Jednym z powodów dla których umieściłem CAPTCHA[1] na blogu była chęć zmniejszenia ilości spamu w komentarzach. Dokładniej, ilości spamu do moderacji, bo i tak wszystkie komentarze przechodzą tu przez ręczną moderację, nim pojawią się na blogu.
Na początek drobne statystyki. WordPress pokazuje równe 230 komentarzy oznaczonych jako spam. Najstarszy z 24.10.2018. Do wczoraj[2] daje to 909 dni, czyli średnio ok. jednego spamu na cztery dni. Nie jest to dokładna statystyka, część mogłem kiedyś usunąć, zamiast oznaczyć jako spam. Zjawisko nie było też stałe w czasie. Mam wrażenie, że ostatnio się nasilało. Na pewno luty, marzec i kwiecień tego roku to większe ilości. Z kolei styczeń to tylko pięć spamów. Jeśli miałbym oceniać na oko, to stawiałbym bardziej średnio na spam co drugi dzień. Do przeżycia.
Rodzajów spamu też było kilka i pojawiał się falami. Były i polskie pseudokomentarze typu „ciekawy wpis” z typowym SEO linkiem, i komentarze pisane cyrylicą. Dominowały jednak anglojęzyczne reklamy środków viagropodobnych. Regularności we wpisach pod którymi zamieszczano komentarze praktycznie żadnej. Podobnie z IP wykorzystywanymi do wysyłki spamu. Na oko raczej stare wpisy, z różnych kategorii. 230 to nie jest duża próbka do analizy, ale może kiedyś zrobię statystyki.
W każdym razie w ostatnim czasie liczba spamów wzrosła. Dominował w zasadzie jeden IP: 92.204.174.134, we WHOIS mający powiązania z SEODEDIC. Zamieszczał nawet po trzy komentarze dziennie. Sprawdzenie logów serwera WWW pokazało, że po prostu wchodzi i wysyła komentarz. Żadnych wielokrotnych prób, ale niekoniecznie byłyby widoczne po stronie mojego serwera. Zatem ciężko stwierdzić czy któryś z serwisów do omijania CAPTCHA przy pomocy ludzi, czy sprytne metody typu machine learning do rozpoznawania obrazków[3] czy w końcu może sprytne wykorzystanie Google text to speech do obchodzenia CAPTCHA od Google.
Skoro spamerzy obchodzili reCAPTCHA, stwierdziłem, że to dobra okazja do wypróbowania alternatywy, o której ostatnio trochę było słychać. Chodzi o serwis hCaptcha. Rejestracja niezbyt gładka. A to mail na Onecie został uznany za nieprawdziwy adres email, a to były problemy z dostarczeniem maila z linkiem aktywacyjnym na inną skrzynkę. W końcu odnalazł się on w folderze spam.
Po aktywacji jest już z górki. Użyłem pluginu hCaptcha for WordPress, który pozwala na określenie, gdzie ma być serwowana CAPTCHA. Podajemy klucze API i… już. Przyznam, że kusiło mnie przez moment wypróbowanie używania obu pluginów jednocześnie. Szybko porzuciłem tę myśl. CAPTCHA jednak i jest nieco upierdliwym mechanizmem, i dokłada trochę objętości do wielkości strony.
No właśnie. W porównaniu z pierwotną wersją strona jest obecnie nieco cięższa. I główna, i strony poszczególnych wpisów. Dramatu nie ma, nad główną jeszcze popracuję, ale z kronikarskiego obowiązku odnotowuję.
Co dalej? Ano czekam na feedback od użytkowników jak się nowa CAPTCHA podoba. A jeśli spamer wróci z tego samego IP, to dostanie w łeb. Tarpitem. Jeśli i to nie pomoże, poszukam innych pluginów WordPress stworzonych, by zwalczać spam. No i przede wszystkim będę obserwował ilość spamu przychodzącego do moderacji.
[1] Dokładnie reCAPTCHA wraz z pluginem Advanced noCaptcha & invisible Captcha. Tutaj znajdziesz więcej o wykorzystywanych na tym blogu czy polecanych pluginach do WordPressa.
[2] Jeśli ktoś zada sobie trud policzenia, to wyjdzie nieścisłość matematyczna. I można policzyć ile dni wpis leżakował jako szkic.
[3] Tak, to akurat przeciwko hCaptcha, ale miałem pod ręką linka. Dla reCaptcha pewnie też coś analogicznego istnieje.
Captcha działa, chociaż wolałbym żeby w ogóle jej nie było, lub był jakiś sposób logowania. Bo nie chce mi się często wpisywać tych samych danych. Z drugiej strony może to sposób na wycięcie nic nie znaczących komentarzy. 😉
Na Gemini widziałem dyskusje czy w ogóle komentarze są potrzebne, więc w sumie podejścia są rożne.
P.S.
Captchę trzeba walidować po kilkudziesięciu sekundach, te obrazki są dosyć ciężkie, że trzeba się przypatrzeć dokładnie gdzie jakiś programista sadysta akurat uciął pociąg pod linia nadwozia i żąda kwalifikacji tegoż jako pociąg.
P.S.2
Wcisnąłem Opublikuj i widziałem jak w tej sekundzie zniknął haczyk Jestem człowiekiem. Potem dwa razy (bo już zrobiłem to cztery to straciłem cierpliwość) wskazałem źle autobus i samolot. Także weryfikuję po tych trzech minutach całość. To diabelski system opresyjny, a nie mechanizm webowy. BTW można wcisnąć opublikuj i pokazuje się strona błędu – już myślałem, że straciłem co wpisałem, ale zadziałało cofnięcie.
Działa także jeśli chodzi o boty – od czasu zmiany nie było ani jednego spamu do moderacji. Możliwe, że spamerzy muszą zaktualizować sobie konfiguracje…
Jeśli chodzi o wygląd czy też widoczność, to reCAPTCHA dawała możliwość tzw. invisible captcha. Wtedy raczej nic nie trzeba rozwiązywać ręcznie. Niestety, z tego co wiem hCaptcha tego nie oferuje.
Kiedyś liczyłem, że rozwiązaniem będzie coinhive. Dawali możliwość rozwiązania captcha poprzez wykonanie pracy (obliczeń). Z jednej strony nie wymagało żadnej interwencji od ludzi, bo wystarczyło poczekać, z drugiej – autor strony dostawał wykopaną kryptowalutę. IMHO to było idealne rozwiązanie. Niestety upadło.
U mnie hCaptcha wczytuje się błyskawicznie. I tak, jest trudna, znacznie bardziej upierdliwa od reCAPTCHA. Przynajmiej na początku jest takie wrażenie, po przyzwyczajeniu mija.