnień, najeżdżamy kursorem na ikonkę informacji. Powiedzmy, że w naszym przykładzie wybierzemy wersję reCAPTCHA v2.

Po przesłaniu formularza, wyświetlą nam się 2 klucze: klucz witryny (Site Key) oraz tajny klucz (Secret Key). Właśnie te dwa klucze będą nam potrzebne do skonfigurowania naszej wtyczki.

Advanced noCaptcha & invisible Captcha – ustawienia

Jeśli mamy już nasze klucze w zakładce Ustawienia -> Advanced noCaptcha & invisible captcha. Na stronie ustawień wybieramy również wersję zabezpieczenia – w naszym przypadku v2. Określamy również, które formularze mają być zabezpieczone przez reCAPTCHA. Dla testów zaznaczmy tylko komentarze, choć jak widzimy możemy zabezpieczyć także wiele innych formularzy, jak formularz logowania do WordPressa czy nawet formularz resetu hasła.

Poniżej znajdziemy również kilka dodatkowych opcji umożliwiających bardziej zaawansowaną konfiguracje wtyczki. Możemy ustawić własny komunikat błędu, różne opcje związane z wyglądem reCAPTCHA, czy ustawić opcję, że test nie będzie się pojawiał dla zalogowanych użytkowników, bądź dla wybranych adresów IP.

Jeśli wszystko poszło sprawnie, przy naszym formularzu kontaktowym pojawi się okienko z Google reCAPTCHA do wypełnienia tudzież kliknięcia. Oczywiście jeśli wybraliśmy wersje v2.

Tylko wtyczki i wtyczki

Wiem, wiem, tylko wtyczki polecam. Jednak wtyczkami WordPress stoi i jak dla mnie, jest to jego duża zaleta. Możemy zrobić coś szybko i sprawnie. I nawet bez znajomości php, baz danych, java script, react i innych ciekawych nazw. I o to między innymi chodzi w WordPressie. By każdy mógł z niego korzystać i stworzyć swoją stronę w Internecie. Każdy na swój sposób, czasem lepiej, czasem gorzej. Ale jednak.

Choć kto wie, może napiszę jeszcze kiedyś wpis o walce ze spamem bez użycia wtyczek…

Jestem ciekaw i chętnie poszerzę horyzonty jak wy, moi mili, bronicie się przed spamem na swoich stronach?

Photo by Pau Casals on Unsplash

3 komentarze

  1. Korzystałam na samym początku z Aksimeta, ale coś tam nie do końca mi grało. Później przerzuciłam się na Disqus, więc problem zniknął. Musiałam także i z tego zrezygnować, bo blog się zaczął komercjalizować. Teraz korzystam z Antispam Bee i właściwie zapomniałam czym jest spam w komentarzach! 🙂

    • Moim zdaniem bardzo dobry wybór. I jak widać skutecznie działający. PS. Sałatka lubej smakowała 😉

  2. Akismat nie ma sensu, można b=stosować Bee lub smart pluginy co wyłapują to bardzo skutecznie.

Write A Comment