NoSPAM

20 November 2008 – by Cerdic – 340 commentaires

1
2
3
4
5
87 Votes
Un plugin pour limiter le risque de spam dans les forums de SPIP.

Table of contents

Le plugin introduit plusieurs mécanismes visant à limiter l’envoi de spams depuis les formulaires de SPIP (forums publics, formulaires de contact, formulaires des pétitions).

Un jeton périssable

Les formulaires se voient dotés d’un jeton périssable et lié à l’IP. Ce jeton empêche la réutilisation du même formulaire au delà de la durée de péremption, et rend ainsi le post automatique par robot plus compliqué.

Modération automatique dans les forums non modérés

Le but des spammeurs est de publier du contenu en ligne. Si les messages suspects sont modérés, l’intérêt du site diminue pour les attaquants qui iront voir ailleurs.

Le plugin utilise donc quelques règles de prudence pour modérer automatiquement les messages suspects.

-  Si un message contient trop de lien, il est modéré automatiquement, voire mis à la poubelle (où il peut être repêché par le modérateur). Les liens vers le site lui-même ne sont pas intégrés à ce compte. À partir de la version 1.6.0, on peut utiliser la constante NOSPAM_DOMAINES_AMIS pour indiquer une liste de sites (séparés par une virgule) qui n’entrent pas non plus dans ce compte.
Par exemple, dans votre fichier mes_options.php :
define ("NOSPAM_DOMAINES_AMIS", "spip.net, core.spip.org");

-  De même, si une adresse IP identique a déjà envoyé trop de messages consécutifs dans un laps de temps donné, les nouveaux messages sont automatiquement modérés.

-  A partir de la version 1.2.0, le plugin se base aussi sur la langue du message pour affiner la modération, et compare également l’adresse IP du posteur avec une base actualisée en temps réel des IPs malveillantes [1]

Le plugin pourra être enrichi de nouveaux dispositifs au fur et à mesure de vos retours.

Ne cumulez pas !

Si vous voulez aider à améliorer l’efficacité de ce plugin avec vos retours, ne l’utilisez pas en même temps qu’un plugin captcha ou un autre plugin anti-spam.

Le but de ce plugin est de faire aussi bien ou mieux qu’un captcha, mais sans gêner l’internaute.

Vous avez encore du spam juste après l’avoir installé ?

Les spammeurs aimaient bien votre site ! Alors ils viennent voir avec leurs petites mains pourquoi leurs robots ne passent plus, et ils font des tentatives pour comprendre.

Laissez les faire, mais faites attention à bien déclarer “SPAM” les messages qui en sont. Vous verrez que très vite ils vont se décourager d’envoyer des messages qui ne sont jamais publiés !...

Avec SPIP 2.x, utiliser le plugin Gestion forum pour déclarer un message en SPAM.

Protéger d’autres formulaires - simple

Le plugin peut aussi protéger vos formulaires personnalisés avec son système de jeton.
Pour cela, il suffit de déclarer votre formulaire dans la variable globale formulaires_no_spam, dans votre fichier mes_options.php (ou mon_plugin_options.php). N’oubliez pas de repasser par le panneau d’administration du plugin si vous avez ajouté un fichier mon_plugin_options.php.
Ici, par exemple, on déclare le #FORMULAIRE_CONTACT_LIBRE :

// proteger le #FORMULAIRE_CONTACT_LIBRE
$GLOBALS['formulaires_no_spam'][] = 'contact_libre';

Protéger d’autres formulaires - avancé

Si la protection simple n’est pas suffisante, plusieurs protections supplémentaires sont possibles :

Analyser le résultat saisi

On utilise les fonctions d’analyse de NoSPAM (présentes dans le fichier inc/nospam.php du plugin) dans la fonction vérifier() de formulaire_contact_libre.php.

include_spip('inc/texte');
// si nospam est present on traite les spams
if (include_spip('inc/nospam')) {
	$caracteres = nospam_compter_caracteres_utiles($texte);
	// moins de 10 caracteres sans les liens = spam !
	if ($caracteres < 10){
		$erreurs['texte_message'] = _T('forum_attention_dix_caracteres');
	}
	// on analyse le sujet
	$infos_sujet = nospam_analyser_spams($sujet);
	// si un lien dans le sujet = spam !
	if ($infos_sujet['nombre_liens'] > 0)
		$erreurs['sujet_message'] = _T('nospam:erreur_spam');
 
	// on analyse le texte
	$infos_texte = nospam_analyser_spams($texte);
	if ($infos_texte['nombre_liens'] > 0) {
		// si un lien a un titre de moins de 3 caracteres = spam !
		if ($infos_texte['caracteres_texte_lien_min'] < 3) {
			$erreurs['texte_message'] = _T('nospam:erreur_spam');
		}
		// si le texte contient plus de trois lien = spam !
		if ($infos_texte['nombre_liens'] >= 3)
			$erreurs['texte_message'] = _T('nospam:erreur_spam');
	}
}

Obfusquer les name du formulaire

A partir de NoSpam v2

C’est une méthode proposée par NoSpam qu’on peut activer au cas par cas en ajoutant une clé dans le tableau renvoyé par la fonction charger() du formulaire :

	$valeurs['_nospam_encrypt'] = true;
	return $valeurs;

Les valeurs possibles sont true pour obfusquer tout sauf les name commençant par session_ ou 'all' pour tout obfusquer.

A noter que cette option est aussi activable globalement pour tous les formulaire du site via un define dans le fichier mes_options.php

define('_SPAM_ENCRYPT_NAME', true);

S’assurer que l’utilisateur recharge la page avant de lancer l’action

A partir de NoSpam v2

La plupart des bots spammeurs se contentent de faire un POST sans charger le résultat.
Pour éviter de faire une action en base de données déclenchée par un spammeur de ce type, il est possible de retarder l’action faite dans la fonction traiter() du formulaire et de la faire déclencher par l’utilisateur uniquement si il affiche bien le message de succès et execute le Javascript de la page.

Pour cela on peut utiliser la fonction nospam_confirm_action_html() de la façon suivante dans la fonction traiter()

	include_spip('inc/nospam');
 
	if (function_exists('nospam_confirm_action_html')) {
		$html_confirm = nospam_confirm_action_html("mafonction", "Description", $args);
		$res['message_ok'] .= $html_confirm;
	}
	else {
		// ICI lancer normalement mafonction()
	}

Pour simplifier son usage, l’utilisation de nospam_confirm_action_html() est identique à celle de job_queue_add()

Footnotes

[1Cette comparaison se fait par récupération de la liste des IPs qui abusent, et non en envoyant des données à un service externe sur la personne qui écrit le message. Cette fonctionnalité ne fonctionnera pas sur certains hébergements gratuits.

updated on 27 May 2020

Discussion

5 ans 1 an 3 mois Sans limite
par date
Filtrer

121 discussions

  • 11
    Benoits

    Bonjour,
    Suite à une mise à jour de SPIP dernière version + formidable et no spam je reçois le message suivant au dessus du formulaire à chaque validation de réponse :
    Impossible de prendre en compte votre message. Merci de le soumettre à nouveau !
    Qui est visiblement lié à une histoire de jeton sur nospam d’après la doc...
    On avait pas de problèmes de SPAM mais par contre on risque de louper des réponses assez importantes sur ce formulaire destiné à des personnes agées...
    Car ça fonctionne si on revalide une seconde fois le formulaire...
    Y’a-t-il possibilité de désactiver nospam, au moins pour tester si le problème vient bien de là ? Car si on le désactive seul dans l’interface ça désactive d’office formidable.
    Please help me !
    (argh j’ai le même message quand je veux valider ma réponse sur ce site !!! cf copie d’écran)

    • Maïeul

      il est possible de supprmer dans le fichier paquet.xml de formidable le fait qu’il nécessite nospam, et cela permettra d’activer formidable mais pas nospam.

      Cela étant, ce n’est pas normal. Peux tu voir du coté des fichiers nospam.log pour qu’on comprenne?

      ps : le choix de mettre nospam en obligatoire sur formidable a été pris car beaucoup se plaignait de spam, sans connaitre le plugin. Tu es la première personne qui nous remonte un problème similaire au tien — que je ne nie pas, mais que j’aimerais comprendre.

    • Cerdic

      Oui mais c’est pas la bonne réponde @maieul !

      Si il y a ce problème récurrent c’est parce que le formulaire a perdu son dynamisme et le jeton est mis dans le cache au lieu d’être calculé à chaque affichage du formulaire.
      C’est donc un problème de structure de squelette, et d’utilisation abusive de #INCLURE qui par construction transforme en texte/html tout ce qui est inclus (en perdant donc les partie dynamique)
      Il faut donc remplacer les #INCLURE par des <INCLURE> car vous avez sinon le risque de divulger du contenu saisi par une personne à d’autres personnes…

      (ou alors le formulaire est inclus via un modèle perso ce qui produit le même résultat)

    • Maïeul

      Ce qui est étrange est que Benoits a eu aussi le problème ici. En consultant les logs, je vois qu’une IP a été considéré comme problématique à l’heure où il postait son message.

      Du coup il faudrait peut etre tester depus une autre IP.

      par contre cerdric, ce que tu dis sur le dynamisme des squelettes est pas hyper clair, notamment sur les modèles: c’est problématiqur d’appeler un formulaire via un modèle?

    • Benoits

      Re-bonjour,
      En fait c’est étrange le problème est aléatoire certains collègues arrivent à poster sans problème (depuis la même IP) alors que des personnes extérieures se sont plaintes de ne pas avoir reçu de réponse suite à leur validation du formulaire depuis que nous avons fait la mise à jour de spip 3.2
      Nous envoyons des mails sur de très grosses newsletters à partir de l’IP du boulot, peut-être est on classés comme spammeurs ? (ce n’est pas le cas je vous rassure)
      Je ne trouve pas de fichier nospam.log dans le dossier du plugin ou dans tmp pourriez vous me dire où il se cache ?

    • Cerdic

      Non c’est pas étrange, c’est normal. Il y a un jeton de validité généré dans le html du formulaire, normalement à chaque affichage, qui est valide 1h uniquement.

      Donc selon l’état du cache, selon que le jeton est plus ou moins vieux ça passe ou pas. C’est un problème de structure des squelettes et d’insertion des formulaires, rien à voir avec l’IP

      Quand l’IP est suspecte ou que le comportement de l’utilisateur fait penser à un bot, le message le dit explicitement

    • Benoits

      Ça reste mystérieux pour moi étant donné que ça marchait très bien depuis des années et que depuis la màj en de 3.0 vers 3.2 ça pose souci.... Mais effectivement il y a beaucoup d’ “#INCLURE” dans nos squelettes.

    • Maïeul

      A tester donc en remplacang par des <INCLURE>.

    • Benoits

      Bon ben effectivement ça a l’air d’aller mieux en remplaçant tous les #INCLURE par des <INCLURE /> à confirmer sur le long terme mais merci pour vos réponses rapides !!

    • Pierre KUHN

      Bonjour,

      J’ai le même problème et j’utilise que des <INCLURE mais je me rends compte que le _jeton ne change pas sauf si on revalide le formulaire avec le message d’erreur.

      Le formulaire est utiliser dans un article avec le modelè.

      J’ai le problème sur 3 des 5 formulaires.

      Comment chercher ce qui bloque ?

      Merci.

    • benoits

      Je réagis un peu tard mais oui ben moi en fait, le coup de tout remplacer par des <INCLURE n’a pas vraiment résolu le problème... Le problème est apparu moins fréquemment peut-être (il me semble) toujours de façon assez aléatoire, j’ai laissé tomber pour résoudre le souci de façon technique et j’ai du appeler nos adhérents a bien valider une seconde fois le cas échéant mais j’aimerai bien trouver une solution à terme afin d’éviter d’avoir à proposer des formulaires à la mano pour être sur de la fiabilité du truc...

    • RastaPopoulos

      @Cédric j’ai un site Z-core assez simple dans son contenu, càd que ya quasiment pas de sous-inclusions, les contenus sont dans le bloc principal (“main” chez moi) qui est donc inclus par <INCLURE dans body.html. Avec dedans un #FORMULAIRE_FORMIDABLE.

      Et pourtant j’ai ce message d’erreur de jeton assez souvent. Donc ce n’est pas juste parce que #INCLURE, non ?

    Reply to this message

  • 1
    ubiq

    Bonjour,
    Je me rends compte à l’instant que mon plugin NoSpam 2.1.6 bloque l’envoi de mes courriers avec le formulaire Contact Libre 2.0.3, sur un SPIP 3.2.5
    J’active NoSpam, j’arrive sur une page blanche après envoi.
    Je désactive NoSpam, le message est envoyé.
    Après vidage du cache, le symptôme persiste.
    A noter que le plugin Formulaire de contact avancé 0.16.6 ne semble pas affecté.
    A noter aussi que j’utilise le plugin Facteur sur le site posant problème.
    Pouvez-vous me donner une piste pour débugger cela ? Merci !

    • ubiq

      Le problème venait d’une surchage que j’avais faite sur les formulaires du plugin Contact Libre => Bref, mes vieux formulaires Contact Libre en surcharge ne prenait pas en compte les ajustements récents des formulaires du plugin NoSpam mis à jour.
      Au temps pour moi, et merci à Maïeul pour son aide !

    Reply to this message

  • 6
    RealET

    Bonjour,

    Confronté à de nombreux SPAM dans formidable, je m’attendais à y trouver comme pour les forums un bouton [Déclarer en SPAM].
    Et en fait, ça n’est pas prévu actuellement (dixit Maëul).

    Est-ce que c’est imaginable de le rajouter ?
    C’est beaucoup de code à faire ?
    Des pistes (doc à lire, lignes de codes existantes à comprendre, API) ?

    • Cerdic

      Ici c’est le support de NoSpam, rien à voir donc

      (NoSpam ne gère aucune interface utilisateurs, seulement de la detection et blocage de robot à la saisie et du taggage spam pour les forums, qui par ailleurs gèrent déjà le statut SPAM sur les messages et leur propre interface de taggage, notification etc.)

    • Maïeul

      A voir quand même. En effet, à ce jour nospam 1.6.1 tient compte des messages deja existant pour calculer la probabilité qu’un message soit du spam (pipeline nospam_preedition). C’était là le sens de mon propos : à quoi servirait-il que formidable puisse déclarer un message comme spam si après on ne peut tirer profit de cette information? Et à mon sens ce serait à nospam de pouvoir proposer un mécanisme général tenant compte du statut “spam” de l’objet.

    • Cerdic

      nospam propose toute une panoplie d’outils et de fonctions de detection, et un heuristique sur le comportement de post des utilisateurs mais :

      1/ il faut bien que l’objet editorial (formidable en l’occurence) propose/supporte un statut SPAM
      2/ qu’il propose une interface pour signaler manuellement du SPAM, ou a contrario valider un message qui aurait été détecté en SPAM si on une detection automatique (car sinon ça n’a pas de sens)
      3/ et alors, si tu connais la structure éditoriale de l’objet tu peux envisager de faire une fonction de detection/supposition pour essayer de repérer les SPAMs

      Pour 1/ et 2/ ça dépend totalement du plugin editorial (formidable toujours).

      Pour 3/ ça peut se discuter, mais dans la mesure ou formidable est une structure éditoriale complexe et variable que lui seul connait, je ne vois pas du tout mettre toute cette complexité dans nospam.

      Donc là aussi c’est à formidable de gérer ça en ajoutant ses fonctions de detection, ce pour quoi il peut s’appuyer sur les fonctions de nospam...

    • Maïeul

      oui pour 1 et 2 je suis d’accord.

      pour 3 est-ce qu’il n’y aurait pas, à tout du moins, possibilité d’envisager une structure commune fournie par nospam sur lequel des formulaires pourraient se brancher ? je suis d’accord que la structure éditoriale de formidable est complexe. Mais est-ce qu’on ne pourrait pas envisager une fonction générique de nospam recevant des infos “normalisées” sur un objet, charge au plugin qui crée cet objet (en l’occurence, Formidable) de fournir ces infos.

      En l’occurence, si je prend ce que je vois d’existant dans nospam actuellement (pas la version de dev) je vois trois element d’heureustique
      1), le statut spam + l’heure + IP des objets précédements enregistrés
      2) le nombre de lien
      3) langue

      En séparant ces 3 élèments en fonction distinctes, on pourrait brancher dessus des objets (charge aux plugins de fournir les paramètres de ces fonctions d’après ses objets propres)

    • Cerdic

      Comme j’ai dit, il y a des fonctions utilitaires dans nospam, mais l’heuristique est à adapter à la structure éditoriale.

      Si tu as 10 champs URLs dans ton formulaire, tu vas pas déclarer en SPAM sous pretexte que tu trouves 10 urls…

      Bref, y a pas de magie, moi je sais pas faire. Dans le plugin on a déjà une fonction spécifique et différente pour les petitions et pour les forums.

      Mais sentez vous libres d’inventer une heuristique universelle hein (et vous ferez fortune au passage)

    • Maïeul

      hum, ce que j’en disais c’était surtout pour éviter de se retrouver avec 36 fonctions similaires dans 36 plugins différents. Je sais parfaitement qu’il n’existe pas de fonction universelle....

      Pour l’heure, je vais laisser refroidir. Je prendrais ensuite ce qui existe dans nospam, et je verrais ce qui peut ou pas être mutualisé.

    Reply to this message

  • 1
    JLuc

    La doc indique de déclarer les formulaires à protéger dans le fichier d’options. Certains plugins le font ailleurs : dans le fichier PHP contenant les fonctions CVT. Ça évite de créer un fichier d’option.
    Par exemple la branche V1 du plugin mailsubscriber pour le formulaire newsletter_subscribe. Rq : dans la branche trunk de ce même plugin, toute protection a disparu.

    Est- ce suffisant de déclarer le formulaire a nospam dans le fichier php du CVT ?

    • JLuc

      Quand je déclare sa nospamabilité dans le fichier php du CVT du formulaire j’ai l’impression que c’est bien pris en compte car un input hidden avec name=_jeton est créé dans le form.
      Alors j’ajoute bien cette possibilité dans la doc ?

    Reply to this message

  • 19
    Théo

    Bonjour,

    En faisant la mise à jour de “Formidable”, le plugin “NoSPAM” était demandé.

    Avec le couteau suisse j’avais activé :
    Sécurité -> Lutte contre le SPAM

    Les deux sont-ils compatibles ? je ne comprends pas pourquoi ce plugin supplémentaire ?

    Merci d’avance si quelqu’un pouvait m’expliquer cela.

    • Maïeul

      Le plugin NoSpam est un plugin communautaire qui peut se brancher sur n’importe quel formulaire. Il fonctionne sur un principe de liste noir communautaire + des tests d’intelligences artificiels.

      La lame nospam du couteau suisse fonctionne essentiellement pour certains champs et visiblement pas ceux de formidable, en lecture rapide de code. Par ailleurs, il fonctionne sur une liste de mot clef interdit. Ce n’est pas du tout la même approche, et ce n’est pas applicable aux formulaires formidable.

      Les mainteneurs du plugin formidable (Rastapopoulos et moi-même, pour l’essentiel) nous sommes dit qu’il était important, puisque les formulaires formidable sont public, d’avoir par défaut un antispam (en plus de l’antispam propre à Fordmiabke)

    • Théo

      Merci de cette réponse rapide.

      Finalement, je laisse la lame du couteau suisse active ?

      Pas de risque de doublons pouvant perturber NoSpam ?
      ou je la désactive ?

    • Maïeul

      personnellement, je désactiverai le couteau suisse en general qui est une usine à gaz. A priori pas de risque de doublons, simplement du coup ca permettra pas d’ameliorer nospam.

    • Théo

      Donc je peux laisser “Lutte contre le SPAM” et “MailCrypt” tout en activant NoSPAM ?

    • Maïeul

      a priori oui.

    • Théo

      Je viens de faire cette mise à jour en incluant NoSPAM et du coup plus de retour de formulaires… :(

    • Pierre KUHN

      Plus de retour ? + ou pas du tout ?

    • Théo

      Non, plus du tout.
      J’ai désactivé “Lutte contre le SPAM” du couteau suisse et c’est pareil :(

    • Pierre KUHN

      On peut avoir une url ? Tu as essayé de remplir le formulaire pour voir ce que ça donne ?

    • Théo

      Bien sûr que j’ai rempli le formulaire pour me l’envoyer mais pas de réponse alors que le message par lequel il a bien été envoyé s’était affiché dans le cartouche vert.

    • Pierre KUHN

      pas de réponse ??? c’est à dire ?

    • Théo

      Pas de courriel dans la messagerie dans laquelle le formulaire est censé avoir envoyé le contenu…

    • Théo

      Je ne me souviens plus comment était la page de configuration de “Formidable” mais je trouve toutes les cases à cocher vides…

    • Pierre KUHN

      et dans les logs ? si tu as pas de visite ça par mal du site aussi

    • Théo

      Euh… les logs ? je les trouve où ?

    • Pierre KUHN

      dans ton tmp/log déjà

    • Maïeul

      hum, je ne pense pas que ce soit lié à nospam ca. Par contre c’est bizarre que tu ai toutes les cases à cocher vide. On a pas mis de chose en ce snes. En plus si tel était le cas, pourquoi a t-on un message qui dit que c’est bien passé.

      Du coup peut tu m’envoyer (monprenom@monprenom.net) un export .yaml du formulaire

      Pour les logs, le plus simple est d’activier le plugin simplelog, ou bien tu peux les recuperer dans tmp/log via ftp. Normalement tous les élèments envoyés par formidable sont stockés.

    • Théo

      ? ? ? Plus d’une heure après l’envoi de mon premier essai de formulaire je viens d’en recevoir le contenu…
      Je viens de m’en envoyer un avec date et heure d’envoi dans le champs “commentaire”.
      Je vais donc pouvoir chronométrer le temps exact d’acheminement.
      Je vous tiens au courant du résultat mais c’est quand même curieux… OVH aurait des soucis (?)

    • Théo

      En effet, je viens de recevoir à l’instant le retour de mon formulaire envoyé à 17:15. Soit un peu plus d’une heure après l’envoi.
      Donc pas de souci de “Formidable” ni de “NoSPAM” mais probablement de l’hébergeur (?).
      J’avais pourtant déjà fait des tests au début de l’installation de ce plugin et je ne me souviens pas d’un délai aussi long.
      J’ai laissé “MailCrypt” et désactivé “Lutte contre le SPAM” dans le “Couteau suisse”.
      Bon, enfin ça re-fonctionne…
      Merci de votre aide et bon week :)

    Reply to this message

  • Pierre KUHN

    Bonjour,

    Sur les signatures de pétiion dans le privé de SPIP, on ne peut pas les signalé en spam pour bloquer un bot, comment faire ?

    Reply to this message

  • 16
    tandai

    Bonjour,
    Je viens de mettre à jour mon site à la version 3.2.1 et réinstaller le plugin NoSPAM (par la fonction ajout automatique via le répertoire plugins/auto)... Cependant, après avoir activé le plugin, les messages spams continuent à attaquer tous mes articles publiés (les forums étant en mode “Publication immédiate des messages”), des dizaines par jour.
    Dans l’interface d’administration du site et des plugins, je n’ai trouvé aucun lieu où je peux modifier ou personnaliser les paramètres de NoSPAM. J’ai essayé de lire toutes les indications et tous les messages ici mais ne sais pas comment régler le problème.
    Est-ce que vous pouvez m’aider SVP ?
    Merci par avance.

    • Pierre KUHN

      Bonjour,

      Tu classes bien en spam les messages qui le sont ?

    • tandai

      Oui, j’ai essayé toutes les possibilités : les signaler comme spam, les supprimer, ajouter les chaines de caractères répétées dans la liste des séquences interdites du plugin Le Couteau Suisse > Lutte contre le SPAM, etc. En vain, de nouveaux messages spams reviennent par dizaines chaque jour.

    • Pierre KUHN

      Déjà ne garde que nospam, ne supprime pas les messages.

      Ensuite tu vais le soucis avant le changement de version de SPIP ? Quel hébergeur ?

    • tandai

      D’accord. Face au problème, j’ai du désactiver les forums pendant quelques semaines. Je viens de les réactiver pour voir comme ça marche maintenant. Mon hébergeur étaient sur IXWeb Hosting pendant plusieurs années, mais qui vient d’être repris par Site5. C’est un peu ennuyeux ce nouveau hébergeur, mais je ne veut pas vraiment changer car la migration de mes sites devrait être trop compliquée.
      D’avance merci.

    • tandai

      Voilà le premier message spam qui arrive juste 30 minutes après la réouverture des forums publics de mon site. Je l’ai choisi pour signaler comme spam sans le supprimer, mais je suis pas certain que ça marche.

    • Pierre KUHN

      Ce que tu peux regarder c’est :
      -  l’auteur a un compte ?
      -  l’email a déjà poster ?
      -  l’ip a servi pour d’autre message ?

      Tu as une url pour voir le site ?

    • tandai

      L’auteur n’a pas d’un compte parce que je n’oblige pas l’inscription sur mon site. Il s’agit d’un site perso avec moi seul comme rédacteur et une fréquentation modeste ; avant la migration, la même configuration ne posait pas de problème.

      Quant à l’adresse e-mail et l’IP, ça varie de sorte qu’il n’y ait pas de répétition sur plus de 600 messages déjà marqués comme spam sans être encore supprimés dans les forums.

      Le lien de mon site est http://nguyentandai.vn. Pour l’instant, je n’ai publié que les articles en vietnamien, ma langue maternelle, mais pas encore un volet en français ou en anglais (ça reste en préparation).

    • pierre

      Le spam est en vietnamien ?

    • tandai

      Non, c’est en anglais, mais parfois sont insérés les caractères russes ou d’autres trucs qui ressemblent aux caractères romains pour s’échapper aux filtres sur les séquences interdites.
      Un exemple le plus récent :
      “Simply want to ѕay yopur article is as amazing.
      Tһe clearness onn yoᥙr post is just spectacular ɑnd i ccan assuje yօu arе knowledgeable on this subject.
      Ϝine witһ your permission аllow me tօ grasp ʏⲟur RSS feed to қeep upp tto ԁate witһ approaching post.
      Thanks 1,000,000 and pⅼease continue thee enjoyable ѡork. [...]”

    • Cerdic

      Le plugin fait normalement une détection de langue du message posté et compare avec la langue de l’article. Si ce sont des langues différentes (ici anglais vs vietnamien), le message et automatiquement modéré en proposé (donc non plublié par défaut) dès qu’il y a un lien dedans.

      C’est ce qui s’est passé ici ? Ou alors les caractères utf8 perturbent la détection de la langue peut-être ?

    • tandai

      Voilà une information importante sur le comment ça marche le plugin. C’est vrai que mon site a subi un problème d’encodage Unicode lors de la migration. Toutes les tables et tous leurs champs ont été mis sur l’interclassement latin1_swedish_ci (comme capture d’écran ci-jointe). Null en informatique, je ne sais pas comment exécuter une seule requête SQL pour convertir tous ces tables (et les champs concernés dans chaque table) en un interclassement Unicode...

    • tandai

      J’ai du donc entrer à l’intérieur de chaque table et modifier manuellement chaque champs concerné en utf8_unicode_ci. Mais même si la conversion finie à l’intérieur de chaque table (capture d’écran ci-jointe), l’interclassement affiché dans la vue globale des tables reste toujours latin1_swedish_ci.

      D’ailleurs, j’ai découvert également que j’ai mal choisi la cible lors de ces conversions : car en en comparaison avec la base de données d’un site démo fraichement installé, je trouve que l’interclassement des tables et des champs de ces tables sont plutôt utf8_general_ci que utf8_unicode_ci. Je ne sais pas trop quel est la différence entre les deux, et si cela affecte vraiment la reconnaissance des langues au niveau du plugin NoSPAM.

    • Cerdic

      Ça n’affecte rien, c’est indépendant.
      Du moment que les textes s’affichent bien sur le site public le plugin peut fonctionner correctement.
      La detection de langue se base sur un algorithme assez classique de repérage des syllabes et des probabilités d’occurences par langue. Mais ici je suppose qu’il est volontairement cassé par les caractères utf8 introduits dans les messages de SPAMs et qui imittent les lettres normales sans en être

    • tandai

      Merci de votre patience et de vos explications très claires. Finalement, est-ce qu’il y a une solution pour régler ce problème ? Et pourquoi c’était bien fonctionnel à la version SPIP 2.x (où la structure des tables est en principe identique) ?

    • Cerdic

      A priori pas de rapport, le plugin est aussi bien fonctionnel en SPIP 3.x

      Il est plutôt probable que le site étant dans une vieille version de SPIP la structure des formulaires ne correspondait pas à ce que les robots programmés pour SPIP attendaient et ça les bloquait involontairement. Depuis que le site est repassé en SPIP 3.x les robots s’en donnent de nouveau à cœur joie.
      Utiliser les forums sur inscription est une bonne solution.

    • tandai

      D’accord ! Je vais observer encore quelques jours, si jamais le plugin prends progressivement son efficacité après que j’ai homogénéisé tous les paramètres d’interclassement des tables. Sinon, une obligation d’inscription devrait être le dernier recours.
      Merci de tous ces échanges.
      Bien cordialement,
      NT Dai

    Reply to this message

  • Ver For

    Bonjour

    Un doute sur l’utilisation avec des formulaires présents dans les pages SPIP
    Est-ce que nospam fonctionne avec tous les formulaires?

    par, j’ai ajouté dans le fichier mes_options.php le code suivant:

    $GLOBALS['formulaires_no_spam'][] = 'newsletter';

    relatif à ce formulaire

    <form method="post" action="[(#ENV{action})]" class="mt30" id='newsletter'>
	#ACTION_FORMULAIRE{#ENV{action}}

	<label for="input-newsletter" class="h-like-f c-wh-b">Newsletter</label>
	<div class="input-group style-a mt5">
		<input type="text" id="input-newsletter" class="form-control" placeholder="Email" name='nl_input_email'[ value='(#ENV{nl_input_email})']>
		<span class="input-group-btn">
			<button class="btn" type="submit" title="Valider l'inscription à la Newsletter">OK</button>
		</span>
	</div><!-- .input-group -->
</form>
    $GLOBALS['formulaires_no_spam'][] = 'form-virtuel-bis';

    pour ce formulaire

    <form action="#"  class="c-wh-b ta-c sep-g pb15" id='form-virtuel-bis'>
	<h2 class="h-like-m c-wh-b">Espace adhérents</h2>
	<ul>
		<li class="mt35">
			<ul class="row">
				<li class="col-md-6 col-sm-6 col-xs-6 pr5 pr5-xs">
					<input type="text" class="form-control c-pu-a" placeholder="Identifiant...">
				</li>
				<li class="col-md-6 col-sm-6 col-xs-6 pl5 pl5-xs">
					<input type="password" class="form-control c-pu-a" placeholder="Mot de passe......">
				</li>
			</ul>
		</li>
		<li class="mt20 mt0-sm">
			<ul class="row">
				<li class="col-md-6 col-sm-12 col-xs-6 pr5 ph15-sm pr5-xs mt5 mt10-sm mt20-xs">
					<a href="spip.php?page=spip_pass" class="td-und c-gy-a"><em>Mot de passe oublié ?</em></a>
				</li>
				<li class="col-md-6 col-sm-12 col-xs-6 pl5 ph15-sm pl5-xs mt15-sm">
					<button type="submit" class="btn submit full">Se connecter</button>
				</li>
			</ul>
		</li>
	</ul>
</form>

    Merci pour vos réponses

    Reply to this message

  • Jaseur Boréal

    Face aux outils qui contournent les protections : besoin d’une sécurité supplémentaire au système “Nospam” de protection de nos pages-contact & forums sous-articles ?

    Bonjour Cédric,

    je partage ce message reçu par la page contact du site depuis sa version responsive améliorée avec Escal 4 sous Spip 3.2

    C’est le deuxième courriel “bizarre” venant de Russie depuis le début de semaine.
    Je sais la Lettonie subir des attaques informatiques ( probablement venant de Russie) la dernière en date concernait le site web du service de santé. Il y a 3 ans, le site Lettonie-Francija avait subi un débordement de spams dont les IP étaient localisées à Moscou.
    “Nospam” a depuis correctement filtré.. cela s’était calmé ...

    Nous devons nous attendre à quelques attaques du même genre en cette année de célébration du Centenaire de l’indépendance des Pays Baltes.

    Copie courriel en image.

    Qu’en pensez-vous ?

    Reply to this message

  • 2
    fulvio

    J’ai du virer ce plugin et au final supprimer le formulaire de contact sur un site spip (dernière version) hébergé chez Infomaniak car l’hébergeur m’a écrit ceci...

    “Votre captcha est cependant insuffisant après vérification de notre équipe de production, car il n’empêche pas les robots de poster du spam, mème avec une contrainte de durée.

    Il faudra trouver un captcha plus sérieux sur la nouvelle version du site.”

    ....

    Reply to this message

Ajouter un commentaire

Who are you?
[Log in]

To show your avatar with your message, register it first on gravatar.com (free et painless) and don’t forget to indicate your Email addresse here.

Enter your comment here

This form accepts SPIP shortcuts {{bold}} {italic} -*list [text->url] <quote> <code> and HTML code <q> <del> <ins>. To create paragraphs, just leave empty lines.

Add a document

Follow the comments: RSS 2.0 | Atom