/u/66501/A_bitaeniatum-3.png?f=community)
Ik ben maintainer van een gastenboek-plugin voor WordPress:
https://wordpress.org/plugins/gwolle-gb/
Inmiddels wordt het op 40.000 websites gebruikt en dat is leuk. Wat minder leuk is, is dat sinds een half jaar deze plugin en de 40.000 websites gericht aangevallen worden door spammers.
Er zitten een aantal anti-spam functies in, maar blijkbaar is het nog niet genoeg.
Mijn vraag is:
Wat zijn er nog meer voor goede ideeen om in te zetten tegen spam?
Wat ik al gebruik:
- Nonce: een code voor een invoerveld die 24 uur lang geldig is. De spammers omzeilen dit echter, waarschijnlijk door de pagina eerst op te halen en daarna de waarde in de $_POST mee te sturen.
- Honeypot: een leeg veld dat niet ingevuld mag worden. Wordt intussen 100% herkend en omzeild.
- Custom Quiz Vraag: Dit wordt ook omzeild, in ieder geval met de standaard vraag "12 + six" waar het antwoord 18 is. Wellicht als gebruikers een creatievere vraag stellen wordt het meer bruikbaar.
- CAPTCHA: Een heel eenvoudige heb ik in gebruik en deze wordt omzeild en steeds correct ingevuld.
- Akismet service: Werkt goed, maar niet compatible met de nieuwe GDPR.
- Stop Forum Spam service: Werkt goed, maar ook niet compatible met GDPR.
- Hashen van invoerveld ID en Name attribuut: Lijkt niet te werken, al wil ik het nog uitbreiden naar alle velden in het formulier. Ze kunnen simpelweg uitlezen welk veld op required staat en dat correct invullen.
Wat zijn nog opties die mogelijk zijn:
- Van alle velden van het formulier de ID en Name attributen hashen, al heb ik daar inmiddels weinig hoop op.
- Honeypot uitbreiden van enkel een tekstveld naar ook een checkbox. Eventueel nog een radioknop met vaste waarde. Maar als het tekstveld voor honeypot nu al niet werkt dan geeft dit me ook weinig hoop.
- reCAPTCHA: Wil ik eigenlijk bij vandaan blijven. Het advertentiebedrijf dat dit aanbiedt (Google) weet al veel te veel van ons allemaal. Er zijn meer redenen om het niet te gebruiken, zoals slechte (geen) ondersteuning, zeer gebruiksonvriendelijk wanneer cookies van derde partijen uitstaan, en soms gebruikers die in het rond gestuurd worden en er nooit door komen.
-CAPTCHAS.net: opnieuw een derde partij, maar in ieder geval niet Google.
Wat goede ideeen tegen spam zijn erg welkom.
Voor de duidelijkheid, het gaat hier niet om een website, maar om software voor 40.000 websites. De spammers hebben er wel wat moeite voor over.
https://wordpress.org/plugins/gwolle-gb/
Inmiddels wordt het op 40.000 websites gebruikt en dat is leuk. Wat minder leuk is, is dat sinds een half jaar deze plugin en de 40.000 websites gericht aangevallen worden door spammers.
Er zitten een aantal anti-spam functies in, maar blijkbaar is het nog niet genoeg.
Mijn vraag is:
Wat zijn er nog meer voor goede ideeen om in te zetten tegen spam?
Wat ik al gebruik:
- Nonce: een code voor een invoerveld die 24 uur lang geldig is. De spammers omzeilen dit echter, waarschijnlijk door de pagina eerst op te halen en daarna de waarde in de $_POST mee te sturen.
- Honeypot: een leeg veld dat niet ingevuld mag worden. Wordt intussen 100% herkend en omzeild.
- Custom Quiz Vraag: Dit wordt ook omzeild, in ieder geval met de standaard vraag "12 + six" waar het antwoord 18 is. Wellicht als gebruikers een creatievere vraag stellen wordt het meer bruikbaar.
- CAPTCHA: Een heel eenvoudige heb ik in gebruik en deze wordt omzeild en steeds correct ingevuld.
- Akismet service: Werkt goed, maar niet compatible met de nieuwe GDPR.
- Stop Forum Spam service: Werkt goed, maar ook niet compatible met GDPR.
- Hashen van invoerveld ID en Name attribuut: Lijkt niet te werken, al wil ik het nog uitbreiden naar alle velden in het formulier. Ze kunnen simpelweg uitlezen welk veld op required staat en dat correct invullen.
Wat zijn nog opties die mogelijk zijn:
- Van alle velden van het formulier de ID en Name attributen hashen, al heb ik daar inmiddels weinig hoop op.
- Honeypot uitbreiden van enkel een tekstveld naar ook een checkbox. Eventueel nog een radioknop met vaste waarde. Maar als het tekstveld voor honeypot nu al niet werkt dan geeft dit me ook weinig hoop.
- reCAPTCHA: Wil ik eigenlijk bij vandaan blijven. Het advertentiebedrijf dat dit aanbiedt (Google) weet al veel te veel van ons allemaal. Er zijn meer redenen om het niet te gebruiken, zoals slechte (geen) ondersteuning, zeer gebruiksonvriendelijk wanneer cookies van derde partijen uitstaan, en soms gebruikers die in het rond gestuurd worden en er nooit door komen.
-CAPTCHAS.net: opnieuw een derde partij, maar in ieder geval niet Google.
Wat goede ideeen tegen spam zijn erg welkom.
Voor de duidelijkheid, het gaat hier niet om een website, maar om software voor 40.000 websites. De spammers hebben er wel wat moeite voor over.
/u/57387/claimedavatar-70.png?f=community){kind=avatar}
/u/98547/crop5db2a7ff7f697_cropped.png?f=community)
/u/89193/crop5913059561374.png?f=community)