WordPress: difendersi dagli sploggers

WordPress: difendersi dagli sploggers

di Pubblicato: 10 febbraio 2015 Aggiornato: 21 maggio 2016 0 commenti

Ok, difendersi da che?! Gli sploggers sono una piaga uguale agli spammers. I secondi più o meno si possono facilmente riconoscere, spesso sono BOT e si divertono a lasciare commenti negli articoli dove offrono, attraverso il nostro sito, pillole blu, scarpe contraffatte e chissà cos’altro. Tuttavia il fenomeno è praticamente nullo grazie ad Askimet, il plugin della Automattic (ovvero i creatori di WordPress) che gratuitamente offre un servizio di controllo antispam molto efficace. In parte perché lo spammer deve per forza utilizzare dei metodi rigidi che si possono facilmente intercettare; e quelli che scappano esiste il metodo “sociale“, ovvero è possibile segnalare il commento come SPAM. La segnalazione viene ricevuta da Askimet e siccome è probabile che avvenga da più fonti nel giro di un minuto o poco meno, il commento diventa SPAM a livello mondiale. Quindi inefficace. Al momento in cui scrivo Askimet ha protetto il mio sito da oltre 120 mila commenti fasulli. Non male!

Ok, ma l’articolo parla di sploggers.. Gli sploggers sono più sfuggenti, perché il loro scopo è quello di registrarsi presso un sito di WordPress, BBpress o BuddyPress per due ragioni. Una è quella di cercare di accreditarsi come utente verificato di un sito e quindi diventare uno spammer cercando di bypassare (per altro senza riuscirci poiché il sistema come abbiamo detto è efficiente) e l’altro è quella di rendere in difficoltà il sistema con una overload di registrazioni. Anche in questo caso l’effetto risulta nullo poiché tali exploit sono stati da tempo neutralizzati.

Tuttavia l’overload di registrazioni è una rottura di scatole, poiché tende a gonfiare inutilmente il peso del database ed anche l’utilizzo delle tabelle utente a fronte di un login può rallentare. Non ultimo i malintenzionati hanno comunque potenzialmente messo un piede nel sistema attraverso una login che permette di accedere, seppure con un livello minimale, alla nostra interfaccia di amministrazione.

Va specificato che l’overload di registrazioni in realtà non va mai a termine nel 98% dei casi. WordPress utilizza un metodo molto intelligente di registrazione, chiede di creare una username e fornire un indirizzo e-mail. Fine. Alla mail indicata verrà inviata una password creata dal sistema. Questo permette di ottenere che quello specifico profilo sia veramente abbinato a quell’indirizzo di posta. Nel caso delle registrazioni fasulle anche le mail lo sono, per cui i profili creati in realtà sono profili zombie.

Il rovescio della medaglia è che Askimet non sarà efficace in questo secondo caso, una username e una mail potrebbero comunque essere valide. In questo caso possiamo intervenire noi stessi. Ovviamente se il sito non necessita di utenti esterni è inutile abilitare la registrazione utente, ma se avete un forum come BBPress le cose sono diverse. Dalle analisi che ho effettuato risulta che gli sploggers siano riconducibili sempre dalle stesse nazioni, in particolare mi riferisco alla Federazione Russa e la Cina. Se come è probabile state leggendo questa pagina, siete italiani e per una consecuzio-logica è abbastanza probabile che del pubblico Russo e Cinese no vi possa fregare granché.

Utilizzando .htaccess di Apache potremo escludere tutti gli IP delle due nazioni. In realtà noi agiremo sulle subnet riferibili a questi stati. Il risultato sarà una sonora pernacchia informatica quando un utente si collegherà da quella nazione.

Per procedere basterà andare sulla pagina di questo sito, che offre la possibilità di selezionare i vari stati da cui provengono gli splogger, e vi creerà al volo il codice da immettere dentro il file .htaccess.

Questa soluzione ovviamente invalida l’intero accesso al vostro sito, se si vuole limitare solo alle pagine di login e registrazione

<Location /pagina>
Order Deny,Allow
deny from nn.nn.nn.0/24
allow from all
</Location>

Le pagine di registrazione, ad esempio quelle di BBpress e BuddyPress possono essere personalizzate nelle URL. Quella di WordPress in genere è wp-register.

Esistono plugin che permettono di raggiungere gli stessi risultati, e sicuramente sono di attuazione più semplice rispetto che mettere mano al file .htaccess, tuttavia è da tenere conto che Apache ha la possibilità di operare ben prima di un plugin, e senza che l’intero sito subisca un carico di lavoro extra.

Vuoi dire o aggiungere qualcosa?

sezione commenti aperta al pubblico

Non ci sono ancora commenti!

Puoi essere il primo a commentare.

Rispondi