Как защититься от спама в Одноклассниках

Подвергнуться атаке спамеров может любой сайт, имеющий форму обратной связи. Это уязвимое место, которое позволяет ботам отправлять данные на сервер: делать инъекции, оставлять в комментариях вредоносные ссылки, регистрировать фальшивые аккаунты, захламлять базу данных мусорными контактами, ломая аналитику. Все коммерческие веб-проекты сталкиваются с этой проблемой.

Инициатором спам-атаки может быть конкурент, хакер или обычный мошенник, желающий заработать на обмане. Чтобы не стать жертвой спам-ботов, нужно защищать веб-сайт от подобных операций. В статье мы расскажем, как это сделать с использованием капчи и без.

Защита с помощью CAPTCHA

Самая распространенная защита форм от спама — это капча (captcha). Капчей называется одна из разновидностей теста Тьюринга, который предназначен для различения людей и роботов. Вы не раз сталкивались с ней при регистрации на различных ресурсах. Вспомните, как вас просили ввести буквы/цифры с искаженных картинок или отметить фотографии, на которых присутствуют пожарные гидранты. Это и есть captcha.

Что такое СПАМ и как от него защититься .

Такая проверка позволяет отсеять примитивных ботов еще на этапе заполнения полей, поскольку они не могут решить задачку, а без этого форма просто не отправляется. Однако у многих веб-мастеров имеются претензии к капче по части юзабилити: может, она и защищает от спама, но раздражает настоящих пользователей. Стоит иметь это в виду.

Тем не менее внедрить капчу на свой сайт — по-прежнему простой и рабочий способ защиты для форм обратной связи. Подключить ее можно бесплатно.

Бесплатные капча-сервисы: примеры

Существуют разные виды капчи. Она бывает графической, звуковой, математической, логической, образной. Выберите такой тип, который будет не слишком сложным для пользователей, но действенным против ботов: допустим, в формате «вопрос — ответ».

Вы можете воспользоваться специальными сервисами, которые предоставляют готовые варианты таких мини-тестов. Например:

1. reCAPTCHA от Google . Можно использовать вторую версию (галочка «Я не робот») или третью, «невидимую», которая проводит незаметную проверку на основе поведения посетителя.
2. hCAPTCHA . Бесплатный сервис, можно подключить к ВордПрессу, интегрировать с PHP, внедрить в Android-приложение.
3. Akismet и другие плагины для WordPress.

Защита формы от спам-ботов без капчи

1. Рамки на время заполнения формы.
2. Скрытое поле.
3. Блокировка user-agent.
4. Cookies для проверки уникальности посетителя.
5. Фильтрация входящих данных.

Ниже мы подробнее расскажем о каждом способе защиты.

№1. Рамки на время заполнения формы

Люди и боты по-разному взаимодействуют с полями обратной связи: первым обычно нужно больше времени, потому что они вводят данные постепенно нажимая на клавиши. Спамеры же заполняют форму моментально, не печатая. Эту разницу можно использовать в качестве основы для защитного скрипта. Суть метода в том, чтобы установить определенные временные ограничения на заполнение form-полей. Если посетитель вписал информацию быстрее, чем прописано в условии скрипта, то он будет считаться ботом и сообщение от него не будет принято.

Как избавиться от смс спама на телефоне Как заблокировать спам-рассылку на Android смартфонах

Но есть минус: функция автозаполнения повторяющихся полей, которая имеется во многих браузерах. Некоторые пользователи не печатают имя/фамилию и контакты самостоятельно, а используют для этого возможности веб-браузера. Таким образом, скрипт может принять человека за робота. Стоит также учитывать, что большинство ботов научились проходить эту процедуру с той же скоростью, что и люди, поэтому защищать сайт только с помощью такого сценария неэффективно. Но он хорошо работает в связке с другими.

№2. Скрытое поле

Как правило, роботы не выбирают, какие из полей в форме заполнять, а какие нет. Они автоматически вводят данные во все, чтобы не пропустить чек-боксы вроде «Я принимаю…». На этом и строится защита с помощью hidden-полей.

Алгоритм следующий: помимо стандартных «name», «email» нужно добавить дополнительное поле, например, «phone», и сделать его невидимым для пользователей. Для этого ему через стили присваивается атрибут display:none (он не принципиален, можно скрыть и другим способом, если умеете). В итоге обратная связь поступает в двух видах: реальная через открытые поля и спам через hidden.

Пропишите условие, что делать с информацией во втором случае: например, вывести на страницу ошибку или, наоборот, сделать вид, что форма отправлена, но не принимать ее, чтобы запутать бота. Таким способом можно вполне успешно защищать сайт от мусорных спам-запросов. Правда, многие боты будут пытаться отправить данные во всех возможных вариантах, тогда потребуются другие инструменты противодействия.

№3. Блокировка user-agent

Еще одной отличительной чертой примитивных спам-роботов являются нестандартные заголовки user-agent. В интернете даже есть списки идентификаторов, которые более всего распространены среди спамеров. В качестве превентивной защиты можно найти их и заблокировать, чтобы боты с такими агентами не могли отправлять обратную связь на вашем веб-сайте. Также рекомендуем защитить форму от запросов, вообще не содержащих user-agent. Некоторые боты умеют подделывать этот заголовок, но во всяком случае вы сумеете обезвредить тех, кто на это не способен.

№4. Cookies для проверки уникальности посетителя

Если проверять куки-файлы пользователя, можно определить, является ли он уникальным. Реализовать защиту с использованием этого решения можно разными способами, самое простое — запретить исполнение формы более одного раза. Т. е. если обратная связь от посетителя уже была отправлена, повторно это сделать у него получится. Так можно защитить себя от недобросовестных конкурентов, которые спамят с целью испортить вам статистику. От многократных спам-запросов это тоже поможет, но только если злоумышленник не использует ботнет.

№5. Фильтрация входящих данных

Фильтровать данные, отправляемые через форму обратной связи, необходимо не столько для защиты от спама, сколько для исключения других опасных атак вроде SQL-инъекций. Но качественная валидация сумеет защитить и от простеньких ботов, которые заполняют поля случайными значениями. Задайте для данных конкретный формат, и тогда они элементарно не смогут выполнить условие.

Заключение

В сети существует множество киберугроз, и пусть спам — не самая опасная из них, при отсутствии защиты он способен сильно подпортить работу вашего сайта. Если вы собираете обратную связь от пользователей, мы особенно рекомендуем озаботиться вопросом спам-защиты. Эффективнее всего защищать формы сразу несколькими методами, чтобы закрыть как можно больше уязвимостей. В статье мы рассказали, что можно для этого использовать. Надеемся, она была для вас полезной.

Похожие статьи

Как защитить сайт от копирования текста

Как оформить страницу 404: примеры дизайнов

В процессе интернет-серфинга мы часто сталкиваемся с ошибкой 404 (Error 404 Not Found). Этот код означает, что на сайте нет страницы с таким адресом. Проблема может возникнуть по нескольким причинам: пользователь ввел неверный URL, информация была перемещена на другой веб-адрес, страницу удалили, произошел сбой на сервере.

Чем крупнее ресурс и чем больше на нем веб-страниц, тем сложнее уследить за корректностью ссылок внутри него. Посетители натыкаются на ответ 404 и спешно покидают сайт, не найдя того, что искали. Это плохо влияет на показатели SEO. Избавиться от этой ошибки нельзя, но можно оформить ее так, чтобы она работала на вас. В статье мы расскажем, зачем и как это делают разные веб-проекты.

Как исправить ошибку «Ваше подключение не защищено»

Безопасность интернет-ресурса — один из главных критериев его качества и надежности. Поэтому, когда на сайте появляется ошибка «Ваше подключение не защищено», пользователи часто покидают его, а поисковые системы не позволяют веб-ресурсу занимать хорошие позиции в выдаче. «Соединение не защищено» — как исправить эту проблемы со стороны пользователя и владельца сайта? Рассказываем в подробной инструкции в статье.

Нажмите дважды, чтобы увеличить

Источник: www.ihc.ru

Методы спамеров в рассылках: как защититься

Сегодня поговорим о вселенском зле под названием СПАМ. Он был, есть и будет всегда. А если в вашем ящике его нет, значит вы пользуетесь не электронной, а голубиной почтой.

Что только не приходит к нам в почтовые ящики. Предложения о работе, обещания выигрышей и выплат от неизвестных платежных систем или предупреждения, что на вас подали в суд или заблокировали карту. И это только затем, чтобы заставить вас перейти по ссылке или открыть вложенный файл. Если СПАМ с такой регулярностью и в таком количестве приходит по почте — значит это кому-то выгодно.

В статье хочу рассказать о методах работы спамеров. Какой СПАМ опасен и как от него защититься. И чем рассылка отличается от СПАМа.

Рассмотрим этапы большого пути СПАМа в почтовые ящики получателей.

Как мошенники узнают ваш email

Когда почтовый ящик начинает разрывать от мусора, задаешься вопросом, откуда обо мне узнали и где взяли адрес.

• Спамеры собирают адреса из всех открытых источников — соцсети, форумы, чаты, доски объявлений, любое другое место в сети, где пользователи оставляют контакты.
• Генерируют программными методами. В мире зарегистрированы миллиарды электронных адресов. Поэтому их можно подобрать с помощью словарей и программных алгоритмов.
• Покупка баз адресов. Погуглите и удивитесь, сколько предложений в сети продать базу.
• С помощью вирусов, которые рассылают сами себя по контактам из адресной книги “жертвы”.

Как происходит очистка базы адресов

Спамеры, в первую очередь — бизнесмены и лишние расходы им ни к чему. Хотя, для них не имеет значения, кому слать письма, они также стараются оптимизировать базы адресов, чтобы удешевить рассылки и увеличить отдачу. Каким образом они это делают:

• Большинство почтовых провайдеров автоматически формируют отчеты о прочитанных письмах, что помогает спамерам очистить приобретенную или сгенерированную базу адресов.
• Размещение в рассылках скрытых картинок, которые подгружаются с сайта спамера при открытии письма.
• Заманчивые ссылки, кликнув по которым, вы подтверждаете активность электронного адреса.
• Кнопки отписки, которые мошенники используют не по назначению, а для подтверждения, что email действующий.

Какой бывает СПАМ

Назойливая реклама — самый безобидный вид СПАМа. Она ничем не угрожает, просто засоряет почтовый ящик. В крайнем случае, слишком доверчивые, лишаются денег или приобретают что-то ненужное по завышенной цене. Обычно на нее не обращают внимание. И правильно делают.

“Ваша заявка одобрена. ”, “Выплаты поступили. ”, “Вознаграждение за опрос”, или другой “Заработок в сети”, “Партнерские программы”, “Вы выиграли 3000 евро” и многие другие. Сюда можно отнести и “Нигерийские письма”. Эти рассылки объединяет один факт — прежде чем получить обещанные золотые горы, необходимо заплатить.

Письмами на подобную тематику уже никого не удивишь. Но поражает то, что некоторые люди ВЕРЯТ в чудеса. Переходят по ссылкам и ждут обещанные деньги. Даже требования “немного” заплатить для получения выигрыша, их не останавливает…

Для примера прошел один такой опрос, где насчитали к выплате 61700 руб.

Нажал кнопку “Обменять” и.

Оказалось, не все так просто.

Что будет дальше, не стал проверять. И так понятно, что 61700 руб я не получу. ) Остальные “проекты”, где обещают вознаграждение за несложные действия в сети заканчиваются тем же. Чтобы получить деньги — сами заплатите. Понятно, что потом никто ничего не перечислит. Еще вы рискуете заразить компьютер вирусами.

“Внимание, развод в сети!” или “Не ведитесь — это лохотрон.” Такие “предупреждения” сопровождаются просьбой переслать друзьям, чтобы сообщить о новом способе обмана. Но, переслав это сообщение знакомым вы, скорее всего, заразили их компьютеры вирусами.

В лучшем случае, в этом письме будет очередное приглашение поучаствовать в честной пирамиде после душещипательного рассказа о том, как обманывают в сети и верить можно только им. И опять пообещают миллионы после оплаты небольшого вступительного взноса.

Фишинг. Опасная разновидность СПАМа. Направлен на кражу личных данных пользователя. Вы сами сообщаете мошеннику логины-пароли от соцсетей, номер телефона, номера и пин-коды банковских карт и т.д.

Для этого мошенники подделывают популярные сайты интернет-магазинов, где размещают товары со скидками. Или предлагают несуществующие услуги. Например, список тех, кто заходил на страницу ВКонтакте. Если воспользовались этим предложением, значит ваши данные уже у мошенников.

Другие способы выманить личную информацию — установка обновлений, отписка от спама, проверка авторизации, участие в интернет-аукционах, или фиктивные благотворительные организации и т.д. Это может быть попыткой украсть ваши данные, если вас просят внести их при совершении этих действий.

Как не попасть на удочку фишинга

• Ни при каких обстоятельствах не передавайте номер и пин-код банковской карты. Банк не будет просить об этом, как и любой нормальный интернет-магазин.
• Обращайте внимание на дизайн сайта. Подделка отличается от оригинала, как бы хорошо он не был сделан. Зайдите в банк (личный кабинет интернет- магазина и т.д.) по вашей обычной ссылке и сравните.
• Не реагируйте на письма типа “Ваш аккаунт взломан!” или “Профиль в соцсети будет заблокирован!”. Где необходимо срочно ввести логин-пароль. Это мошенничество.
• Проверяйте адресную строку в ссылке. Вы можете не обратить внимание на мелкие неточности, которые определяют, что вы перешли на поддельный сайт. Например, вместо vk.com или vkontakte.ru предлагают перейти по ссылке vk.co или vkonttakte.ru.
• Установите современный антивирус. И если он предупреждает о переходе на подозрительный сайт — не игнорируйте это сообщение.
• Следите, чтобы устанавливалось защищенное соединение (https с замком).
• Не заходите в банковский аккаунт, используя общественные точки раздачи Wi-Fi. В таких местах злоумышленникам легко воровать банковские данные. В этих случаях пользуйтесь мобильным интернетом.

Рассылка вирусов. Вид СПАМа, который приводит к плачевным последствиям. Если думаете, что не владеете секретной информацией и вас незачем взламывать или награждать вирусом, ошибаетесь. Вас могут взломать:

• из любви к искусству.
• чтобы украсть ваши платежные данные или друзей.
• использовать ваш компьютер для отправки СПАМа и вирусов.
• заблокировать компьютер и потребовать плату за разблокировку.

Как защититься от вирусов и СПАМа

• Заведите “мусорный ящик” и регистрируйте его на форумах, в соцсетях или при подписке на информационные материалы.
• При выборе адреса электронной почты, используйте сложные для подбора имена. Используйте буквы и цифры. Email должен содержать не менее 7 знаков.
• Не реагируйте на письма типа “Ваш счет заблокирован” или “Со счета списано 12345 руб”. Не переходите по ссылкам в письме. Если сомневаетесь, лучше перезвонить в банк.
• Тем более, не открывайте вложенные файлы от неизвестных отправителей. Даже если там “Квитанция на выплату бонуса” и прочая замануха. Просто так никто денег платить не будет.
• Обращайте внимание на адрес получателя. Мошенники не рассылают индивидуальные письма. В графе “Кому” обычно указаны и другие адреса, помимо вашего.
• Не устанавливайте неизвестное программное обеспечение. Вместе с ним рискуете скачать вирусы.
• Делайте резервное копирование компьютера. Чтобы иметь возможность вернуть ту информацию, которая была до заражения вирусами.
• И конечно же, постоянно обновляйте антивирусы.

СПАМ или рассылка? Найдите 10 отличий

Что делать, чтобы рассылка не воспринималась подписчиками и почтовыми сервисами, как СПАМ:

1. Отправляйте рассылку только тем адресатам, которые лично подписывались на ее получение. Используйте при подписке двойное подтверждение.
2. Обязательное условие легальной рассылки — кнопка “Отписаться”. Сделайте процесс отписки простым для клиента. Иначе, он отправит письмо в СПАМ, что имеет намного больше неприятных последствий чем отписка.
3. Персонализируйте рассылки. Указывайте имя подписчика, кому отправляете письмо. Современные рассылочные сервисы предоставляют такую возможность.
4. Напоминайте в письмах, причину, по которой человек получает от вас письма — когда и на какую рассылку он подписывался. Обязательно указывайте контактную информацию отправителя.
5. Подтверждайте подлинность домена с помощью записей DKIM, SPF, DMARC.
6. Проверяйте наличие домена или IP, c которого отправляете рассылки на наличие в блеклистах. И вовремя их оттуда доставайте.
7. Для отправки рассылок пользуйтесь выделенным IP, чтобы формировать положительную репутацию. По этой же причине делайте рассылку с одного и того же IP.
8. Не отправляйте письмо в виде одной картинки или только ссылки. Избегайте в теме и тексте письма стоп-слов. Соблюдайте пропорции текста, изображений и ссылок. Не пишите тему и текст письма заглавными буквами. И не нужно пугать получателя большим количеством вопросительных или восклицательных знаков.
9. Не отправляйте вложенные файлы. Проверяйте корректность ссылок. Используйте гиперссылки (Правильно Estismail, неправильно https://www.estismail.com/mailer).
10. Не шлите рассылки по купленной или непроверенной базе. Удаляйте из базы несуществующие электронные адреса, нажавших на СПАМ и отписавшихся.

Пользуйтесь проверенными сервисами рассылок

Рассылка писем автоматически превращается в рассылку СПАМа, если подходить к ней неграмотно. Эффективный email маркетинг начинается там, где получатель знает на что он подписался и всегда может отписаться. Правильный подход к рассылкам по небольшой базе контактов даст намного большую отдачу, чем веерная рассылка на миллионы случайных адресов.

Сервис Estismail (Эстисмейл) поможет выжать из рассылки максимальный результат. Вы легко составите письмо пользуясь готовыми шаблонами или блочным редактором. Есть встроенный антиспам, проверяющий текст письма на стоп-слова. Письма рассылаются с серверов, имеющих высокую репутацию, что обеспечивает попадание писем во входящие.

Не усложняйте себе жизнь. Пользуйтесь услугами профессиональных сервисов рассылок, чтобы установить долгосрочные отношения с клиентами.

Источник: www.estismail.com

Защита сайта от спама обратной связи

В предыдущей статье я рассказывал как защищать устаревшую джумлу и админку от перебора паролей. Но при этом многие задаются вопросом: «Почему мне приходит спам с моего сайта через установленную на моем сайте форму обратной связи?».

На этот раз я расскажу о вариантах защиты всяческих контактных форм и полей конструкторов, калькуляторов — вообщем того, что отправляет письмо администратору сайта. Мало того, что порой неинтересно читать спам или рекламу, которую прислали вместо потенциального клиента, уязвимость форм обратной связи грозит ещё баном от хостинга почтовой службы. И ваши клиенты в этот день уже не смогут отправить вам заявку.

Поэтому стоит заранее подумать о защите, а не когда заспамят по самое не хочу. Хотя в большинстве случаев владельцы сайтов думают, что сайт никому не интересен и не догадываются, что на них могут выйти боты. Другая половина считает, что лишние поля отпугивают потенциальных посетителей, а в некоторых случаях и слишком сложны для заполнения. В любом случае давайте разбирать подробнее.

Установка капчи на сайт как защита от спама

Чтобы предотвратить массовую отправку данных, следует своевременно позаботиться о защите подписных форм. Конечно, самым действенным вариантом будет установка капчи (captcha) — рисунка, текст или цифры с которого надо будет ввести в отдельное поле для подтверждения, что вы не робот. На данный момент существует огромный выбор разновидностей капчи:

— можно взять из примеров и написать или модифицировать стандартные капчи. При этом мы можем задать какие символы будут использоваться, и насколько буквы и цифры будут подвергаться всяким изменениям для ухудшения автоматического распознавания. Плюсом будет простота в распознавании людьми, такую капчу обычно ставят на сайтах с небольшой посещаемостью и где нет смысла её усложнять, то есть где атаки ботов минимальны. Минусом данного метода является то, что данный тип капчи очень быстро и легко взламывается, поэтому при большей активности спамеров следует поставить решение посложнее.

— готовые решения от Google, Yandex и других сторонних сервисов. Это не только цифро-буквенные капчи, среди них есть много интересных вариантов, таких как собрать картинку-паззл, выбрать подходящие изображения и т.п.

Recaptcha как универсальная альтернатива всем капчам

С выходом второй версии рекапчи от гугла она кардинально изменилась: сложным, длинным и неразборчивым фразам на смену пришёл поведенческий анализ. Теперь при первых попытках не надо вводить проверочных фраз — достаточно поставить галку подтверждения и проверка пройдена. При подозрительной активности Вам предложат сделать несложные действия, к примеру выбрать изображения с природой или витринами.

Удобство нового метода смогли оценить многие пользователи, поэтому многими разработчиками API рекапчи интегрировано в программный код, необходимо только получить уникальные ключи на домен.

Recaptcha 2 в Joomla

В популярной CMS джумла рекапча реализована системным плагином, поэтому стоит выбрать её в настройках, активировать плагин и ввести полученные ключи. После этого как системные компоненты могут обращаться к гуглокапче (к примеру, регистрация пользователей или стандартная контактная форма), так и различные сторонние модули и расширения (Virtuemart, сторонние контактные формы, Jcomments и другие).

Немного по другому ситуация обстоит в более старых версиях (Joomla 1.5 и 2.5). Максимум там можно найти первую капчу от гугла, но она настолько отпугивает своей сложностью, что стоит подумать или о дописывании своего варианта или решиться на миграцию на последнюю версию.

WordPress и рекапча от гугла

У вордпресса дела обстоят иначе: по умолчанию там в борьбе со спамом предлагается Akismet, который порой очень часто пропускает спам и работает не самым лучшим образом. Recaptcha существует отдельми плагинами, которые могут добавлять защитное поле в комментарии, форму авторизации или регистрации, а также в совместимости с контактной формой.

Быстрый взляд на популярные варианты к сожалению не нашел подходящего решения, удовлетворяющего всем параметрам. У всех решений были свои косяки: обнуление полей комментариев при неверном вводе капчи, необходимость проходить проверку для входа в админку, поле рекапчи находилось ниже кнопки отправить — не всегда заметно с первого раза.

Поэтому на мой взгляд вп требует допила.

Невидимая Recaptcha

Google анонсировала бета-тестирование нового типа рекапчи — Invisible reCAPTCHA. Как Вы знаете, усовершенствованная версия позволяла отличать ботов от настоящих людей на ранней стадии и предлагала реальным людям нажать простую кнопку. В то же время некоторые раскритиковали необходимость данного действия. Поэтому сейчас есть возможность опробовать новую вариацию — теперь и эту кнопку жать не надо, а рекапча будет сама анализировать момент появления на сайте. С одной стороны это облегчит жизнь пользователям, с другой стороны возможны проколы с пропуском ботов, однако это уже время покажет.

Для того, чтобы поставить новую невидимую рекапчу на сайт, необходимо получить отдельные ключи. Также необходимо реализовать функция обратного вызова (callback) для проверки легитимности. Более подробную информацию можно найти в API, и когда с ним разберусь, постараюсь выложить пример реализации на сайте.

Так как информации получилось много, то я вынес в отдельную статью — Используем невидимую рекапчу на сайте.

Рекапча на произвольном сайте

На самом деле нету ничего сложного в реализации recaptcha в любом модуле или самописной форме обратной связи. На сайте расписано подробное API как реализовать необходимую проверку. С размещением кода на фронтэнде обычно не возникает проблем, однако не все могут корректно отослать запрос проверки секретного ключа.

Поэтому я рассмотрю простой вариант back-end отправки json на php

$response = file_get_contents(«https://www.google.com/recaptcha/api/siteverify?secret=».$recaptcha_secret.».$_POST[‘g-recaptcha-response’].»] === true)
<
// Здесь должно происходить действие при корректном прохождении проверки
>
else
<
// Иначе выдаем какую-то ошибку
>
?>

Если понадобятся дополнительные действия с апи, то советую изучить документацию.

Защищаем форму обратной связи без капчи

Капча поможет решить нам проблему со спамом, однако многих она раздражает, и многие стараются обходиться без неё. Кроме этого, существуют различные сервисы как антигейт по обходу капчи (там люди за деньги заполняют данные с капчи). Поэтому не лишним будет рассмотреть альтернативные варианты. Для популярных CMS существуют готовые решения, в других случаях придется применить навыки программирования либо обратиться к специалистам.

Итак, я расскажу пару приемов, как повысить защищенность формы без капчи.

Скрытые поля как защита форм

Создаем hidden поля. Достаточно для заполняемых полей (name,phone, email) в стилях прописать display:none; и дополнительно создать поля с нестандартными атрибутами name (к примеру phone-protect). Обязательно надо изменить код под новые поля и добавить ещё одну проверку: если наши скрытые поля будут заполнены ( или изменены дефолтные значения), тогда будет выдавать ошибку » Спам здесь не пройдет, обнаружен бот».

Этот метод дает большой выбор пофантазировать в вариантах проверок и названий полей, а значит своей нестандартностью защититься от большего количества ботов

Используем cookies для проверки уникальность посетителя

Проверяем cookies. Тут можно создавать разнообразные варианты. При этом с помощью куков можно реализовать проверку на однократное исполнение формы ( К примеру пользователь отправил заявку, и начинает снова и снова заполнять форму обратной связи — вдруг он просто конкурент. А ему в ответ » Вы уже отправили свою заявку»).

Преимущество данного метода закрывает заодно достаточно распространенную уязвимость, на которую часто закрывают глаза, — CSRF данных формы. А ведь с помощью этой дыры можно совершать множество виртуозных атак.

Фильтрация входящих данных контактных форм обратной связи

Хорошая валидация полей на корректное заполнение является примером тоном правильного программирования. Это не только обезопасит Ваш сайт от SQL инъекций и XSS-уязвимостей, но с учетом того, что боты заполняют случайными значениями, в большинстве случаев они могут не пройти элементарной проверки на корректный телефон. Как дополнительный вариант можно устроить какую-нибудь самописную подгрузку какой-нибудь проверки на Javascript — чем больше уникальность вашего решения, тем меньше шансов пройти спаму!

Не забудьте проверить, не изменилась ли работоспособность с вашими правками. С этими советами можно защитить сайт от спама в формах обратной связи. Ну а в следующей статье я расскажу, как бороться против примитивных DDos-атак и снизить нагрузку на сервер от ботов.

• Как защитить сайт от флуд атаки
• Почему вирусы на сайте надо удалять сразу?

Источник: protectyoursite.ru