Je reçois du spam malgré un captcha, mon blog wordpress a-t-il été piraté?
J'ai un blog wordpress sous mon propre domaine. Il n'a pas de sécurité spéciale.
Au cours de la dernière semaine, mon blog a été spammé par quelqu'un de Russie - je pense que le contenu de mon blog l'a en colère. Il publie environ 20 commentaires de spam (uniquement des liens vers des médicaments, etc.) tous les jours à des heures décalées. Je ne comprends tout simplement pas. Les commentaires doivent entrer un nom, un e-mail et également passer une vérification graphique "captcha". Il serait extrêmement ennuyeux et fastidieux de faire ce type de spam manuellement. En général, les commentaires ne peuvent pas être effectués via un logiciel automatisé, sauf si un expert pirate mon site.
Est-ce que quelqu'un sait s'il est probable que quelqu'un puisse pirater mon site?
La publication de spam ne nécessite aucun piratage.
Concernant le captcha, il y a deux possibilités:
- Soit le captcha est automatisable (je ne sais pas pour votre site web, mais je rencontre quand même beaucoup de sites web portant des captchas totalement inutiles).
- Si le captcha n'est pas automatisable, les spammeurs peuvent engager des gens pour les résoudre pour aussi peu que 2 $ pour mille captchas .
Votre site Web n'est généralement pas spécialement ciblé: il cible uniquement toute URL aléatoire où les commentaires sont directement publiés. Lorsque cela est possible, préférez éviter de publier automatiquement les commentaires des visiteurs mais publiez-les après modération, assurez-vous au moins que le rel="nofollow" la propriété est utilisée pour les liens dans les commentaires afin que les sites Web de spammeurs ne gagnent aucune réputation en publiant des liens dans votre section de commentaires.
Il est peu probable qu'il ait piraté votre site. Il est également peu probable qu'il le fasse manuellement. Si vous exécutez un site Wordpress, les bots finiront par le trouver et spammeront. La résolution de Captcha peut toujours être externalisée à quelqu'un du tiers monde pendant des sous, qui ne fait littéralement rien d'autre que répondre captchas toute la journée.
Comme il s'agit d'un blog personnel, vous devez installer le plugin Akismet. Il détourne la détection du spam (donc s'il a spammé un autre site en premier, au moment où il arrive sur le vôtre, il est déjà un spammeur connu et est bloqué en conséquence).
"Il n'a pas de sécurité particulière"
Comme vous le dites, vous avez une vérification du captcha. Oui, c'est une sécurité "normale", pas spéciale. Envisagez d'ajouter un anti-spam. Akismet fait un travail assez décent.
"Je pense que le contenu de mon blog l'a irrité".
La plupart des spammeurs (et pirates) ne se soucient pas beaucoup de votre contenu. Ils veulent juste des clics vers leurs sites. C'est une course aux armements constante entre les spammeurs et les victimes - alors soyez prêt à continuer à mettre à jour vos défenses anti-spam (et d'autres mesures de sécurité aussi) au fur et à mesure. :)
Retour à:
Il n'a pas de sécurité spéciale
Bien que le spamming régulier ne les oblige pas à pirater votre site, il est possible d'exploiter de simples vulnérabilités pour contourner les contrôles de formulaires et publier non seulement du spam de commentaires mais aussi des messages de spam et pire encore, injecter des javascript/liens malveillants dans votre site. Vous ne le remarqueriez même pas dans des circonstances normales. Par conséquent, je vous recommande fortement de prendre des mesures pour une sécurité supplémentaire.
En tant que pro de la sécurité à long terme, j'ai même vu des utilisateurs "Je mets à jour et corrige régulièrement" de mauvaises surprises lorsque Google les marque comme des sites malveillants, car les pirates ont régulièrement de petites fenêtres d'opportunités pour même dépasser ces précautions normales.
La plupart des bonnes sécurités nécessitent un "Go Pro", mais certaines choses de base peuvent être gratuites. par exemple, j'utilise BBQ Block Bad Queries . La version gratuite est assez bonne et légère. Nous l'avons tellement aimé que nous avons intégré des fonctions similaires dans notre propre wordpress plugin de sécurité + application mobile - ActiFend (alerte: plug sans vergogne: |).
Malheureusement, WordPress les conseils de sécurité sont en grande partie les mêmes depuis des années; en ignorant les tendances récentes en matière de piratage. J'ai écrit quelque chose qui s'applique aux temps récents - Est-ce que votre WordPress Le plugin de sécurité protège-t-il vraiment?
Je pense qu'il est très peu probable que votre blog ait été piraté. Il le fait probablement manuellement - comme vous l'avez dit, 20 messages par jour ne prennent pas autant de temps.
J'utilise https://en-gb.wordpress.org/plugins/wp-spamshield/ - utilisé pour obtenir des charges de spam mais cela supprime en quelque sorte tout, aucun captcha nécessaire mais de véritables commentaires passent ok - je ne suis pas lié à ce plug-in de toute façon, à part que je l'utilise depuis quelques années, il est gratuit et fonctionne bien.