Здравствуйте, одним из направлений деятельности компании hrcode является защита форм обратной связи от спама.
Работаем мы сейчас с сайтами на WordPress и сайтами без системы управления.
Сейчас очень много сайтов подвергаются атакам спам-ботов. Особенно это актуально для коммерческих сайтов, где предприниматели ждут на своей почте или SRM системе заявки от покупателей или заказчиков, а получают бесполезный спам.
Можно ли надежно защитить сайт от спама на или спам боты настолько стали умными, что проходят практически любую защиту?
Забегая вперед, скажу, что можно, наш опыт показывает, что есть надежные способы борьбы со спамом. О некоторых из них я расскажу ниже.
Как показывает практика, универсальный способ защиты от спама только один, удалить все формы связи с сайта и убрать ссылки с адресом своей почты.
И действительно, не каждому сайту нужна обратная связь с пользователем, есть просто информационные сайты, которые не ждут сообщений от своих читателей. Владельцам таких сайтов лучше убрать форму обратной связи или ссылку на свой электронный ящик.
Помню, как несколько лет назад, когда пошел бум на спам через формы обратной связи, владельцы многих сайтов заменили свои формы связи на текстовые ссылки вроде, “пишите сюда: [email protected]”, так как не могли справится с тем потоком мусора, который шел к ним на сайт.
Но такой способ защититься от спама работал недолго, так как спам-боты научились находить в ссылках адреса электронных ящиков и отправлять спам через них.
Спам-боты постоянно совершенствуются, подстраиваются под современные методы борьбы с ними и вот уже, казалось бы, некогда надежная reCaptcha от Google спокойно пропускает спам сообщения.
Хоть спам и подорвал авторитет форм связи, все равно, как ни крути, а без нормальных форм обратной связи очень часто нельзя обойтись. Пользователю намного удобней оставить заявку на сайте через такую форму, чем через ссылку и было бы идеально при этом не вводить никаких проверок.
Так как же все таки защитить свой сайт от спама через формы обратной связи?
Сразу отметим, какие варианты нужно исключить из методов борьбы со спамом
Математические каптчи, где нужно сложить или вычесть числа и написать ответ. Такую защиту боты спокойно проходят.
Также стоит отказаться от reCaptcha от Google, ее боты также научились обходить.
Эти способы мы не применяем в своей практике и не советуем их применять другим.
Иногда можно встретить предложения блокировать сообщения, при отправке которых автор находился на сайте меньше определенного времени. Если сообщение отправлено слишком быстро, то значит его отправил бот.
При казалось бы надежной защите, в этом варианте есть и минусы. Есть шанс отправить в бан нормальные сообщения и пропустить спам, ведь сколько времени нужно боту, чтобы отправить сообщение точно не известно. Все зависит от его настроек, не факт, что бот будет быстро отправлять свое сообщение.
В общем от такого варианта мы тоже отказались, так как есть более надежные способы.
Какие варианты можно использовать для защиты от спама
Здесь стоит отметить, что при защите сайта от спама, нужно к каждому сайту подходить индивидуально. Как показывает практика, спам-боты, которые атакуют сайты совершенно разные по своей логике и настройкам.
И подбирая защиту, нужно учитывать особенности именно того бота, который атакует конкретный сайт. То что подошло одному сайту, может совсем не подойти другому.
Теперь о защите…
Защита ссылки адреса электронной почты
Если говорить о ссылке на электронный ящик, то здесь есть хороший вариант с шифрованием данных.
С помощью скрипта шифруем символы почтового адреса и в результате в коде бот не увидит нормальную ссылку и не сможет отправить на нее сообщение.
Защита с помощью каптчи
Что касается каптчи, здесь не все так плохо, как может показаться на первый взгляд, все же здесь есть надежные и простые варианты, которые останавливают поток спама на вашу почту.
Даже популярный плагин от WordPress, Contact Form 7 имеет в своем арсенале отличный вариант против спама, если его правильно настроить.
Одним из таких вариантов является каптча выполненная в виде "вопрос - ответ". Здесь все зависит от вашей фантазии, вариантов очень много.
Это довольно старый прием, но он все еще надежный. Мы его успешно применяем на некоторых сайтах, где нужна каптча.
Основная задача здесь придерживаться некоторых правил.
Главное, что не нужно делать, так это создавать трудночитаемую каптчу, где изображены непонятные символы. Не вижу смысла создавать проблемы потенциальным заказчикам в надежде, что бот не сможет распознать символы, которые нужно ввести.
Гораздо лучше будет, если создать такую задачу, которую бот просто не сможет решить. Совершенно не важно, что написано на самой каптче, важно то, что нужно ввести в проверочное поле и именно на этом и нужно строить защиту.
Такая защита не будет создавать трудностей для посетителей, но спам-боты ее не смогут пройти.
Невидимая защита
Если вы не хотите усложнять жизнь потенциальному заказчику или внешний вид сайта не поддерживает дополнительные элементы, тогда придется искать скрытый вариант защиты от спама.
Мы в своей практике используем разные варианты для защиты сайта от спама без каптчи, которые надежно блокируют сообщения отправленные не человеком.
Самый популярный и простой способ, это защита основанная на скрытых полях. Если проявить смекалку, то такой вариант защиты может быть очень надежным.
Среди множества вариантов такой защиты самый простой, это проверять, заполнено скрытое поле ботом или нет, и если оно заполнено, то сообщение не отправляется.
Но такой вариант не самый надежный, многие спам-боты успешно проходят такую защиту и складывается мнение, что защита с помощью скрытых полей не надежная, но это не так.
Как известно боты не заполняют саму форму на сайте, они отправляют сообщения напрямую через POST запросы. На этом и нужно строить защиту.
Если например, проверять, нажималась ли кнопка отправки сообщения или нет, то можно создать надежную защиту. Так если кнопка не нажималась, то скрытое поле останется пустым и сообщение не отправится.
Если сообщение будет отправлено с помощью кнопки, то в скрытое поле будет добавлено секретное слово, а защита настроена таким образом, что сообщение отправится только при наличие в скрытом поле определенного значения.
И похожих вариантов со скрытым полем можно придумать очень много.
Если бот не умеет читать код скрипта и заполнять скрытое поле секретным словом из этого скрипта, то такую защиту он не пройдет.
В нашем арсенале есть, как несколько таких способов, так и уникальных, которые мы разработали на практике и успешно их применяем.
Так мы используем способы, которым все равно, какие поля заполняет бот, умеет ли он читать скрипт, наша защита его все равно распознает и не пропустит.
Контроль за сообщениями на сайте
Мы постоянно контролируем работу своей защиты с помощью специального кода. Что позволяет нам получать четкую картину того, идет спам или нет и блокируется он или нет.
Например, мы можем наблюдать за тем, какие сообщения отправляются на почту, спам или нет даже после того, как установили защиту.
Если защита уже стоит, на почте мы не увидим спама, но наш скрипт видит все и отмечает, какие сообщения прошли фильтр антиспама, а какие нет.
Данный скрипт мы устанавливаем временно на сайт, которым занимаемся, чтобы видеть, идет спам или нет и убедиться, что защита работает.
После успешной защиты сайта, этот скрипт мы убираем и оставляем только код, который надежно защищает вашу почту от спама.
Подводя итог, можно с уверенностью сказать, что надежно защитить свой сайт от спама можно, если применять правильные методы и подходить к каждому сайту индивидуально.