Il y a un mois, je me plaignais de la recrudescence du spam et de l’inefficacité du plugin anti-spam Akismet installé par défaut avec WordPress.

La période des fêtes de fin d’annéeest une véritable aubaine pour les spammeurs. En effet, les informaticiens sont en vacances, laissant les entreprises moins protégées que d’habitude ; dans les familles, des ordinateurs tombent entre les mains de personnes souvent peu au fait des pratiques d’Internet. Bref, très rapidement, des ordinateurs tombent entre les mains de hackers qui prennent ainsi le contrôle de millions d’ordinateurs prêts à exécuter leurs ordres à distance. Souvent, ces ordinateurs zombies innondent Internet de spam, tentant de revendre moult produits et services à des centaines de millions d’Internautes.

Pour faire face au spam, la solution de bloging WordPress est par défaut pourvue du plugin anti-spam Akismet qui centralise les commentaires de plusieurs centaines de milliers de blogs en vue d’y repérer du spam. Le souci, c’est qu’en un an de fonctionnement, les spammeurs ont sensiblement amélioré leurs outils et Akismet s’avère bien trop souvent totalement inefficace. Je me suis donc résolu à essayer deux autres solutions antispam pour WordPress.

Le premier plugin WordPress Hashcash consiste à faire calculer par le client une valeur via un script JavaScript. Les spammeurs utilisant un robot ne sachant pas exécuter du JavaScript ne peuvent donc plus continuer à spammer les commentaires des blogs. Cela élimine entre la moitié et les trois-quarts du spam de commentaires environ. Les robots de spam restants doivent exécuter le code JavaScript qui réduit d’autant plus leurs capacités de nuisances. Malheureusement, la solution WordPress Hashcash n’est pas suffisante en soi, puisqu’un quart à une moitié des attaques passent tout de même.

Le deuxième plugin essayé est Bad Behavior / Bad Behaviour. Son principe est d’observer le comportement des clients accédant au blog et d’identifier les spammeurs de part leur comportement. Certains spammeurs tentent ainsi de pénétrer sur le blog en se faisant passer pour le robots d’indexation Googlebot. Or, les adresses IP d’où provient ce robot sont connues. Aussi, tout logiciel se faisant passer pour Googlebot provenant d’une autre adresse IP est un intrus à bloquer. D’autres astuces sont utilisées pour identifier les spammeurs, telles des incohérences dans la configuration du robot de spam qui tente de se faire passer pour un Internet Explorer alors que le système d’exploitation identifié est un UNIX, par exemple. Malheureusement, Bad Behavior / Bad Behaviour ne permet pas d’identifier de spammeurs additionnels par rapport à WordPress Hashcash. En effet, si ce dernier laisse passer le spam, il est fort à parier que le robot est à base d’un moteur de rendu tel que Gecko et se fait passer pour un navigateur web tout ce qu’il y a de plus conventionnel. Une fois WordPress Hashcash installé, Bad Behavior / Bad Behaviour n’apporte donc plus de valeur ajoutée pour filtrer le spam.

Aussi, ma solution au spam devient plus draconnienne. Désormais, je m’y attaque au niveau du pare-feu du serveur, jouant avec les règles Netfiler et iptables. Ainsi, lorsque je repère (actuellement manuellement) un spammeur en provenance d’un pays lointain non francophone (l’ensemble des sites hébergés sur le serveur sont en effet francophones), je bloque non pas juste son IP, mais toute la plage d’adresses IP gérée par son fournisseur d’accès Internet (FAI). Bien sûr, j’évite de bloquer des FAI français (tels que Free ou Orange), ou internationaux (tels qu’AOL), mais il existe des pays non francophones particulièrement ciblés par le spam, tels que la Chine, le Mexique, l’Ukraine ou autres Turkébistan pour n’en citer que quelques uns.

Si la solution de blocage manuel n’est pas satisfaisante d’un point de vue de l’efficacité, elle offre cependant l’avantage de bloquer les accès indésirables à l’ensemble du serveur. Une automatisation de la manipulation serait donc intéressante à l’avenir.