Come difendersi dallo spam su WordPress

Scrivo da una stanza di albergo in una bella località dell’Umbria.

Da qui, durante questo fine settimana, ho portato avanti una spietata (nessuna esagerazione, spietata!) guerra contro gli spammers che hanno attaccato uno dei siti che gestisco. Il we è andato diversamente da come avevo immaginato, ma alla fine ho vinto io…

Il problema

Migliaia di registrazioni false in una sola notte e altrettanti tentativi di accesso all’area del sito riservata agli utenti.

Condivido con voi quello che ho scoperto dopo aver messo insieme le solite notizie sparse sul web e averle testate personalmente sul sito in questione.

La soluzione: come difendersi dallo spam su WordPress

Per prima cosa chiudete, almeno temporaneamente, le registrazioni sul vostro sito. Questo si fa dalla scheda Impostazioni/Generali della bacheca di WordPress, togliendo la spunta alla casella accanto alla voce Chiunque può iscriversi al sito. Guadagnerete un po’ di tempo per effettuare le operazioni che seguono.

Due plugin, installati insieme, sono riusciti a bloccare l’invasione dei falsi utenti: Wordfense Security e Stop Spammers Spam Prevention.

Entrambi verificano i tentativi di accesso al sito basandosi sul tempo impiegato a compilare il form di ingresso (escludendo i tempi troppo brevi, tipici dei processi automatizzati), sui tentativi di accesso fallito per password errata, sulla provenienza dei contatti (da pannello amministratore è possibile escludere non solo determinati io, ma intere nazioni), fornendo report dettagliati delle attività sul sito.

Il motivo per cui li ho installati entrambi è che Wordfense Security è un plugin in parte a pagamento, motivo per cui alcune funzionalità e controlli sono escluse dalla versione base, ma è molto potente dal momento che opera anche sul fronte del controllo del codice sorgente delle pagine WordPress. Non è raro che attraverso le iscrizioni e i commenti gli spammers arrivino ad introdurre codici in grado di generare sul nostro sito sgradevoli attività, come l’introduzione di link o l’invio di newsletter false.

Stop Spammers Spam Prevention è invece un plugin gratuito (il contributo è facoltativo) e concentra la sua attività sui processi di accesso e registrazione, rendendo accessibili alcuni controlli che Wordfense offre solo a pagamento. Dopo aver installato il primo, è stato con questo plugin che gli accessi falsi sono stati definitivamente bloccati.

Non è finita, ancora un passo…

Non basta bloccare le attività di spam sul vostro sito. Con grande probabilità quando vi accorgerete che qualcosa non va gli spammers avranno già riempito ben bene il vostro database di spazzatura.

Toglierla è di fondamentale importanza, quindi fate attenzione: la bacheca di WordPress, sotto la voce Utenti, non dà purtroppo accesso a tutti i dati effettivamente presenti sul db. Voglio dire che da questa sezione potrete sicuramente procedere alla cancellazione dei falsi nomi, ma ci sarà bisogno di accedere anche al db per controllare e pulire la tabella wp-signup, che memorizza le attività e i tentativi di accesso al vostro sito. Se non sapete come fare è meglio chiedere aiuto e assistenza al vostro server o a un amico che se ne intende ;), ad ogni modo non ignorate questo passaggio.

Per chi ha installato il plugin Buddypress, un bersaglio goloso per questo tipo di spam, ricordate di cancellare anche i gruppi e le attività che sicuramente gli spammers avranno generato in maniera incontrollata.

Plugin come SICaptcha, che introducono i testi anti-robot in fase di registrazione, login, scrittura di commenti e altro si sono purtroppo rivelati insufficienti a tenere del tutto sotto controllo il problema.

Buon lavoro!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *