Спам на WordPress: от Cloudflare до собственного плагина геоблокировки

В сфере искусственного интеллекта произошло заметное событие. TheSudo 5 минут назад Спам на WordPress: от Cloudflare до собственного плагина геоблокировки Простой 5 мин 31 WordPress * PHP * CMS * Веб-разработка * Локализация продуктов * Кейс Из песочницы Стабильно раз в пару месяцев ко мне приходят клиенты с просьбой разобраться со спамом на сайте. Авторегистрации пользователей, спам в комментарии (хотя у некоторых даже нет форм для комментариев), и конечно же спам в заявки, от которого знатно пригорают отделы продаж. Так как я работаю с WordPress и 1С Битрикс, запросы прилетают именно по этим CMS.

1С Битрикс – отдельная тема, сегодня расскажу про WordPress. Пока Cloudflare не заблокировали и не замедлили, решение было очевидным – без убогой капчи, скрытых полей в формах и прочих костылей. Даже с минимальным пониманием DNS и HTTP-заголовков за пару часов можно было срезать 99% спама.

Технические детали

Мне всегда хватало трёх бесплатных WAF-правил, чтобы под корень убрать спамеров и чересчур наглые парсеры. Что сейчас есть на рынке WAF? С момента блокировки Cloudflare единственной альтернативой долгое время оставался DDoS-Guard, но тариф с доступом к WAF для большей части малого и среднего бизнеса попросту недосягаем.

Да и платить за то, что раньше давали бесплатно, психологически неприятно. Сейчас WAF предлагают почти все крупные операторы связи и облачные провайдеры: Яндекс Облако, МТС, Ростелеком. Но с ценами картина грустная – минималка начинается от 10 тысяч рублей в месяц за один сайт, везде тарификация по числу запросов.

При этом загрузка одной страницы – это в лучшем случае 30–50 запросов, а то и все 300–500. Для малого бизнеса это нецелесообразно. Какие альтернативыНа фоне таких «вкусных» предложений приходится использовать грубое решение – блокировать страны, IP-адреса и диапазоны через .

Отраслевые последствия

На VPS есть более шустрые инструменты – fail2ban, iptables и им подобные, но WordPress на VPS я за 10 лет встречал два-три раза. Как правило, это shared-хостинги.. htaccess тоже не резиновый: при большом списке IP начинает просаживаться скорость загрузки.

Был у меня клиент, у которого спам лился таким потоком, что за неделю мы собрали пул из 7000+ диапазонов адресов – порядка 2 млн IP. На таких объёмах уже нужен либо переезд на VPS, либо дорогой WAF. htaccess – пользователь получает безликую страницу 403 Forbidden.

А с учётом повсеместного использования VPN, вы рискуете потерять обычного клиента, который решит, что ваш сайт или вообще весь бизнес прилег отдохнуть. Немного о природе спамаОсновной спам идёт с серверов в Азии, Европе, США и ряда российских хостеров с мутной репутацией (VDSina, Biterika и пр. Но просто заглушить весь зарубежный трафик нельзя: спамеры и пользователи VPN часто сидят не просто у одного провайдера, а на одном диапазоне IP.

Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.