Обход плагина WP Hashcash
Не так страшен JavaScript, как его малюют…
WP Hashcash — очередной плагин WordPress для борьбы со спамом. Принцип работы основывается на том, что спам-боты не умеют исполнять JavaScript. Идея в том, что если пользователь открыл сайт из браузера, браузер выполнит некоторый хитрый код JavaScript, и реузльтат работы этого скрипта будет передан назад на сервер в качестве доказательства «человечности» комментатора. Недостаток этого подхода заключается в [...]
← Вернуться к полной версии записи «Обход плагина WP Hashcash»…
Автор: Vladimir; опубликовано в: Безопасность, Плагины WordPress; метки: JavaScript, PHP, WordPress, плагин, спам26
Дек
2011
Дек
2011
Комментарии к статье «Обход плагина WP Hashcash» (6) »
Пожалуйста, не используйте эту форму для комментирования! Данная форма предназначена исключительно для ботов.
Оставить комментарий к записи «Обход плагина WP Hashcash»
गते गते पारगते पारसंगते बोधि स्वाहा
Меня зовут Владимир, я программист-фрилансер, специализирующийся на Web-программировании и програмировании под Linux.
По совместительству занимаюсь администрированием LAMP/LNMP-серверов и техническим переводом.
V8 и JavascriptCore – opensourse проекты так же есть интерпретаторы JS на PHP. JS код можно сурово обфусцировать так что человек его попросту не разберет и не перепишет. Но для JS “интерпретатора” (движка) это даже не проблема.
Я раньше какие только плагины WordPress для борьбы со спамом не ставил, толку было не много. А потом узнал про подмену полей – и проблема разрешилась сама собой. Правда этот метод работал изначально наверняка, и пришлось дополнить контактную форму простейшей капчей на сложение двух чисел. И спам комменты практически исчезли. Из чего я сделал вывод, что 99,9% спаммеров “гадят” при помощи программ. В ручную редкие “красавцы” это делают. Но на одном из проектов недавно заметил новый тренд (как это модно говорить): спам-комменты через трекбеки. Правда пока эта напасть не приняла массовый характер, и я даже не стал заморачиваться и ставить специальный плагин.
Капча отлично помогает против ботов, но “редких красавцев”, поверьте, тоже предостаточно
Так что приходится иногда и вручную удалять спам.
Трекбэки пользовались популярностью давно, пока это была новинка. Сейчас чаще их отключают, что бы не создавать лишнюю нагрузку на блог.
Большое спасибо автору за полезную статью!
Могу добавить только то, что на самом деле тут показан самый простой пример функции вычисления (function wphc_compute(){return 43448 * 43448 + 75878; } wphc_compute();), на самом деле их 4 вида, из которых только 2 являются одновременно кодом и php, и js, для двух других нужно сделать дополнительное преобразование из js в php. Все 4 вида функций можно посмотреть в исходнике плагина.
Интересное наблюдение и полезная информация! Защита-защитой, а премодерацию и ручное одобрение комментов никто не отменял, так что никакие скрипты не заменят человеку его мозга ))