La reunión de este mes en el WPToronto Este se centró en la seguridad y la privacidad. Don Tai compartió una presentación en profundidad sobre la lucha contra el spam en WordPress, que impulsó una animada conversación sobre todo tipo de temas relacionados.
Hace años, Don fue contactado por su proveedor de hosting. Le dijeron que su sitio estaba usando demasiados recursos, a pesar de ser un simple blog personal. Incluso amenazaron con cerrar su sitio si el problema no se solucionó.
Ahí es donde comenzó su cruzada contra el spam de comentarios.
Puede descargar las diapositivas o encontrar las conclusiones a continuación.
¿Por qué los los spammers apuntan a su sitio?
Depende. No se puede decir cuál es su intención. Pero sí sabemos que afecta a todo tipo de sitios Web. Blogs personales, tiendas online, sitios web corporativos... nadie está exento de ser golpeado por los spammers.
¿Qué tipos de spam hay?
Vimos tres tipos de spam en la presentación: spam de comentarios, spam de referente y spam fantasma.
El spam de comentarios es el más obvio. Don llamó a "organizaciones de marketing SEO" como delincuentes particularmente malos. Dejan comentarios con texto sin sentido y vínculos que apuntan hacia el sitio al que están apuntando.
Si utilizas un plugin como AkismetEstos comentarios serán marcados y filtrados en la carpeta de Spam en la pantalla de comentarios en WordPress.
El spam referente es una forma más de spam de SEO. Los los spammers golpean su sitio con una URL falsa definida como el referente. Si los motores de búsqueda rastrean los registros de acceso de su sitio, también rastreará las URL falsas.
El objetivo con el spam de referencia es (de alguna manera) aumentar el ranking de búsqueda de un sitio al tener backlinks desde los registros de acceso del sitio objetivo.
El spam fantasma es incluso más escurridizador. Con el spam fantasma, los los spammers utilizan su ID de Google Analytics (a menudo generados aleatoriamente) y golpean los servidores de GA. Google correlaciona la URL proporcionada por el spammer con su ID de Google Analytics, por lo que la URL aparece en sus informes de Google Analytics, aunque el spammer nunca visitó realmente su sitio. (¡ De ahí que sea un fantasma!)
El objetivo es despertar su curiosidad y hacer clic a través de estas URLs sospechosas. Y si bien eso es bastante malo, el hecho de que estas "visitas" inflan artificialmente sus números de tráfico añade un poco de insulto a la lesión.
Relacionado: detener el spam fantasma en Google Analytics (moz)
¿Por qué nos importa el spam?
Su sitio podría ser penalizado por Google u otros motores de búsqueda para vincular a sitios web defectuosos.
El spam puede inflar artificialmente sus informes de análisis, afectando a decisiones importantes que dependen de los datos de análisis.
Los spammers pueden poner presión innecesaria en su Hosting, lo que afecta el rendimiento de su sitio (por ejemplo, tiempos de carga) y le cuesta dinero (por ejemplo, pagar por un plan de hosting más intensivo de recursos).
En su presentación, Don mencionó que aproximadamente el 50% de todo el tráfico web proviene de bots. De eso, aproximadamente 30% es malicioso. ¿Cuáles serían las mejoras de rendimiento si pudiera identificar y detener ese 30% del tráfico malintencionado?
"El spam es como la droga de la puerta de entrada para subir la cadena, probar la seguridad de sus plugins y irrumpiendo en su sitio."
Al principio, el spam puede parecer un problema trivial. Pero a medida que los los spammers empujes y pican su sitio, también pueden estar buscando otros agujeros de seguridad para explotar.
Eso conduce a problemas como las infecciones de malware o los resultados de búsqueda secuestrados. Estos son significativamente más dañinos que el spam solo. Pero el spam es donde comienza.
Relacionado: ¿Qué es el malware del sitio web? SiteLock
WordPress es muy popular para construir sitios web. Lo que significa que también es un objetivo muy popular para los spammers y hackers.
Hace un par de años, WordPress los sitios web fueron blanco de un exploit en XMLRPC. Antes de eso, TimThumb. php era un objetivo popular.
Los métodos utilizados para detectar estos agujeros de seguridad (rastreo y escaneo de sitios web) son los mismos métodos que usan los los spammers. Así que lo que hacemos para combatir a los los spammers también puede ser útil en la lucha contra ataques más agresivos.
No se olvide de los registros de acceso sin procesar.
Los registros de acceso sin procesar proporcionan una transcripción completa de todo el tráfico que llega a su sitio Web. Es mucho más completo que cualquier cosa que encuentres de la talla de Google Analytics.
Si estás en un proveedor de hosting compartido, puede ver los registros de acceso a través de cPanel. (Si no sabe dónde buscar los registros de acceso para su sitio, consulte con su proveedor de hosting.)
Don sugiere descargar su registro de acceso sin procesar y luego abrirlo en una herramienta de hoja de cálculo como Microsoft Excel o Google Sheets. Verás columnas que corresponden a:
- IP o nombre de host accediendo a su sitio
- Fecha y hora en que se conectaron
- El recurso que intentó cargar o descargar
- El éxito o fracaso de su intento de conexión
- La cantidad de datos que usaron
- Lo que descargaron
- Su ID de referente (falsible)
- Su agente de usuario, por ejemplo, navegador utilizado (también falsible)
Relacionado: recolección cPanel registros de acceso RAW (prensa perecedera)
Al correlacionar estos datos con otra información, como lo que puedes encontrar en tu carpeta de spam de WordPresscomentarios en , obtendrás una mejor comprensión de lo que los spammers están haciendo en tu sitio.
Por ejemplo, pueden rastrear su sitio desde una dirección IP y luego publicar un Comentario de spam desde otra dirección IP.
¿Cómo puedes detener a los spammers?
El primer paso es instalar un plugin de seguridad. iThemes Security Y Wordfence son dos opciones recomendadas. Jetpack también incluye funciones de seguridad ("Jetpack Protect").
Nota: Lea la documentación de plugins de seguridad! Usted puede bloquear accidentalmente fuera de su propio sitio. (Por ejemplo, terminando en una lista negra y requiriendo un cambio directo de DB para arreglar.)
A continuación, asegúrese de que ha instalado y activado Akismet. Esto ayudará a filtrar el spam de comentarios de su sitio.
Considerar deshabilitar XML-RPC en conjunto. Perderá alguna funcionalidad de las aplicaciones que dependen de XML-RPC, pero a medida que aumenta la compatibilidad con la API de REST, eso es cada vez menos preocupante.
Finalmente GM Block bots es un WordPress plugin que filtra el spam conocido de los informes de Google Analytics.
Desde allí, puedes comenzar a escalar tu seguridad con tácticas más agresivas.
Un método es prohibir las direcciones IP que se sabe que son maliciosos. Tanto iThemes Security como Wordfence tienen listas de "vecindarios malos" en los que confían para determinar qué IPs bloquear.
Lamentablemente, la prohibición de la P.I. puede afectar a usuarios inocentes. Si usted está recibiendo golpeado con una gran cantidad de tráfico de spam de Rusia, por ejemplo, usted puede ser tentado a bloquear todas las direcciones IP rusas. Si no tiene interés en que las personas de Rusia puedan visitar su sitio, esto no debería ser un problema. ¿Pero qué pasa si estás blogueando en ruso?
Además, dado que IPv6 no se asigna a la geografía, la idea de "bloquear" regiones específicas no funciona.
Otro método popular es monitorear y filtrar el tráfico entrante. CloudFlare es un servicio popular 3ª parte que hace esto. Si CloudFlare detecta un comportamiento sospechoso, puede pedirle al visitante del sitio que tome medidas específicas para llegar al sitio.
Lamentablemente, estos tipos de comprobaciones de seguridad no son impecables y pueden provocar que los usuarios inocentes se bloqueen de su sitio.
Mantente alerta. La guerra contra el spam no terminará nunca.
No hay forma de detener a los los spammers por completo. Seguirán ideando nuevas formas de golpear nuestros sitios. Lo mejor que podemos hacer es tomar precauciones, estar alerta y usar nuevas soluciones a medida que estén disponibles.
¡ Gracias de nuevo a Don Tai por presentar este mes! ¿Tienes algún consejo para combatir el spam? Deje sus recomendaciones en los comentarios a continuación.
Crédito de la imagen: Mike Mozart a través de Flickr
Gran revisión de la reunión! Voy a proporcionar la presentación a Andy muy pronto.