• Paru le 8 mars 2017- mis à jour le 26 novembre 2017

Dites adieu au spam avec « WP-SpamShield »

1001 mots - 5mn

Dites adieu au spam avec « WP-SpamShield »

1024 514 Tout sur WordPress

Pour lutter contre le spam et les robots spam­meurs, la capt­cha est consi­dé­rée comme la meilleure solu­tion – malheu­reu­se­ment loin d’être user-friendy. WP-SpamShield change la donne et combat effi­ca­ce­ment le spam sans péna­li­ser l’internaute.

C’est à s’en arra­cher les cheveux… entre commen­taires indé­si­rables, utili­sa­teurs fantômes et rétro­liens vers des sites douteux voire dange­reux, vous n’avez pas de répit.

Quoi que vous fassiez pour les décou­ra­ger, les spam­meurs ne manquent pas d’imagination pour pour­rir votre blog. Vous, vous voulez de l’interaction, mais eux, ils prennent un malin plai­sir à vous faire perdre temps et éner­gie pour main­te­nir votre blog nickel.

Et le temps que vous passez à contrer leurs attaques, c’est du temps en moins pour répondre à vos lecteurs, pour rédi­ger un nouvel article ou pour toute autre acti­vité (en lien ou pas avec votre blog).

Alors que faire ? Il y a des solu­tions, dont la fameuse capt­cha qui sous des formes variées (texte déformé, case à cocher, sélec­tion d’images…), est utili­sée par des millions, voire des milliards de sites dès qu’un formu­laire pointe le bout de son nez.

Pour autant, ce n’est ni la solu­tion ultime, ni la plus esthé­tique, ni la plus convi­viale – même la capt­cha Google je ne suis pas un robot peut lasser l’utilisateur. Parce que vous le péna­li­sez lui, pour votre tran­quillité – et la sienne aussi, mais ça, ce n’est pas son problème – alors que l’ennemi public numéro un, ce n’est pas lui.

Heureusement, il y a d’autres solu­tions tout aussi perfor­mantes, voire plus, sans les incon­vé­nients. Contact Form 7 Honeypot, Anti-spam ou Loginizer protègent votre blog. Mais le premier est dédié à Contact Form 7, le second ne protège que les commen­taires et le troi­sième prévient des tenta­tives d’intrusion et des attaques par force brute.

Ou alors, il y a WP-SpamShield qui déjoue les tenta­tives sur tous les formu­laires de votre blog, en arrière plan, en toute trans­pa­rence pour l’utilisateur.

Vous trou­ve­rez cette exten­sion dans le dépôt WordPress. L’extension a été suppri­mée du dépôt WordPress, mais reste acces­sible depuis le site de l’auteur, Red Sand Media Group.

Les raisons de ce retrait du dépôt WordPress semblent assez absconses, l’auteur a d’ailleurs dédié deux articles à cette suppres­sion : WP-SpamShield Removed from WordPress.org Directory Without Cause et The Real Reason WP-SpamShield was Kicked Off WordPress.org ?. Je ne me posi­tionne pas en pour ou contre cette déci­sion, mais elle n’est pas liée à la qualité du code ni à l’efficacité de l’extension.

Télécharger WP-SpamShield

Si vous n’avez jamais installé d’extension, vous trou­ve­rez la marche à suivre dans l’article Installer, acti­ver, mettre à jour et suppri­mer une exten­sion WordPress.

Prérequis

Pour faire court, WP-SpamShield fonc­tionne sur la grande majo­rité des plate­formes héber­geant WordPress. À noter quatre points précis :

  • Pour amélio­rer les perfor­mances, de nombreux sites utilisent NGINX couplé à Apache ou à PHP-FPM. Le fichier .htaccess étant indis­pen­sable pour WP-SpamShield, l’extension ne fonc­tion­nera que sur les confi­gu­ra­tions utili­sant Apache pour les pages dyna­miques (avec ou sans NGINX).
  • WP-SpamShield néces­site PHP en version 5.4 mini­mum (5.6 recom­man­dée) et est compa­tible PHP 7. L’éditeur recom­mande cette version de PHP, au vu des perfor­mances par rapport aux versions anté­rieures.
  • Une fois l’extension instal­lée et acti­vée, vous devrez désac­ti­ver l’ensemble des capt­chas et autres anti­spams instal­lés sur votre blog.
  • WP-SpamShield présente des problèmes de compa­ti­bi­lité avec quelques exten­sions, dont W3 Total Cache. Vous trou­ve­rez la liste complète des incom­pa­ti­bi­li­tés sur la page WP-SpamShield – Known Issues and Plugin Conflicts.

Fonctionnement

L’essentiel du spam qui pollue les blogs WordPress vient de robots. Or les robots dans leur grande majo­rité n’utilisent ni javas­cript, ni les cookies.

L’usage de javas­cript et des cookies permet donc de stop­per 99,9% des spams auto­ma­ti­sés. Le revers de la médaille, c’est le 1% d’utilisateurs ayant désac­tivé l’un de ces deux éléments sur son navi­ga­teur. Mais la capt­cha Google (v2) néces­site elle aussi que javas­cript soit activé pour fonc­tion­ner.

Voila pour le premier niveau de filtrage de WP-SpamShield. Pour les spams qui seraient quand même passés, l’éditeur de l’extension a mis en œuvre un deuxième niveau de véri­fi­ca­tion, basé sur un algo­rithme, régu­liè­re­ment mis à jour pour un maxi­mum d’efficacité.

Il n’y a donc pas de faux posi­tif, tout au plus un spam peut passer à travers les filtres de temps à autre.

Réglages

WP-SpamShield est très simple à confi­gu­rer, en fait le réglage par défaut convien­dra à la majo­rité des blogs.

réglages WP-SpamShield

réglages WP-SpamShield

Vous pouvez créer une liste blanche (emails ou adresses IP auto­ri­sées par défaut) ainsi qu’une liste noire, choi­sir d’encoder les adresses email ou pas, d’activer ou de désac­ti­ver les rétro­liens… la page d’options n’est pas longue comme un jour sans pain mais suffit à ajus­ter les réglages à vos propres besoins.

Bonus : le formulaire de contact

Si vous n’utilisez pas de solu­tion tierce (Contact Form 7, Gravity Forms…) pour votre formu­laire de contact, WP-SpamShield vous en four­nit un par défaut, que vous inté­gre­rez dans une page via le short­code  [spamshieldcontact] . Profitez-en pour désac­ti­ver la protec­tion anti-spam pour les exten­sions que vous n’utilisez pas.

formulaire de contact WP-SpamShield

formu­laire de contact WP-SpamShield

Le formu­laire est simple, effi­cace, et s’intègre avec le thème installé, quel qu’il soit.

Seul bémol, il fonc­tionne unique­ment dans les pages, vous ne pour­rez donc pas l’utiliser en tant que widget (dommage) ou dans un article (mais entre nous, le formu­laire de contact n’a pas vrai­ment sa place dans un article).

Vous choi­sis­sez quels champs du formu­laire affi­cher, rendre obli­ga­toires ou option­nels, et un champ de sélec­tion est même prévu.

En conclusion

Aucune protec­tion ne sera jamais effi­cace à 100%. Mais si vous couplez WP-SpamShield à Akismet et au module de protec­tion de Jetpack (pour contrer les attaques par force brute), il est peu probable que votre messa­ge­rie WordPress croule sous les spams.

Si vous avez trouvé une faute d’orthographe, veuillez sélec­tion­ner le texte en ques­tion et appuyer sur Ctrl + Entrée.

Laisser une réponse

La modération des commentaires est activée. Votre commentaire peut prendre un certain temps avant d'apparaître.

    Partager…

    Rapport de faute d’orthographe

    Le texte suivant sera envoyé à nos rédacteurs :