L'incontro di questo mese a WPToronto est si è concentrato sulla sicurezza e la privacy. Don Tai ha condiviso una presentazione approfondita sulla lotta allo spam in WordPress, che ha stimolato una vivace conversazione su ogni sorta di argomenti correlati.
Anni fa, Don è stato contattato dal suo fornitore di hosting. Gli fu detto che il suo sito utilizzava troppe risorse, nonostante fosse un semplice Blog personale. Hanno persino minacciato di chiudere il suo sito se il problema non fosse stato risolto.
È qui che è iniziata la sua crociata contro i commenti spam.
È possibile scaricare le diapositive o trovare i Take-away qui sotto.
Perché gli spammer si rivolgono al tuo sito?
Dipende. Non si può dire qual è il loro intento. Ma sappiamo che colpisce tutti i tipi di siti Web. Blog personali, negozi online, siti Web aziendali... nessuno è esente dall'essere colpito dagli spammer.
Quali tipi di spam sono presenti?
Abbiamo esaminato tre tipi di spam nella presentazione: commenta spam, referrer spam e Ghost spam.
Commento spam è il più ovvio. Don ha chiamato fuori "organizzazioni di marketing SEO" come particolarmente cattivi trasgressori. Lasciano commenti con testo senza senso e link che puntano indietro a qualsiasi sito che stanno targeting.
Se stai usando un plugin come AkismetQuesti commenti saranno segnalati e filtrati nella cartella Spam della vostra schermata Commenti in WordPress.
Referrer spam è una forma subdoli di spamming SEO. Gli spammer hanno colpito il tuo sito con un URL falso definito come il referrer. Se i motori di ricerca scansionare i log di accesso del tuo sito, faranno anche la scansione degli URL falsi.
L'obiettivo con referrer spam è quello di (in qualche modo) aumentare il ranking di ricerca di un sito avendo backlink dai log di accesso del sito mirato.
Lo spam fantasma è ancora più sneakier. Con lo spam fantasma, gli spammer utilizzano il tuo ID Google Analytics (spesso generato casualmente) e colpiscono i server GA. Google correla l'URL fornito dallo spammer con il tuo ID Google Analytics, in modo che l'URL venga visualizzato nei rapporti di Google Analytics, anche se lo spammer non ha mai visitato il tuo sito. (Da qui è un fantasma!)
L'obiettivo è quello di stuzzicare la vostra curiosità e si fa clic attraverso a questi URL sospetti. E mentre questo è abbastanza brutto, il fatto che queste "visite" gonfiare artificialmente i vostri numeri di traffico aggiunge un po' di insulto alla lesione.
Correlata: fermare Ghost spam in Google Analytics (MOZ)
Perché dovremmo preoccuparci dello spam?
Il tuo sito potrebbe essere penalizzato da Google o da altri motori di ricerca per il collegamento a siti Web danneggiati.
Lo spam può gonfiare artificialmente i tuoi rapporti di analisi, influenzando decisioni importanti che si basano sui dati analitici.
Gli spammer possono mettere a dura prova il tuo hosting, che influisce sulle prestazioni del tuo sito (ad es. tempi di caricamento) e ti costa denaro (ad esempio pagando un piano di hosting più intensivo di risorse).
Nella sua presentazione, Don ha detto che circa 50% di tutto il traffico Web proviene da bot. Di questo, circa il 30% è dannoso. Quali sono i miglioramenti delle prestazioni se si potesse identificare e fermare il 30% del traffico dannoso?
"Lo spam è come il farmaco gateway per spostare la catena, testare la sicurezza dei vostri plugin, e la rottura nel vostro sito."
All'inizio, lo spam potrebbe sembrare un problema banale. Ma come spammer poke e prod il tuo sito, essi possono anche essere alla ricerca di altri buchi di sicurezza da sfruttare.
Che porta a problemi come infezioni da malware o risultati di ricerca dirottati. Questi sono significativamente più dannosi di spam da solo. Ma lo spam è dove inizia.
Correlata: che cosa è il malware sito Web? SiteLock
WordPress è molto popolare per la costruzione di siti web. Il che significa che è anche un bersaglio molto popolare per gli spammer e gli hacker.
Un paio di anni fa, WordPress siti web sono stati presi di mira da un exploit in XMLRPC. Prima di questo, timthumb. php era un bersaglio popolare.
I metodi utilizzati per rilevare questi fori di sicurezza, ovvero la ricerca per indicizzazione e la scansione di siti Web, sono gli stessi metodi utilizzati dai spammer. Quindi quello che facciamo per combattere gli spammer può anche essere utile per combattere attacchi più aggressivi.
Non dimenticare i log di accesso RAW.
I log di accesso raw forniscono una trascrizione completa di tutto il traffico che colpisce il tuo sito Web. È molto più completo di qualsiasi altra cosa che troverai da Google Analytics.
Se sei su un provider di hosting condiviso, è possibile visualizzare i log di accesso tramite cPanel. Se non sai dove cercare i log di accesso per il tuo sito, verifica con il tuo provider di hosting.
Don suggerisce di scaricare il log di accesso RAW e quindi aprirlo in uno strumento di foglio di calcolo come Microsoft Excel o fogli Google. Vedrai le colonne che corrispondono a:
- IP o hostname che accede al tuo sito
- Ora e data in cui sono collegati
- La risorsa che hanno tentato di caricare o scaricare
- Il successo o il fallimento del loro tentativo di connessione
- La quantità di dati utilizzati
- Cosa hanno scaricato
- Il loro ID Referrer (spoofable)
- Il loro agente utente, ad esempio browser utilizzato (anche spoofable)
Correlata: raccolta di log di accesso raw cPanel (pressa deperibile)
Correlando questi dati con altre informazioni, come ad esempio quello che potete trovare nella cartella dei commenti spamWordPress, otterrete una migliore comprensione di ciò che gli spammer stanno facendo sul vostro sito.
Ad esempio, possono essere la scansione del sito da un indirizzo IP e quindi la pubblicazione di un commento di spam da un altro indirizzo IP.
Come puoi fermare gli spammer?
Il primo passo è quello di installare un plugin di sicurezza. iThemes sicurezza e Wordfence sono due opzioni raccomandate. Jetpack include anche funzioni di sicurezza ("Jetpack Protect").
Nota: Leggi la documentazione per i plugin di sicurezza! Puoi accidentalmente chiuderti fuori dal tuo sito. (Ad esempio, finendo su una blacklist e richiedendo un cambio DB diretto per correggere).
Quindi, assicurati di aver installato e attivato Akismet. Questo ti aiuterà a filtrare i commenti spam dal tuo sito.
considerare disattivazione del tutto XML-RPC. Perderai alcune funzionalità da app che si basano su XML-RPC, ma come supporto per l'API REST cresce, che sta diventando meno di un problema.
per ultimo Bot blocco GM è un WordPress plugin che filtra lo spam noto di ghost/referrer dai vostri report di Google Analytics.
Da lì, puoi iniziare a scalare la tua sicurezza con tattiche più aggressive.
Un metodo è quello di vietare gli indirizzi IP che sono noti per essere dannoso. Sia iThemes Security e Wordfence hanno liste di "quartieri cattivi" che si basano su quando determinare quali IP bloccare.
Purtroppo IP divieto può influenzare gli utenti innocenti. Se stai venendo colpito con un sacco di traffico di spam dalla Russia, per esempio, si può essere tentati di bloccare tutti gli indirizzi IP russi. Se non hai interesse per le persone dalla Russia essere in grado di visitare il tuo sito, questo non dovrebbe essere un problema. Ma cosa succede se si sta blogging in russo?
Inoltre, poiché IPv6 non viene mappate alla geografia, l'idea di "bloccare" regioni specifiche non funziona.
Un altro metodo popolare è quello di monitorare e filtrare il traffico in entrata. CloudFlare è un popolare servizio 3rd party che fa questo. Se CloudFlare rileva comportamenti sospetti, può chiedere al visitatore del sito di intraprendere passi specifici per raggiungere il sito.
Sfortunatamente questi tipi di controlli di sicurezza non sono perfetti e possono portare a utenti innocenti che vengono bloccati dal tuo sito.
State attenti. La guerra contro lo spam non finirà mai.
Non c'è modo di fermare completamente gli spammer. Essi continueranno a elaborare nuovi modi di colpire i nostri siti. Il meglio che possiamo fare è prendere precauzioni, stare attenti, e utilizzare nuove soluzioni come diventano disponibili.
Grazie ancora a Don Tai per la presentazione di questo mese! Hai qualche suggerimento per la lotta contro lo spam? Lascia i tuoi consigli nei commenti qui sotto.
Credito immagine: Mike Mozart via Flickr
Ottima recensione della riunione! Sarò fornendo la presentazione di Andy molto presto.