Difendersi dal “Comment Spam”

16 December 2006 » In informatica

E’ da un paio di giorni che il blog è bersagliato da pesanti dosi di comment spam, ho ricevuto qualche centinaio di email di notifica che mi segnalavano nuovi commenti ai post e tutto questo non va bene. Per fermare subito il problema e cercare la soluzione migliore con calma ho disabilitato la possibilità di inserire commenti ai post ed ho anche rinominato la pagina wp-comment-post.php in modo che non arrivassero comunque richieste di inserimento visto che questi attacchi sono fatti tramite script automatici. Ho poi cominciato ad analizzare il problema, che fino a questo momento non mi toccava più di tanto visto che da quando ho aperto il blog avrò ricevuto al massimo 5 commenti di spam, partendo dagli strumenti che già sono offerti dal Wordpress.

• Innanzitutto richiedere la moderazione di tutti i commenti (cosa che già ho) e non solo per quelli che hanno più di n link (con n configurabile) o per quelli che contengono una delle parole elencate come indicatrici di spam (Options -> Discussion -> Comment Moderation). Abbiamo risolto il problema di vedere commenti su commenti inutili inseriti nel blog. Però tocca spulciarli per vedere se nel mezzo c’è qualcosa di realmente interessante, pubblicare i commenti veri e marcare come spam gli altri se vogliamo tenerli nel database (per alimentare qualche plugin) o eliminarli dal tutto. Altro problema non da poco: se avete abilitato la notifica di ricezione commenti la vostra mailbox verrà inondata da inutili email.
• La stessa lista di parole può essere usata per il Comment Blacklist (Options -> Discussion -> Comment Blacklist). In questo caso tutti i commenti che contengono una parola inserita in tale lista vengono subito marcati come spam e non verrà inviata alcuna notifica di tale ricezione. I messaggi marcati come spam resteranno sul database per educare eventuali plugin antispam. Questa soluzione evita i problemi delle notifiche ricevute a raffica e di dover marcare i commenti inutili come spam. Cosa succede però in caso di falsi positivi? Il commento è andato visto che al momento non possiamo gestirli direttamente per eliminare la marcatura come spam. Quindi fate molta attenzione alle parole che inserite nella lista tenendo un occhio di riguardo per il linguaggio (eventualmente) che ha a che fare con i temi del vostro blog.
• Al punto precedente abbiamo cominciato a parlare di plugin che ci permettono di gestire tutti i commenti e che “imparano” seguendo le indicazioni date dall’utente che amministra i commenti. E’ il caso di Akismet che viene già fornito nell’installazione base di Wordpress (disabilitato). Per abilitarlo c’è bisogno di una API-Key. Se avete il vostro blog installato da qualche altra parte rispetto ai server di wordpress.com per avere tale chiave l’unico modo è quello di registrarsi al sito per ottenere un blog e la chiave e poi eliminare il blog appena creato. Attenzione che la cancellazione del blog non rende nuovamente disponibile il nome del blog per il futuro (sui server wordpress.com chiaramente). Ora che abbiamo attivato il plugin Akismet possiamo gestire i commenti marcati come spam, infatti per 15 giorni essi vengono mantenuti sul database per essere eventualmente segnalati come non spam o per essere eliminati manualmente (tutti con un solo click). Ora abbiamo il controllo automatico sullo spam, possibilità di segnalare falsi positivi per migliorare i filtri e quindi il servizio, risolto il problema delle inutili email di notifica, possiamo eliminare tutti i commenti di spam con un singolo click.

Alcuni spunti per documentarsi:

• Spam words
• Combattere il “comment spam”
• API-Keys (1)
• API-Keys (2)
• Akismet e API-Keys
• Akismet

UPDATE: il sistema funziona benissimo e nonostante sia ancora sotto attacco viene tutto marcato come spam e con 1 solo click posso eliminare i commenti inutili. Ho anche escluso dalle statistiche la pagina wp-comments-post.php giusto per non “sballare” tutti i dati.

Commenti