[Aktualizacja] Rejestracja w Czytelni tymczasowo wyłączona 20


Z powodu spamu, który wkrada się od jakiegoś czasu do Czytelni zmuszeni jesteśmy tymczasowo wyłączyć możliwość rejestracji nowych użytkowników. Wszystko wskazuje na to, że winę za zaistniały stan rzeczy ponosi błąd w skrypcie WordPress, na którym działa Czytelnia. Luka pozwala zarejestrowanym użytkownikom bez odpowiednich uprawnień publikować dowolne treści, co niestety można było u nas zaobserwować. Próbowaliśmy na kilka sposobów zabezpieczyć stronę przed rejestrowaniem się kolejnych spamerów. Przez blisko miesiąc nawet skutecznie, ale jak się okazuje, na dłuższą metę nie jest to możliwe.

Do momentu ukazania się aktualizacji, która wyeliminuje wspomniany wyżej błąd, rejestracja będzie możliwa jedynie w trybie manualnym poprzez administratora. Zatem jeśli ktoś nie posiada w Czytelni konta, ale bardzo chciałby je mieć, żeby zamieścić nowy artykuł, proszony jest o kontakt w tej sprawie.

Za utrudnienia przepraszamy, za spam, który nie z naszej winy pojawił się w Czytelni, również.

Aktualizacja (01.05.2011r.): Pojawiła się poprawka do WordPressa, która powinna załatać wspomnianą wyżej lukę. Możliwość rejestracji została przywrócona, mamy nadzieję, że już na stałe.


O mario_7

Informatyk-programista-kierownik, pracownik korporacji, od momentu otrzymania pierwszej płyty z Ubuntu 5.10 zagorzały fan open source i Linuksa (w szczególności Ubuntu). Lubi słuchać wszelkich odmian rocka i metalu. Gdy już odejdzie od komputera – lubi pograć w bilarda, wspinać się na ścianki oraz jeździć na rowerze i nartach.


Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

20 komentarzy do “[Aktualizacja] Rejestracja w Czytelni tymczasowo wyłączona

  • mario_7 Autor wpisu

    Na bieżąco aktualizujemy skrypt. Mamy najnowszą stabilną wersję – 3.1. Podobno w wersji 3.0.5 problem miał zostać rozwiązany, ale jak widać sytuacja się nie poprawiła.

    Sądząc po wynikach wyszukiwania tego spamu, który pojawił się także u nas – problem jest powszechny. Ponad 130 tysięcy wyników dla tylko jednej nazwy użytkownika (a teraz najwyraźniej grasuje przynajmniej dwóch). Nietrudno znaleźć informacje w Internecie o polskim spamie atakującym blogi postawione na WordPressie.

  • mr_x

    A to prawda, jeśli mowa o spamie jako takim. Ja mam co prawda wyłączoną rejestrację, ale spamu ostatnio mi nie brakuje. Myślałem, że ktoś się uwziął na mnie, ale rzeczywiście problem jest powszechny.

  • lukas

    A ja mam problem z zatwierdzaniem komentarzy w WP 3*. U mnie WP tego nie wymaga, a i tak muszę to robić tj. zatwierdzać komentarze i to nawet swoje ;/ Ktoś miał podobny problem??? Nie dostaje też informacji na pocztę o nowych komentarzach.

  • Bones

    Polecam pluginy do WordPress’ta które umożliwiają do rejestracji dodanie ReChapty oraz np. chapte do komentarzy co uniemożliwi botom spamowanie 🙂 sam kiedyś miałem problem z tym na WP

  • mario_7 Autor wpisu

    CAPTCHA nie jest niestety całkowicie skuteczna. Pomyślimy jeszcze o tym.

    Co do role managera – to nic nie da, sprawdzaliśmy. Nie chodzi o to, żeby po rejestracji można było pisać jedynie komentarze. To można robić nie logując się. Chodzi o to, żeby po rejestracji można było napisać artykuł i zgłosić go do moderowania przed publikacją. Bot, który grasuje potrafi opublikować artykuł bez uprawnień do tego.

  • Bones

    Ale botowi na prawdę dużo trudniej będzie stworzyć konto jeżeli będzie reChapta, można jeszcze tutaj http://wordpress.org/extend/plugins/ttc-user-registration-bot-detector/ pobrać i ustawić jakie maile nazwy, z jakich stron itd. aby nie było botów 😉 Na poczatek bym spróbował z rejestracja na reChapte i wymagane dodatkowe pola jakieś 🙂 Ja mialem takie coś i od razu znikneły mi spamerzy. Miałem jeszcze liste pelna IP i wszystkich maily trackerow, aby mi blokowali bo też nie mogłem sie ich pozbyć a potem cisza i nikt nic nie mógł robić.

  • mario_7 Autor wpisu

    Mamy plugin, który sprawdza przed rejestracją, czy dane ip/e-mail/nazwa użytkownika nie występuje przypadkiem w różnych bazach gromadzących takie dane spamerów. Nic to nie dało. Nowa nazwa użytkownika, nowe IP, nowy e-mail i zarejestrował się.

    Problemem nie jest to jak ograniczyć rejestrację botów, ale jak naprawić skrypt, aby nie można było publikować niesprawdzonych artykułów. Dopóki ten błąd w skrypcie nie zostanie wyeliminowany, dopóty rejestracja będzie nieczynna.

  • Bones

    Ponieważ mieliście standardową rejestrację kont, bez chapty, moze nawet bez potiwerdzenia maila, to się nie dziwcie, że boty mają ułatwioną rejestrację. A z tą publikajcą to bardzo dziwne, że WP nie wprawadza łatki ;/…

  • mario_7 Autor wpisu

    CAPTCHA już od dawna jest złamana i tylko kiepski bot nie potrafi tego obejść.
    Niestandardowe pola – ok, to już bardziej i pewnie byłoby jakimś rozwiązaniem. Ale co jeśli zupełnie przypadkowo dany bot zgadnie prawidłową odpowiedź i zarejestruje się? Albo jeśli ktoś ręcznie utworzy konto? Utrudnienia w rejestracji nie eliminują głównego problemu.

  • Bones

    CAPTCHA może jest i złamana ale w tym pluginie stosowana jest reCAPTCHA i jest ona o wiele trudniejsza do shakowana, ponieważ boty nie potrafia jej przeczytać. np wyraz of widzą jako at itd. jest to inteligenty system. Ja tylko proponowałem, żebyście tylko wypróbowali ten plugin i wł rejestracji i sprawdzili czy dalej występują tworzone konta botów, które publikują artykuły

  • Bones

    Jedynie co mogę polecić to nowy plugin: http://wordpress.org/extend/plugins/anti-splog/
    Anti-splog 😉 Chociaż zobacz filmik na youtube na tej stronie wtyczki.

    Najlepsze zabezpieczenie bo reCAPTCHA jest mozliwa do złamania przez lepsze boty, ale wątpie aby poradzili sobie z Microsoft Asirra: http://research.microsoft.com/en-us/um/redmond/projects/asirra/

    Pozdrawiam i mam nadzieję, że szybko rejestracja się włączy 🙂 Albo WP da dobrą poprawkę, albo wyeliminuje się boty 🙂

  • Bones

    Co nie oznacza, że na stronie nie będą się rejestrowały boty, bo będą i będą umieszczały spam w postaci komentarzy a nie wpisów.

  • mario_7 Autor wpisu

    [quote comment=”48700″]Co nie oznacza, że na stronie nie będą się rejestrowały boty, bo będą i będą umieszczały spam w postaci komentarzy a nie wpisów.[/quote]
    Widziałeś kiedyś takie rzeczy u nas w komentarzach? Mamy moduły, które skutecznie odsiewają boty spamujące, a jeśli coś się przez nie prześlizgnie i wygląda na podejrzane, to Akismet robi swoje. Ponadto bazę użytkowników co jakiś czas czyścimy z podejrzanych kont.