NoSPAM

Un plugin pour limiter le risque de spam dans les forums de SPIP.

Le plugin introduit plusieurs mécanismes visant à limiter l’envoi de spams depuis les formulaires de SPIP (forums publics, formulaires de contact, formulaires des pétitions).

Un jeton périssable

Les formulaires se voient dotés d’un jeton périssable et lié à l’IP. Ce jeton empêche la réutilisation du même formulaire au delà de la durée de péremption, et rend ainsi le post automatique par robot plus compliqué.

Modération automatique dans les forums non modérés

Le but des spammeurs est de publier du contenu en ligne. Si les messages suspects sont modérés, l’intérêt du site diminue pour les attaquants qui iront voir ailleurs.

Le plugin utilise donc quelques règles de prudence pour modérer automatiquement les messages suspects.

-  Si un message contient trop de lien, il est modéré automatiquement, voire mis à la poubelle (où il peut être repêché par le modérateur). Les liens vers le site lui-même ne sont pas intégrés à ce compte. À partir de la version 1.6.0, on peut utiliser la constante NOSPAM_DOMAINES_AMIS pour indiquer une liste de sites (séparés par une virgule) qui n’entrent pas non plus dans ce compte.
Par exemple, dans votre fichier mes_options.php :
define ("NOSPAM_DOMAINES_AMIS", "spip.net, core.spip.org");

-  De même, si une adresse IP identique a déjà envoyé trop de messages consécutifs dans un laps de temps donné, les nouveaux messages sont automatiquement modérés.

-  A partir de la version 1.2.0, le plugin se base aussi sur la langue du message pour affiner la modération, et compare également l’adresse IP du posteur avec une base actualisée en temps réel des IPs malveillantes [1]

Le plugin pourra être enrichi de nouveaux dispositifs au fur et à mesure de vos retours.

Ne cumulez pas !

Si vous voulez aider à améliorer l’efficacité de ce plugin avec vos retours, ne l’utilisez pas en même temps qu’un plugin captcha ou un autre plugin anti-spam.

Le but de ce plugin est de faire aussi bien ou mieux qu’un captcha, mais sans gêner l’internaute.

Vous avez encore du spam juste après l’avoir installé ?

Les spammeurs aimaient bien votre site ! Alors ils viennent voir avec leurs petites mains pourquoi leurs robots ne passent plus, et ils font des tentatives pour comprendre.

Laissez les faire, mais faites attention à bien déclarer « SPAM » les messages qui en sont. Vous verrez que très vite ils vont se décourager d’envoyer des messages qui ne sont jamais publiés !...

Avec SPIP 2.x, utiliser le plugin Gestion forum pour déclarer un message en SPAM.

Protéger d’autres formulaires - simple

Le plugin peut aussi protéger vos formulaires personnalisés avec son système de jeton.
Pour cela, il suffit de déclarer votre formulaire dans la variable globale formulaires_no_spam, dans votre fichier mes_options.php (ou mon_plugin_options.php). N’oubliez pas de repasser par le panneau d’administration du plugin si vous avez ajouté un fichier mon_plugin_options.php.
Ici, par exemple, on déclare le #FORMULAIRE_CONTACT_LIBRE :

// proteger le #FORMULAIRE_CONTACT_LIBRE
$GLOBALS['formulaires_no_spam'][] = 'contact_libre';

Protéger d’autres formulaires - avancé

Si la protection simple n’est pas suffisante ...

On utilise les fonctions d’analyse de NoSPAM (présentes dans le fichier inc/nospam.php du plugin) dans la fonction vérifier() de formulaire_contact_libre.php.

include_spip('inc/texte');
// si nospam est present on traite les spams
if (include_spip('inc/nospam')) {
	$caracteres = compter_caracteres_utiles($texte);
	// moins de 10 caracteres sans les liens = spam !
	if ($caracteres < 10){
		$erreurs['texte_message'] = _T('forum_attention_dix_caracteres');
	}
	// on analyse le sujet
	$infos_sujet = analyser_spams($sujet);
	// si un lien dans le sujet = spam !
	if ($infos_sujet['nombre_liens'] > 0)
		$erreurs['sujet_message'] = _T('nospam:erreur_spam');
 
	// on analyse le texte
	$infos_texte = analyser_spams($texte);
	if ($infos_texte['nombre_liens'] > 0) {
		// si un lien a un titre de moins de 3 caracteres = spam !
		if ($infos_texte['caracteres_texte_lien_min'] < 3) {
			$erreurs['texte_message'] = _T('nospam:erreur_spam');
		}
		// si le texte contient plus de trois lien = spam !
		if ($infos_texte['nombre_liens'] >= 3)
			$erreurs['texte_message'] = _T('nospam:erreur_spam');
	}
}

Notes

[1Cette comparaison se fait par récupération de la liste des IPs qui abusent, et non en envoyant des données à un service externe sur la personne qui écrit le message. Cette fonctionnalité ne fonctionnera pas sur certains hébergements gratuits.

Dernière modification de cette page le 18 février 2019

Discussion

117 discussions

  • 1

    Je suis d’accord avec le premier commentaire. L’ajout des fonctions ce-dessous rendrait le plug-in plus complet.

    Dans mon cas, la majorité du spam vient de 2 ou 3 adresses emails (notamment teste@test.com). Alors même si c’est pas une protection optimale, ça ne couterait pas grand chose de les rajouter. De toute façon par défaut la liste serait vide, donc ceux et celles qui ne veulent pas s’en servir ne seront pas gênées.

    -  le bannissement d’adresse IP
    -  le bannissement d’adresse email
    -  le refus de message comportant des mots clefs

    • As tu essayé ce plugin tel qu’il fonctionne actuellement ? Pour l’améliorer, je suis preneur de tout scenario constaté qui le prend en défaut.

      En revanche les demandes de fonctionnalités basées sur des suppositions et des a priori ou des lacunes constatées avec d’autres plugins ne sont pas utiles. Le but est de faire un plugin souple, léger et efficace, pas un mastodonte bourré d’options qui ne sert à rien in fine.

    Répondre à ce message

  • Je tiens à te remercier pour cet excellent plugin, qui marche du feu de Dieu. Je suis littéralement en train de voir une série de spams arriver directement dans la poubelle sur un site où aucun autre type de protection antispam n’est implémenté. C’est vraiment chouette ! :-)

    Répondre à ce message

  • 3

    Je vois Spip 2.0.
    J’ai quand même essayé sur spip 1.9.2 et cela semble fonctionner, en tout cas on peut l’activer :) Y a t il des risques à l’utiliser avec la 1.9.2 ?

    Autre chose qu’il pourrait être intéressant d’intégrer c’est un captcha par défaut, comme ça il y aura un package global :) Mais au niveau du captcha il serait intéressant d’en avoir un élaboré, avec un générateur de caractère qui ne peut pas être interprété par des robots (comme ceux utilisé un peu partout sur les gros sites).

    • Si le plugin marchait avec SPIP 1.9.2, je l’aurais indiqué. Il *faut* SPIP 2.0.

      Par ailleurs, je refuse catégoriquement de mettre un captcha dans ce plugin et dans les forums en général.

      Les tests de captcha sont une horreur ergonomique, réalisée par des développeurs qui ne sont pas capables de se creuser la tête pour inventer quelque chose de transparent pour l’utilisateur, et lui pourrissent la vie pour se la simplifier.
      Essaye ce plugin sur SPIP 2.0 et sans captcha avant de réclamer.

    • salut,

      enfin un plugin « simple » contre le spam !
      merci ! merci !

      je suis bien d’accord avec toi sur l’horreur du captcha et je ne voulais installer aucun des plugins antispam disponibles car trop « contraignants » et pour certains pas du tout accessibles pour les utilisateurs.

      une remarque : certains hégergeurs suppriment directement une table si elle est spammée. Hors, ici, la modération n’empêchera pas le robot de gaver la base, non ?
      Quand tu écris :

      De même, si une adresse IP identique a déjà envoyé trop de messages consécutifs dans un laps de temps donné, les nouveaux messages sont automatiquement modérés.

      ne peut-on pas considérer qu’une personne est « incapable » d’envoyer N messages en T secondes (par ex.) et donc l’envoi serait automatiquement bloqué à ce moment-là, plutôt que d’enregistrer ça pour modération ?

      D’ailleurs, quel est ce laps de temps dont tu parles ?

    • En fait je posais simplement une question et faisait une suggestion, je ne réclamais rien... J’ai toujours du mal à comprendre pourquoi les gens réagissent de façon épidermique ; c’est vraiment dommage :)

    Répondre à ce message

  • 1
    Benoît LAURENT

    Je suis d’accord avec toi, j’ai beaucoup de scrupule à bloquer des groupes d’adresse complet et je ne trouve pas ça très « propre ». Néanmoins le résultat est là et je ne crois pas gêner les lecteurs du site.

    Les Spam que nous recevons ne sont pas envoyé par des spammeurs digne de ce nom ... sachant que le plugin est actif depuis le 11 octobre et donc que les messages bloqué ne sont plus enregistrés, j’ai dans la base 252 messages avec email ’test@test.com’ et 104 signé ’king@yahoo.com’. J’ai aussi une adresse IP ayant posté 167 messages ...

    Aujourd’hui je bloque un peu plus d’une centaine de groupe d’adresse et cela permet de respirer un peu car il n’est pas possible de gérer ça à la main contrairement à ce que suggère Patrice.

    • Moi je suis tout à fait d’accord avec ce que dit Cédric dans ce forum et dans son article.

      J’ai créé une lame pour Le Couteau Suisse dans laquelle il est possible de faire une liste de mots ou d’expressions interdites. Cette lame est très méchante dans un cas suspect, car elle bloque le message à la source, sans aucun enregistrement en base. Donc, ’test’ et ’king’ n’auraient pas pu sévir si longtemps, à moins de changer de signature !

      Suite à cette réflexion collective, aux améliorations apportées par SPIP 2.0 et aux travaux de Cédric, je vais donc ajouter d’autres types de protections douces (sans gêne pour l’internaute honnête) à cette lame.

    Répondre à ce message

  • 1

    Pour moi, rien de vaudra jamais la modération manuel.

    Laurent

    Site perso : Une-recette.com

    • Chacun ses préférences.

      Il se trouve juste que la modération manuelle peut devenir une activité à plein temps sur un site un peu fréquenté ...

    Répondre à ce message

  • L’essayer et faire des retours c’est déjà contribuer !

    Quand au banissement d’IP je n’y suis pas très favorable car :

    • un spammeur peut se cacher derrière un proxy et partager son IP avec des internautes de bonne foi
    • un spammeur digne de ce nom change son IP et son email (si tant est qu’il le remplisse) régulièrement pour éviter les banissements

    Le plugin implémente plutôt quelque chose qui ressemble à une liste grise car si une même IP envoie trop de messages consécutivement, ses mesages sont automatiquement modérés, ce qui enlève tout l’intérêt de son spam.

    Répondre à ce message

  • Benoît LAURENT

    Devant le nombre de SPAM dans les forums du site dont je suis le webmaster, montbouge.info, j’ai commencé un plugin : banip. Il est bien sûr très limité puisque récent et répond uniquement à mes problèmes.

    D’autres plugin existe autour du même thème comme celui-ci, Bloquer les IP’s.

    Il est pour moi important de proposer au utilisateur de SPIP un plugin lutant contre le SPAM qui ne dépende pas de ressources externe, comme le plugin Akismet, ni n’impose des contrainte à l’utilisateur comme les Capcha.

    Les fonctions supplémentaire d’un tel plugin pourrai être :
    -  le bannissement d’adresse IP
    -  le bannissement d’adresse email
    -  le refus de message comportant des mots clefs

    J’espère que les efforts pourrons être mutualisés. Je suis débutant en écriture de plugin SPIP mais je vais étudier le code et essayer d’y contribuer.

    Répondre à ce message

Ajouter un commentaire

Qui êtes-vous ?

Pour afficher votre trombine avec votre message, enregistrez-la d’abord sur gravatar.com (gratuit et indolore) et n’oubliez pas d’indiquer votre adresse e-mail ici.

Ajoutez votre commentaire ici

Ce champ accepte les raccourcis SPIP {{gras}} {italique} -*liste [texte->url] <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.

Ajouter un document

Suivre les commentaires : RSS 2.0 | Atom