NoSPAM

Un plugin pour limiter le risque de spam dans les forums de SPIP.

Le plugin introduit plusieurs mécanismes visant à limiter l’envoi de spams depuis les formulaires de SPIP (forums publics, formulaires de contact, formulaires des pétitions).

Un jeton périssable

Les formulaires se voient dotés d’un jeton périssable et lié à l’IP. Ce jeton empêche la réutilisation du même formulaire au delà de la durée de péremption, et rend ainsi le post automatique par robot plus compliqué.

Modération automatique dans les forums non modérés

Le but des spammeurs est de publier du contenu en ligne. Si les messages suspects sont modérés, l’intérêt du site diminue pour les attaquants qui iront voir ailleurs.

Le plugin utilise donc quelques règles de prudence pour modérer automatiquement les messages suspects.

-  Si un message contient trop de lien, il est modéré automatiquement, voire mis à la poubelle (où il peut être repêché par le modérateur). Les liens vers le site lui-même ne sont pas intégrés à ce compte. À partir de la version 1.6.0, on peut utiliser la constante NOSPAM_DOMAINES_AMIS pour indiquer une liste de sites (séparés par une virgule) qui n’entrent pas non plus dans ce compte.
Par exemple, dans votre fichier mes_options.php :
define ("NOSPAM_DOMAINES_AMIS", "spip.net, core.spip.org");

-  De même, si une adresse IP identique a déjà envoyé trop de messages consécutifs dans un laps de temps donné, les nouveaux messages sont automatiquement modérés.

-  A partir de la version 1.2.0, le plugin se base aussi sur la langue du message pour affiner la modération, et compare également l’adresse IP du posteur avec une base actualisée en temps réel des IPs malveillantes [1]

Le plugin pourra être enrichi de nouveaux dispositifs au fur et à mesure de vos retours.

Ne cumulez pas !

Si vous voulez aider à améliorer l’efficacité de ce plugin avec vos retours, ne l’utilisez pas en même temps qu’un plugin captcha ou un autre plugin anti-spam.

Le but de ce plugin est de faire aussi bien ou mieux qu’un captcha, mais sans gêner l’internaute.

Vous avez encore du spam juste après l’avoir installé ?

Les spammeurs aimaient bien votre site ! Alors ils viennent voir avec leurs petites mains pourquoi leurs robots ne passent plus, et ils font des tentatives pour comprendre.

Laissez les faire, mais faites attention à bien déclarer “SPAM” les messages qui en sont. Vous verrez que très vite ils vont se décourager d’envoyer des messages qui ne sont jamais publiés !...

Avec SPIP 2.x, utiliser le plugin Gestion forum pour déclarer un message en SPAM.

Protéger d’autres formulaires - simple

Le plugin peut aussi protéger vos formulaires personnalisés avec son système de jeton.
Pour cela, il suffit de déclarer votre formulaire dans la variable globale formulaires_no_spam, dans votre fichier mes_options.php (ou mon_plugin_options.php). N’oubliez pas de repasser par le panneau d’administration du plugin si vous avez ajouté un fichier mon_plugin_options.php.
Ici, par exemple, on déclare le #FORMULAIRE_CONTACT_LIBRE :

// proteger le #FORMULAIRE_CONTACT_LIBRE
$GLOBALS['formulaires_no_spam'][] = 'contact_libre';

Protéger d’autres formulaires - avancé

Si la protection simple n’est pas suffisante ...

On utilise les fonctions d’analyse de NoSPAM (présentes dans le fichier inc/nospam.php du plugin) dans la fonction vérifier() de formulaire_contact_libre.php.

include_spip('inc/texte');
// si nospam est present on traite les spams
if (include_spip('inc/nospam')) {
	$caracteres = compter_caracteres_utiles($texte);
	// moins de 10 caracteres sans les liens = spam !
	if ($caracteres < 10){
		$erreurs['texte_message'] = _T('forum_attention_dix_caracteres');
	}
	// on analyse le sujet
	$infos_sujet = analyser_spams($sujet);
	// si un lien dans le sujet = spam !
	if ($infos_sujet['nombre_liens'] > 0)
		$erreurs['sujet_message'] = _T('nospam:erreur_spam');
 
	// on analyse le texte
	$infos_texte = analyser_spams($texte);
	if ($infos_texte['nombre_liens'] > 0) {
		// si un lien a un titre de moins de 3 caracteres = spam !
		if ($infos_texte['caracteres_texte_lien_min'] < 3) {
			$erreurs['texte_message'] = _T('nospam:erreur_spam');
		}
		// si le texte contient plus de trois lien = spam !
		if ($infos_texte['nombre_liens'] >= 3)
			$erreurs['texte_message'] = _T('nospam:erreur_spam');
	}
}

Footnotes

[1Cette comparaison se fait par récupération de la liste des IPs qui abusent, et non en envoyant des données à un service externe sur la personne qui écrit le message. Cette fonctionnalité ne fonctionnera pas sur certains hébergements gratuits.

updated on 2 October 2019

Discussion

119 discussions

  • BON François

    cher Cédric Morin,

    immense merci d’abord, parce que, quand je me suis aperçu que le système CAPTCHA ne fonctionnait pas en spip 2.0 j’étais vraiment embêté - gros site avec plusieurs bases ( http://www.tierslivre.net ), pas mal de commentaires, et au bout de 3 semaines le spam a commencé à débarquer, un matin y en avait 200 sur tous les articles... depuis que j’ai installé NOSPAM retour à la normale, et pourtant doit y avoir de la poussée derrière!

    Juste pour vous donner copie d’écran de 2 qui ont passé dans les mailles ce matin - prêt bien sûr, si ça vous aide, à bêta-test ou manip, trop vital pour nous votre boulot!

    Reply to this message

  • Bonjour,
    Merci pour cette contrib !
    Pour ma part, une amélioration qui rendrai le tout intéressant serait de supprimer automatiquement tous les messages qui ont plus de 1 an par exemple.

    Je ne sais pas si cette fonctionnalité pourrait être pertinente pour vous, mais pour ma part, je serait ravis que certains forum de mon site bénéficient de cela (ou à défaut, tous les forum...)

    Très bonne continuation,

    Alain.

    Reply to this message

  • 1

    Je suis d’accord avec le premier commentaire. L’ajout des fonctions ce-dessous rendrait le plug-in plus complet.

    Dans mon cas, la majorité du spam vient de 2 ou 3 adresses emails (notamment teste@test.com). Alors même si c’est pas une protection optimale, ça ne couterait pas grand chose de les rajouter. De toute façon par défaut la liste serait vide, donc ceux et celles qui ne veulent pas s’en servir ne seront pas gênées.

    -  le bannissement d’adresse IP
    -  le bannissement d’adresse email
    -  le refus de message comportant des mots clefs

    • As tu essayé ce plugin tel qu’il fonctionne actuellement ? Pour l’améliorer, je suis preneur de tout scenario constaté qui le prend en défaut.

      En revanche les demandes de fonctionnalités basées sur des suppositions et des a priori ou des lacunes constatées avec d’autres plugins ne sont pas utiles. Le but est de faire un plugin souple, léger et efficace, pas un mastodonte bourré d’options qui ne sert à rien in fine.

    Reply to this message

  • Je tiens à te remercier pour cet excellent plugin, qui marche du feu de Dieu. Je suis littéralement en train de voir une série de spams arriver directement dans la poubelle sur un site où aucun autre type de protection antispam n’est implémenté. C’est vraiment chouette ! :-)

    Reply to this message

  • 3

    Je vois Spip 2.0.
    J’ai quand même essayé sur spip 1.9.2 et cela semble fonctionner, en tout cas on peut l’activer :) Y a t il des risques à l’utiliser avec la 1.9.2 ?

    Autre chose qu’il pourrait être intéressant d’intégrer c’est un captcha par défaut, comme ça il y aura un package global :) Mais au niveau du captcha il serait intéressant d’en avoir un élaboré, avec un générateur de caractère qui ne peut pas être interprété par des robots (comme ceux utilisé un peu partout sur les gros sites).

    • Si le plugin marchait avec SPIP 1.9.2, je l’aurais indiqué. Il *faut* SPIP 2.0.

      Par ailleurs, je refuse catégoriquement de mettre un captcha dans ce plugin et dans les forums en général.

      Les tests de captcha sont une horreur ergonomique, réalisée par des développeurs qui ne sont pas capables de se creuser la tête pour inventer quelque chose de transparent pour l’utilisateur, et lui pourrissent la vie pour se la simplifier.
      Essaye ce plugin sur SPIP 2.0 et sans captcha avant de réclamer.

    • salut,

      enfin un plugin “simple” contre le spam !
      merci ! merci !

      je suis bien d’accord avec toi sur l’horreur du captcha et je ne voulais installer aucun des plugins antispam disponibles car trop “contraignants” et pour certains pas du tout accessibles pour les utilisateurs.

      une remarque : certains hégergeurs suppriment directement une table si elle est spammée. Hors, ici, la modération n’empêchera pas le robot de gaver la base, non ?
      Quand tu écris :

      De même, si une adresse IP identique a déjà envoyé trop de messages consécutifs dans un laps de temps donné, les nouveaux messages sont automatiquement modérés.

      ne peut-on pas considérer qu’une personne est “incapable” d’envoyer N messages en T secondes (par ex.) et donc l’envoi serait automatiquement bloqué à ce moment-là, plutôt que d’enregistrer ça pour modération ?

      D’ailleurs, quel est ce laps de temps dont tu parles ?

    • En fait je posais simplement une question et faisait une suggestion, je ne réclamais rien... J’ai toujours du mal à comprendre pourquoi les gens réagissent de façon épidermique ; c’est vraiment dommage :)

    Reply to this message

  • 1
    Benoît LAURENT

    Je suis d’accord avec toi, j’ai beaucoup de scrupule à bloquer des groupes d’adresse complet et je ne trouve pas ça très “propre”. Néanmoins le résultat est là et je ne crois pas gêner les lecteurs du site.

    Les Spam que nous recevons ne sont pas envoyé par des spammeurs digne de ce nom ... sachant que le plugin est actif depuis le 11 octobre et donc que les messages bloqué ne sont plus enregistrés, j’ai dans la base 252 messages avec email ’test@test.com’ et 104 signé ’king@yahoo.com’. J’ai aussi une adresse IP ayant posté 167 messages ...

    Aujourd’hui je bloque un peu plus d’une centaine de groupe d’adresse et cela permet de respirer un peu car il n’est pas possible de gérer ça à la main contrairement à ce que suggère Patrice.

    • Moi je suis tout à fait d’accord avec ce que dit Cédric dans ce forum et dans son article.

      J’ai créé une lame pour Le Couteau Suisse dans laquelle il est possible de faire une liste de mots ou d’expressions interdites. Cette lame est très méchante dans un cas suspect, car elle bloque le message à la source, sans aucun enregistrement en base. Donc, ’test’ et ’king’ n’auraient pas pu sévir si longtemps, à moins de changer de signature !

      Suite à cette réflexion collective, aux améliorations apportées par SPIP 2.0 et aux travaux de Cédric, je vais donc ajouter d’autres types de protections douces (sans gêne pour l’internaute honnête) à cette lame.

    Reply to this message

  • 1

    Pour moi, rien de vaudra jamais la modération manuel.

    Laurent

    Site perso: Une-recette.com

    • Chacun ses préférences.

      Il se trouve juste que la modération manuelle peut devenir une activité à plein temps sur un site un peu fréquenté ...

    Reply to this message

  • L’essayer et faire des retours c’est déjà contribuer !

    Quand au banissement d’IP je n’y suis pas très favorable car :

    • un spammeur peut se cacher derrière un proxy et partager son IP avec des internautes de bonne foi
    • un spammeur digne de ce nom change son IP et son email (si tant est qu’il le remplisse) régulièrement pour éviter les banissements

    Le plugin implémente plutôt quelque chose qui ressemble à une liste grise car si une même IP envoie trop de messages consécutivement, ses mesages sont automatiquement modérés, ce qui enlève tout l’intérêt de son spam.

    Reply to this message

  • Benoît LAURENT

    Devant le nombre de SPAM dans les forums du site dont je suis le webmaster, montbouge.info, j’ai commencé un plugin : banip. Il est bien sûr très limité puisque récent et répond uniquement à mes problèmes.

    D’autres plugin existe autour du même thème comme celui-ci, Bloquer les IP’s.

    Il est pour moi important de proposer au utilisateur de SPIP un plugin lutant contre le SPAM qui ne dépende pas de ressources externe, comme le plugin Akismet, ni n’impose des contrainte à l’utilisateur comme les Capcha.

    Les fonctions supplémentaire d’un tel plugin pourrai être :
    -  le bannissement d’adresse IP
    -  le bannissement d’adresse email
    -  le refus de message comportant des mots clefs

    J’espère que les efforts pourrons être mutualisés. Je suis débutant en écriture de plugin SPIP mais je vais étudier le code et essayer d’y contribuer.

    Reply to this message

Comment on this article

Who are you?
  • [Log in]

To show your avatar with your message, register it first on gravatar.com (free et painless) and don’t forget to indicate your Email addresse here.

Enter your comment here

This form accepts SPIP shortcuts {{bold}} {italic} -*list [text->url] <quote> <code> and HTML code <q> <del> <ins>. To create paragraphs, just leave empty lines.

Add a document

Follow the comments: RSS 2.0 | Atom