Вопрос не касается конкретно форума PrimeForum и его функционала. Начал смотреть в направлении антиспама и понял, что для форума не просто найти золотую середину при открытых постах.
1. Премодерация, годится только для тем и сомнительное решение в целом. оставить можно только для мутных юзеров(как функционал, под наблюдение)
2. Akismet и подобные сервисы для форума живого просто убийственны.
3. Гуглосервисы конечно вариант, но пробиваемы и уже региональны в связи с политикой конфиденциальности в странах. На живых форумах и трендовых сайтах не спасут и тд и тп. Обещают всякие новые решения в сто факторов и тд, но... Плюс тупо отбивают желание запостить после 10 картинок)
4. Вопросы и математика, пробиваются.
5. Популярные плагины, пробиты.
6. Платные не всем по карману и нужны.
7. СМС думаю перебор для форумов.
8. Свои хитрые мастерить, понятно, не вариант.
9. Скрытые поля
Вот хотелось бы именно узнать мнение по скрытым умным полям, обслуживаемым скриптами. И капчи нет и не пройти, время не тратится, нервы в порядке. Я пока не очень понимаю механику.
Ну у меня в форме регистрации есть скрытое поле nickname - более чем за год всего 1-2 бота регались (ну которые что-то писали)
А по механике все просто - создаешь поле, скрываешь его через css и при публикации проверяешь POST запрос с темой/ответом - если поле заполнено отклоняешь
Я за гуглокапчу. Скрипт работает - php, да и весь двиг вордпресса, даже не шевелится при этом.
Скрытые поля пробивали на раз (и когда их не надо ставить - скрытые, и когда надо ставить - открытые) - поэтому я гуглокапчу и впаял. Движение врага прекратилось. А то одно время блицкриг начался. Но это все опыт по левым регистрациям. Публиковать имеют право только залогиненные юзеры - для них механизм защиты "я не бот" и только на входе на сайт.
Гуглокапча вариант однозначно, по крайней мере один из не самых простых для спамеров. Но если форум выйдет на ядро пользователей и соответственно будет в топах, не спасет. Хотя зачем там вообще тогда открывать посты для всех))
Все же я заинтересовался темой с полями, аяксом их обслуживающим и возможно сбором чего то из них. Пока кроме формулирования дело не ушло никуда, но надеюсь уйдет))
garry сказал(а)
Все же я заинтересовался темой с полями, аяксом их обслуживающим и возможно сбором чего то из них. Пока кроме формулирования дело не ушло никуда, но надеюсь уйдет))
- аякс дергает движок ВП всякий раз как его вызывают. А это боль для работоспособности сайта.
Я в момент, когда и этот сайт долбили левые реги, и резко начали и мой долбить - перепробовал кучу вариантов, где то тут мы с кем то их обсуждали... В общем ниодин способ не останавливал ботов. Гугл капча их остановила. Андрей и описывал внедрение гуглокапчи к форме регистрации
Пока это самый действенный способ - если поведенческие факторы в норме - то даже картинки гугл не покажет тебе. Просто поставь галку (это по рекапче). А невидимая еще проще.
Ajax - из пушки по воробьям... Или нет - из рогатки по инопланетянам. А js защита инпутов и кнопки отправки - боты бьют, проверял
Otshelnik-Fm сказал(а)
Ajax - из пушки по воробьям... Или нет - из рогатки по инопланетянам. А js защита инпутов и кнопки отправки - боты бьют, проверял
Понял, буду смотреть тогда все возможные реализации гуглокапчей. Invisible мне как раз очень нравится, я ее испытывал и да реги убила спамеров и умников. Посмотрю, что по ней вообще есть в манах гугла.
И так, после кучи всевозможных экспериментов с видимыми и невидимыми капчами где только можно, не останавливают они больше спам реги. Проверял на пяти сайтах разной направленности. Где есть возможность и присутствуют стандартные поля в зоне видимости, появляется конечно в них хрень с сайтами и тд.
Подтверждение мыла останавливает примерно 50% и конечно их видно, но в итоге все равно пробивается.
В целом профиль WP-Recall не удобен для спам ботов и ручного, по этому спасает на 100%, да и всегда можно подстраховаться robots.txt.
Двух факторная регистрация конечно убивает реги не нужные, но не для всех сайтов.
Инвайтинг убивает на 100% и спам и все вообще такого рода, опять же не для всех сайтов.
Вывод прост, при использовании на сайте только профиля WP-Recall проблем в принципе нет ни каких со спамом.
остается только один вопрос, как удалять или какое условие взять за основу удаления пустых рег. Так как подтверждение не вариант из за разных причин.
Что то типо не активности за 10 дней, спорно конечно, просто вариант.
У которых не было входа за 5 дней сразу удаление без рассмотрения.
выше только варианты и хотелось бы идей))
Можно конечно оттолкнуться от чего то такого
И кстати, сейчас очень активно работает антикапча сервисы и сервис.
Игорь - регистрация работала как в плагине WP-Recall так и в вордпресс форме (файл wp-login.php)?
Смотри с версии 15.7.0 можно отключить регистрацию вордпресса в настройках сайта, а фильтром включить ее для WP-Recall
(самый первый сниппет)
Такой эксперимент не проводил?
По поводу удаления не активных юзеров - если у них нет никакой активности, пополнения баланса, рейтинга, покупок - то в правилах можно прописать подобное и удалять.
Но зачем? Они вроде есть не просят. Таблица wp_users работает быстро и я думаю даже если там 100 тыс строк - она будет отрабатывать быстро. Недавно на тостере читал как там разбирали вопрос с 5 миллионами строк - и современные бд, как пишут комментаторы, успешно работают и с таким количеством полей -
Я не совсем понимаю зачем нужны дерганья из-за сотки-тысячи неактивных юзеров?
Владимир, спасибо за инфу.
Нет с отключением не проводил эксперимент, сделаю.
Я как раз и думал про разрастание бд не нужное, но теперь видимо брошу эту муть. И еще конечно была мысль про старые добрые времена, когда такая рега позже использовалась по спаму профилей форумов. База набирается, потом обрабатываются условия и поля, начинается спам по готовым аккам.
Но в случаи с WP-Recall профилем это в принципе не самое актуальное, точнее вообще не актуально)
Хотел написать, что все ок и метод с отключением шикарно работает. Собственно так и было, но для очистки совести и чистоты эксперимента включил все обратно и с гугло капчей как и было везде.
В итоге и тут тишина, видимо просто пока утихло. Появится повторю эксперимент с чем только можно.
Резюмирую полученные результаты по спам ботам и регистрациям.
1.
Otshelnik-Fm сказал(а)
Вы не можете просматривать опубликованные ссылки(самый первый сниппет)
Работает + reCAPTCHA, не важно видимая или не видимая
2. WP-Recall + reCAPTCHA - работает при изменении страниц входа и настройки так же гуглокапчи на страницах wp
3. reCAPTCHA - работает на wp при настройках для регистрации, входа и тд., но пробивается ручным и походу ботами иногда и профиль заполняется.
4. Топовые плагины капч - пробиты все и не работают, включая математическую (с адекватными настройками).
5. Плагин WP Cerber Security - работает в любых конфигурациях входа и регистрации с использованием WP-Recall и без. reCAPTCHA на борту и сразу интегрируется из коробки в WP-Recall. Дополнительно изменить страницу входа и регистрации в нем же и включить антиспам функции. В статистике видно все и можно работать с ней по безопасности. Идеальное решение в связке с WP-Recall
6. WP-Recall профиль не заполняется ботами, поля сайт и тд не умеют обрабатывать. В чистом wp сразу заполняются. Отсюда не страшны спам реги.
7. Вход из соц сетей ботами отлично убивается плагином uLogin, точнее включением в настройках "Согласие пользователя с политикой конфиденциальности"
Остались ручные реги и сервисы антикапча, тут ничего не сделать, только "Понять и простить" 🙂
Я выбрал WP-Recall + WP Cerber Security.
Тоже установил Cerber. Очень даже достойный плагин, особенно статистика! Но спам-регистрации, хотя включена гуглокапча, победить на 100% не удается. Примечательно, что риги идут, в основном, с наших почтовых серверов mail и yandex.
Кстати, кто знает, есть ли на WP решение, которое могло бы удалять не активированных пользователей через n-время?..
Небольшое дополнение к теме антиспама.
Плагины типа и включая uLogin пробиты со всеми галочками, требованиями почты и другими извратами.
Заполняется профиль WP спамом, плюс комменты на один два урла на сайте. При установленном WP-Recall профиль чистый и как следствие комментов нет, из неудобств лишняя запись в базу о спам реге, но думаю не сложно при желании руками убить или выше плагин настроить.
Последние обновления WP Cerber Security сделали из него монстра аж со своим движком антиспама и кучей опций. Из практики все плагины из этой серии ставшие комбайнами, не делают до конца нормально ни один заявленный пункт.
Решил проверить, с разных IP кривых и прямых, плюс ошибок в реге по условиям выставленным.
В итоге, в массе случаев пишет, что регистрация по таким то условиям и ip отклонена в админке, по факту без проблем входишь.
Антиспам вообще не понятно как работает и что он там сравнивает и с какой базой и где там интеллект, когда даже ссылки можно постить в комменты в обход защиты другой от wp.
Но в логах все красиво и ты чувствуешь себя защищенным 🙂
Снес и по итогу сколько было рег, столько и осталось и это при том, что еще и гугло капчу отключил как опция была цербера.
А такой классный был плагин с несколькими опциями, с которыми справлялся на ура.
В продолжении темы: на закладке "Антиспам" включили опцию "Защитить все формы на сайте через определение ботов" и у меня почему-то перестал собирать статистику плагин TOP10. При том, ни в консоле разработчика, ни в файле ошибок сервера, следов никаких нет.
В общем, методом научного тыка исключений выявил "зловреда". Пока висит плагин, посмотрю за работой.
Последние обновления
Вы не можете просматривать опубликованные ссылкисделали из него монстра аж со своим движком антиспама и кучей опций. Из практики все плагины из этой серии ставшие комбайнами, не делают до конца нормально ни один заявленный пункт.
Решил проверить, с разных IP кривых и прямых, плюс ошибок в реге по условиям выставленным.
В итоге, в массе случаев пишет, что регистрация по таким то условиям и ip отклонена в админке, по факту без проблем входишь.
Антиспам вообще не понятно как работает и что он там сравнивает и с какой базой и где там интеллект, когда даже ссылки можно постить в комменты в обход защиты другой от wp.
Но в логах все красиво и ты чувствуешь себя защищенным
Снес и по итогу сколько было рег, столько и осталось и это при том, что еще и гугло капчу отключил как опция была цербера.
А такой классный был плагин с несколькими опциями, с которыми справлялся на ура.
Игорь, что же тогда сейчас Вы используете против спама?
Леонид Николаевич сказал(а)
Игорь, что же тогда сейчас Вы используете против спама?
Отключена регистрация в самом wp и включена как описано тут в первом сниппете
// включим регистрацию реколл когда в настройках вордпресса она отключена
function dd3_open_rcl_register(){
$option = 1;
return $option;
}
add_filter('rcl_users_can_register','dd3_open_rcl_register');
Плюс рекапча, описание
