Ce mois-ci, la réunion de l'WPToronto Est s'est concentrée sur la sécurité et la vie privée. Don Tai a fait une présentation détaillée sur la lutte contre le spamWordPress, qui a suscité des discussions animées sur toutes sortes de sujets connexes.
Il y a des années, Don a été contacté par son hébergeur. Il a été dit que son site utilisait trop de ressources, en dépit d'être un blog personnel simple. Ils ont même menacé de fermer son site si le problème n'était pas corrigé.
C'est là que sa croisade contre le spam commentaire a commencé.
Vous pouvez télécharger les diapositives ou trouver les plats à emporter ci-dessous.
Pourquoi les spammeurs ciblent-ils votre site?
Ça dépend. Vous ne pouvez pas dire ce que leur intention est. Mais nous savons qu'il affecte toutes sortes de sites Web. Blogs personnels, boutiques en ligne, sites Web corporatifs... personne n'est exempté d'être frappé par des spammeurs.
Quels types de spam y a-t-il?
Nous avons examiné trois types de spam dans la présentation: le spam de commentaire, le spam de referrer, et le spam fantôme.
Commentaire spam est le plus évident. Don a appelé "les organisations de marketing SEO" comme les délinquants particulièrement mauvais. Ils laissent des commentaires avec un texte non-sens et des liens pointant vers le site qu'ils ciblent.
Si vous utilisez un plugin comme AkismetCes commentaires seront signalés et filtrés dans le dossier "Spam" de l'écran "Commentaires" de WordPress.
Spam referrer est une forme nature plus sournoise de spamming SEO. Les spammeurs ont frappé votre site avec une fausse URL définie comme le referrer. Si les moteurs de recherche explorent les journaux d'accès de votre site, ils analysera également les fausses URL.
Le but avec le spam referrer est de (en quelque sorte) augmenter le classement de recherche d'un site en ayant des backlinks des logs d'accès du site ciblé.
Ghost spam est même sneakier. Avec le spam fantôme, les spammeurs utilisent votre identifiant Google Analytics (souvent généré aléatoirement) et frappent les serveurs GA. Google met en corrélation l'URL fournie par le spammeur avec votre identifiant Google Analytics, de sorte que l'URL apparaît dans vos rapports Google Analytics, même si le spammeur n'a jamais réellement visité votre site. (D'où c'est un fantôme!)
L'objectif est de piquer votre curiosité et de vous faire cliquer sur ces URL suspectes. Et bien que ce soit assez mauvais, le fait que ces "visites" gonflent artificiellement vos numéros de trafic ajoute un peu d'insulte à la blessure.
Connexe: Stop Ghost spam dans Google Analytics (moz)
Pourquoi devrions-nous nous soucier du spam?
Votre site pourrait être pénalisé par Google ou d'autres moteurs de recherche pour relier à de mauvais sites Web.
Le spam peut gonfler artificiellement vos rapports analytiques, affectant les décisions importantes qui reposent sur les données d'analyse.
Les spammeurs peuvent mettre de la pression inutile sur votre hébergement, ce qui affecte les performances de votre site (par exemple, les temps de chargement) et vous coûte de l'argent (par exemple, payer pour un plan d'hébergement plus gourmand en ressources).
Dans sa présentation, Don a mentionné qu'environ 50% de tout le trafic Web provient de bots. De cela, environ 30% est malveillant. Quelles seraient les améliorations de performance si vous pouviez identifier et arrêter que 30% du trafic malveillant?
«Le spam est comme le médicament de passerelle pour déplacer vers le haut de la chaîne, tester la sécurité de vos plugins, et pénétrer dans votre site.»
Au début, le spam peut sembler être un problème trivial. Mais comme les spammeurs poke et prod votre site, ils peuvent également être à la recherche d'autres failles de sécurité à exploiter.
Cela conduit à des problèmes comme les infections de logiciels malveillants ou des résultats de recherche détourné. Ceux-ci sont significativement plus nocifs que le spam seul. Mais le spam est là où il commence.
Connexe: qu'est-ce que le site Malware? SiteLock
WordPress est très populaire pour la création de sites web. C'est donc aussi une cible très populaire pour les spammeurs et les pirates informatiques.
Il y a quelques années, WordPress les sites web ont été ciblés par un exploit dans XMLRPC. Avant cela, Timthumb. php était une cible populaire.
Les méthodes utilisées pour détecter ces failles de sécurité (exploration et numérisation de sites Web) sont les mêmes que celles que les spammeurs utilisent. Donc, ce que nous faisons pour lutter contre les spammeurs peut également être utile pour lutter contre les attaques plus agressives.
N'oubliez pas les journaux d'accès bruts.
Les journaux d'accès bruts fournissent une transcription complète de tout le trafic qui frappe votre site Web. Il est beaucoup plus complet que tout ce que vous trouverez des goûts de Google Analytics.
Si vous êtes sur un fournisseur d'hébergement partagé, vous pouvez afficher vos journaux d'accès via cPanel. (Si vous ne savez pas où rechercher les journaux d'accès pour votre site, vérifiez auprès de votre fournisseur d'hébergement.)
Don suggère de télécharger votre journal d'accès brut, puis de l'ouvrir dans un outil de feuille de calcul comme Microsoft Excel ou Google Sheets. Vous verrez des colonnes qui correspondent à:
- Adresse IP ou nom d'hôte accédant à votre site
- Heure et date de connexion
- La ressource qu'ils ont essayé de charger ou télécharger
- Le succès ou l'échec de leur tentative de connexion
- La quantité de données utilisées
- Ce qu'ils ont téléchargé
- Leur ID de référent (spoofable)
- Leur agent utilisateur, par exemple le navigateur utilisé (également usurable)
En relation: récolte cPanel RAW accès logs (périssables presse)
En corrélant ces données avec d'autres informations, comme celles que vous trouverez dans votre dossier de commentairesWordPress, vous comprendrez mieux ce que font les spammeurs sur votre site.
Par exemple, ils peuvent être l' exploration de votre site à partir d'une adresse IP, puis la publication d'un commentaire de spam à partir d'une autre adresse IP.
Comment pouvez-vous arrêter les spammeurs?
La première étape consiste à installer un plugin de sécurité. Sécurité iThemes Et Wordfence sont deux options recommandées. Jetpack inclut également des fonctions de sécurité («Jetpack Protect»).
Remarque: Lisez la documentation pour les plugins de sécurité! Vous pouvez accidentellement vous verrouiller hors de votre propre site. (Par exemple, se terminant sur une liste noire et nécessitant un changement de DB direct pour corriger.)
Ensuite, assurez-vous que vous avez installé et activé Akismet. Cela vous aidera à filtrer le spam de commentaire de votre site.
Considérer désactivation de XML-RPC au total. Vous perdrez certaines fonctionnalités des applications qui reposent sur XML-RPC, mais comme la prise en charge de l'API REST grandit, cela devient moins préoccupant.
Enfin Robots collecteurs de bloc GM est un WordPress plugin qui filtre le spam fantôme/référent connu de vos rapports Google Analytics.
De là, vous pouvez commencer à escaliner votre sécurité avec des tactiques plus agressives.
Une méthode consiste à interdire les adresses IP qui sont connues pour être malveillants. Les deux iThemes sécurité et Wordfence ont des listes de «quartiers mauvais» qu'ils comptent sur lors de la détermination des IPs à bloquer.
Malheureusement, l'interdiction de propriété intellectuelle peut affecter les utilisateurs innocents. Si vous êtes frappé avec beaucoup de trafic de spam de la Russie, par exemple, vous pouvez être tenté de bloquer toutes les adresses IP russes. Si vous n'avez aucun intérêt pour les gens de la Russie étant en mesure de visiter votre site, cela ne devrait pas être un problème. Mais que faire si vous êtes blogging en russe?
En outre, comme l'IPv6 ne se mappait pas à la géographie, l'idée de «bloquer» des régions spécifiques ne fonctionne pas.
Une autre méthode populaire consiste à surveiller et filtrer le trafic entrant. Cloudflare est un service populaire de 3ème partie qui fait ceci. Si cloudflare détecte un comportement suspect, il peut demander au visiteur du site de prendre des mesures spécifiques pour se rendre sur le site.
Malheureusement, ces types de contrôles de sécurité ne sont pas parfaits, et peut conduire à des utilisateurs innocents se bloque de votre site.
Restez vigilants. La guerre contre le spam ne finira jamais.
Il n'y a aucun moyen d'arrêter complètement les spammeurs. Ils continueront à concevoir de nouvelles façons de frapper nos sites. Le mieux que nous puissions faire est de prendre des précautions, de rester vigilant et d'utiliser de nouvelles solutions dès qu'elles sont disponibles.
Merci encore à Don Tai pour la présentation de ce mois! Avez-vous des conseils pour lutter contre le spam? Laissez vos recommandations dans les commentaires ci-dessous.
Crédit image: Mike Mozart via Flickr
Grande revue de la réunion! Je vais fournir la présenta tion à Andy très prochainement.