Последните дни получавах по 30-50 модерационни съобщения на ден. Все от коментарни ботове, които рекламираха виагра, порно, покер, ксанакс и какви ли не други боклуци. Не че коментарите минаваха, но ми се налагаше ежедневно да ги модерирам, за да не се задръстя.

Вбесен от ситуацията, започнах да търся решение. Преди време бях мислил да сложа проверка дали наистина човек въвежда коментара и тогава ми беше попаднал някакъв плъгин, който добавя малко изображенийце. Стандартен human check, който се използва къде ли не. Е, разрових се отново из плъгините за WP, и намерих SecureImage плъгин, който вършеше точно това. Стандартен WP плъгин, лесна инсталация и приятен интерфейс и настройки.

Сложих плъгинчето, разреших го и всичко си тръгна. Понеже засега смятам да боря само коментарния неинтелигентен роботски спам, сложих минимални настройки на плъгина – 3 символа, махнах “0” и “О”, за да не се бърка нашего брата и т.н. С две думи – олекотих задачата на разни OCR системи, но аз не мисля че роботизираните спамери ще си губят времето с мен. Целта им е “колкото се може повече спам в колкото се може повече блози”, а моят блог вече е костелив орех за тях – иска reverse engineering, което хич не е лесна работа.

Знам, че всички коментиращи тук може би няма да одобрят много идеята. Истина е, че сега ще трябва да гледаме по-внимателно и да въвеждаме контролни три букви, но (както казах на :Ира:): Ако някой иска да коментира, тогава тези три буквички едва ли ще го спрат. Ако пък го спрат – явно не е имал достатъчно желание. Дано да не ви пречи много.

Всъщност, има един хак, благодарение на който често коментиращите ще могат се улеснят. Ако често коментирате тук (има хора, които го правят, и аз ужасно много съм им благодарен за обратната връзка), регистрирайте се в блога, логнете се и кажете на WP да ви запомни логинът! Цената на това улесение е още един акаунт (който евентуално трябва да помните), и още едно куки на компютрите ви. Но за сметка на това няма да ги има контролните три цифри при всеки коментар, както и необходимостта да проверявате верни ли са ви името, сайтът и мейл адресът!

След като активирах плъгина, накарах Ира и Лъчко да го тестват. Лъчко ми обърна внимание на важен детайл: когато контролния низ е кратък, MD5 контролната сума (името на контролното изображение) е видима и лесно разбиваема. Аз съответно запретнах ръкави, за да отстраня тоз минорен проблем (сега пак е видима, но не е разбиваема без достъп до базата с данни. А който стигне до базата с данни, вече е свършил далеч по-черно дело от коментарен спам :)). Докато отстранявах минорния проблем забелязах редица SQL Injection атаки, на които плъгинчето беше податливо (някои от тях – особено грозни!) и отстраних и тях. Сега ще трябва да седна (май веднага след този материал) да напиша кратко обяснение какво съм направил, както и да публикувам кода. Хората, които вече използват плъгина трябва да ъпгрейднат, освен ако не искат да осъмнат с поизпразнени бази данни. Специални благодарности на Лъчко (за това, че ми обърна внимание на проблемът) и на Ира за тестването и за това, че амбицира Лъчко да се хване и той :).

> > The image above (cc) Seldom Sober