WordPress y el ataque del spam asesino

Gabolonte Blasfemus

Tema al margen: Este finde algunos habrán notado que faltó la habitual cuota de Dudas Existenciales, pero como ya conté en varias ocasiones, los fines de semana se me está haciendo más complicado de lo que esperaba escribir un mísero post.

Hace una semana y algo comencé a notar un incremento en el nivel de comentarios spam bastante alarmante; lo que normalmente eran 3 a la semana se convirtieron en 30 al día y aumentando, y casi todos provenientes de la misma IP. Akismet los atrapaba a casi todos, pero aún así algunos se empezaban a colar en moderación. Ni que hablar que esta cantidad diaria me estaba cansando y yo ya comenzaba a borrar todo el spam de una vez sin chequear por falsos positivos. Algo tenía que hacer.

Primero pensé en utilizar algún plugin que ponga un captcha para bloquear los comentarios hechos por máquinas. Los resultados: Yo no podía comentar si no ingresaba la secuencia de texto correcta, pero el bot que me spameaba sí, y me seguía bombardeando cada vez más. Mientras pensaba que acá algo olía muy mal, decidí probar con otro tipo de validación.

Recordé que en algunos blogs utilizan una verificación simple pero no por eso menos segura, como responder al resultado de una simple suma, cosa que me había agradado cuando lo vi. El plugin de WordPress Math Comment Spam Protection cumplía a la perfección con lo que esperaba, salvo por unos detalles. A veces me decía que el resultado que puse era incorrecto aunque no fuese así, prohibiéndome comentar (juro que hice bien la cuentita!), y mientras tanto el bot se me cagaba de la risa en la cara llenándome de spam.

Por último probé bcSpamBlock, un plugin que prometía no ser tan molesto para el visitante, puesto que en la mayoría de los casos ni sería notado. Para esto se valía de código javascript que automáticamente insertaba un código en un campo oculto, y con esto validaba cualquier comentario realizado desde un navegador moderno de escritorio, mientas que si por algún motivo visitamos el sitio con un browser sin javascript (por ej desde un navegador móvil) veremos tanto el campo como un texto que nos indica cuál es la cadena aleatoria que debemos ingresar en él para que se permita el comentario. Este acercamiento era muy ingenioso y prometía ser eficaz, ya que los bots no suelen procesar javascript, y por ende no pueden dejar comentarios con la misma facilidad que un humano desde su navegador. Fue el único que le puso una barrera al spam de todos los que había probado, pero tenía el problema inaceptable que también me decía que el código ingresado era incorrecto en muchas ocasiones, cuando no era así.

Finalmente y valiéndome de que todo este ataque venía primordialmente de la misma IP, utilice una opción más simple y tal vez menos efectiva a nivel general, pero si muy eficaz con este caso en particular. WP-Ban es un plugin que nos permite, simplemente, bloquear todo acceso a nuestro weblog desde la IP o los rangos de IP’s especificados, con lo cual al ingresar el rango de mi amigo el spambot, su tormento fue automáticamente historia, y de paso ahorramos el tráfico al pedo que nos genera.

Incluso nos permite ver la cantidad de accesos realizados desde los rangos de IP’s bloqueados, por ejemplo mientras escribo esto veo que desde que lo puse este bendito bot ya intentó spamearme 4751 veces!

Lo que aún me pregunto es como este bot podía saltar como si nada estos plugins y seguir dejando sus comentarios… Obviamente usaba algún truco o falencia en el código php de WordPress, pero me llamo la atención que tantos plugins que figuran en el directorio de WP para el problema del spam sean tan… inútiles.


One Response to “WordPress y el ataque del spam asesino”

  • Lucila despachó:

    Yo ultimamente tambien estoy sufirendo ataques de spam…
    la verdad estan como locos los Bots!

    Que suerte que pudiste solucionarlo, ya que realmente son una molestia en el c…muy grande!

    SAludos! y congratulations!
    😛


    Usando Mozilla Firefox Mozilla Firefox 2.0.0.8 en Ubuntu Linux Ubuntu Linux