Помогите бороться со спамом
Помогите побороть спам который валится из форм…
нужно решение без капчи
валидацию по введенным данным формы проходят
пробовал скрытые поля ставить не помогает
Такие у меня формы:
нужно решение без капчи
валидацию по введенным данным формы проходят
пробовал скрытые поля ставить не помогает
Такие у меня формы:
[[!AjaxForm?
&snippet=`FormIt`
&form=`order-call`
&emailTpl=`callEmailTpl`
&hooks=`email`
&emailSubject=`Заказ звонка с сайта`
&emailTo=`frogggggi@gmail.com`
&validate=`work-email:blank,name:required,phone:required:regexp=^/[0-9]/^,workemail:blank`
&validationErrorMessage=`<p class="error">Ваше сообщение не отправлено!
Заполните обязательные поля формы.</p>`
&successMessage=`Сообщение успешно отправлено`
]]
07 февраля 2016, 17:31
Комментарии: 18
Просто используйте хук spam
Соответственно, вам потребуется еще несколько обманных инпутов (их вы скроете присвоив соответствующий класс CSS со свойством display:none). Заполнение данных полей как раз и будет препятствовать отправке формы. И называйте их как угодно, но лучше используйте в названии email и т.п.
Это самый надежный способ.
Соответственно, вам потребуется еще несколько обманных инпутов (их вы скроете присвоив соответствующий класс CSS со свойством display:none). Заполнение данных полей как раз и будет препятствовать отправке формы. И называйте их как угодно, но лучше используйте в названии email и т.п.
Это самый надежный способ.
Вот форма и только пришел спам 13 писем с нее
инпут у меня текстовый и через класс fields скрыт display:none;
вот вызов:
инпут у меня текстовый и через класс fields скрыт display:none;
вот вызов:
[[!AjaxForm?
&snippet=`FormIt`
&hooks=`email,spam`
&successMessage=`Сообщение успешно отправлено`
&form=`mainForm`
&emailTpl=`mainEmailTpl`
&emailSubject=`Заявка с главной страницы сайта`
&emailTo=`n.metelitsa@ekodomostroy.ru,v.frolov@ekodomostroy.ru,t.snegur@ekodomostroy.ru,frogggggi@gmail.com`
&submitVar=`mainForm`
&frontend_css=`[[+assetsUrl]]css/custom.css`
&validate=`workemail:blank,name:required,mail:email:required,phone:required:regexp=^/[0-9]/^`
]]<form action="[[~[[*id]]]]" method="post" id="main-order" class="order-on-main general clearLabel">
<div class="top-block-order">
<div class="title_no_h3">Заполните заявку<small>Мы бесплатно рассчитаем смету</small></div>
</div>
<input type="text" id="workemail" name="workemail" value="" class="fields" />
<input type="hidden" name="when" id="when" value="[[+date`]]" class="when">
<p><input type="text" placeholder="Имя" class="fio" name="name" value="[[!+fi.name]]" required /></p>
<p><input type="text" placeholder="Email" class="mail" name="mail" value="[[!+fi.mail]]" required /></p>
<p><input type="text" placeholder="Телефон" class="phone" name="phone" value="[[!+fi.phone]]"/></p>
<p><textarea name="message" class="message" placeholder="Комментарии" required>[[[[!+fi.message]]]]</textarea></p>
<div class="bottom-block-order">
<input type="submit" value="Отправить" class="yellow-btn" id="mainForm" name="mainForm"/>
</div>
</form>
Есть еще нюанс.
Если используете проверку на пустоту поля:
Просто боты нынче умные — они понимают, что поле «hidden» — скрытое и оставляют его пустым -> проверка проходится на раз-два )
Если используете проверку на пустоту поля:
&validate=`work-email:blank.....`Просто боты нынче умные — они понимают, что поле «hidden» — скрытое и оставляют его пустым -> проверка проходится на раз-два )
у меня никаких особых защит не стоит — ни капчи, ни текстовых вопросов.
защита серверная.
Все дело в спам-программах — они сначало пытаются понять, с каким движком имеют дело, а только потом уже заспамиться\зарегистрировать пользователя\оставить ссылку, делают они это по следующим признакам:
1. наличие footprint'а в файле html
2. ломятся по известным адресам (папкам)
Вот этот пункт интересен.
В nginx вешаем правило
Потом ставим fail2ban, и организуем следующий jail:
/etc/fail2ban/filter.d/nginx-noscript.conf
/etc/fail2ban/filter.d/jail.conf
При такой защите не только у спам-программ отпадает охота сканить ваш сайт, но и у тех, кто делает это вручную.
+Абсолютная неуязвимость к программам определяющих на какой CMS ваш сайт
+Практически никакого спама (только если форма отправки сообщений висиь на главной страничке)
+Разгрузка динамического бэкэнда php5-fpm\hhvm от ненужных запросов
Все эти интересные пути запрашиваются тысячами, обнаружить их можно анализируя логи через удобный интерфейс piwik, который называется log analizator, серверный скрипт, написанный на питоне. Смотрит все логи nginx и строит по ним всякие графики, пободно yandex.metrika, только по логам а не через прикрепляемый javascript (хотя такая возможность тоже есть). Тут же можно следить, как часто робот яндекса\гугла посещает ваш сайт.
защита серверная.
Все дело в спам-программах — они сначало пытаются понять, с каким движком имеют дело, а только потом уже заспамиться\зарегистрировать пользователя\оставить ссылку, делают они это по следующим признакам:
1. наличие footprint'а в файле html
Powered by wordpressPowered by joomla2. ломятся по известным адресам (папкам)
/bitrix/
/user/
/users/
/registrate/
/login/Вот этот пункт интересен.
В nginx вешаем правило
location ~* ^/(blocks|bitrix|user|users|registrate|login|node|netcat|wp-admin|wp-content|wordpress|engine|blocks|administrator|PMA|phpmyadmin|myadmin|mysql|mysqladmin|sqladmin|mypma|admin|xampp|mysqldb|mydb|db|pmadb|phpmyadmin1|phpmyadmin2)(|/) {
try_files $uri =404;
}Потом ставим fail2ban, и организуем следующий jail:
/etc/fail2ban/filter.d/nginx-noscript.conf
[INCLUDES]
before = common.conf
[Definition]
failregex =
^[^ ]* <HOST> -.*"GET.*(\.php|\.asp|\.exe|\.pl|\.cgi|\.scgi).*" 404
^[^ ]* <HOST> -.*"GET.*/(blocks|bitrix|user|users|registrate|login|node|netcat|wp-admin|wp-content|wordpress|engine|blocks|administrator|PMA|phpmyadmin|myadmin|mysql|mysqladmin|sqladmin|mypma|admin|xampp|mysqldb|mydb|db|pmadb|phpmyadmin1|phpmyadmin2).*" 404
^[^ ]* <HOST> -.*"GET.*" 403
^[^ ]* <HOST> -.*"GET.*" 401
^[^ ]* <HOST> -.*"GET.*" 444
ignoreregex =/etc/fail2ban/filter.d/jail.conf
[nginx-noscript]
enabled = true
port = http,https
#action = iptables-multiport[name=NoScript, port="http,https"]
filter = nginx-noscript
logpath = /var/log/nginx*/*access*.log
maxretry = 3
bantime = 600При такой защите не только у спам-программ отпадает охота сканить ваш сайт, но и у тех, кто делает это вручную.
+Абсолютная неуязвимость к программам определяющих на какой CMS ваш сайт
+Практически никакого спама (только если форма отправки сообщений висиь на главной страничке)
+Разгрузка динамического бэкэнда php5-fpm\hhvm от ненужных запросов
Все эти интересные пути запрашиваются тысячами, обнаружить их можно анализируя логи через удобный интерфейс piwik, который называется log analizator, серверный скрипт, написанный на питоне. Смотрит все логи nginx и строит по ним всякие графики, пободно yandex.metrika, только по логам а не через прикрепляемый javascript (хотя такая возможность тоже есть). Тут же можно следить, как часто робот яндекса\гугла посещает ваш сайт.
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
Здесь упомянуты:
| Компонент | Текущая версия | Закачки |
| AjaxForm | 1.2.2-pl от 17.10.2021 | 19 528 |
Вчера в 21:12
Спасибо. Работает.
15 ноября 2024, 17:40
спасибо, несколько раз проверял и не заметил)
14 ноября 2024, 13:55
Сложна.
Я сделал с помощью js. Задал class для div c results
и вот так прописал
document.querySelector('.easycomm div').textContent = 'Отзывов пок...
14 ноября 2024, 11:50
Добрый день! Установил MarkdownEditorFrontend с modstore и xpdo выдало ошибку что не может найти сервис. К моему удивлению в транспортном пакете не на...
14 ноября 2024, 05:22
astro.build впервые слышу такой фреймворк. Вообще gtsAPI затачивался под primevue.org. Но в primevue вообще не никакой связи с api. Там api как хочешь...
13 ноября 2024, 10:55
Не все пожелания клиента нужно реализовывать. Одно дело когда желание обосновано бизнес-процессами, а другое дело клиент так видит. В данном случае, н...
