有一个 WordPress 网站,其中销售逻辑需要用户注册。有一个带有自定义注册表单的页面。
在网站上注册的垃圾邮件机器人源源不断。
注册表如下所示:
<input type="text" name="username">
<input type="text" name="email">
<input type="text" name="password1">
<input type="text" name="password2">
... дополнительные поля информации пользователя
<input type="checkbox" name="terms" required>
<input type="checkbox" name="site_remember_me">
<input type="hidden" name="reg_nonce_field" value="значение">
<input type="submit" value="Submit">
用户必须选中条款复选框才能接受规则。在服务器端检查所有字段的完整性。
为了对抗机器人,表单中引入了额外的输入字段:
- Checkbox
site_remember_me,这是一个经典的蜜罐。被css隐藏,人无法标记。它在服务器上进行检查:如果检查,则为机器人。 WordPress函数生成的标准nonce字段
wp_nonce_field('verify_reg', 'reg_nonce_field');
结果是机器人无论如何都会通过。由于随机数,从另一个站点对页面的简单 POST 请求失败。通过实验和记录,机器人读取页面,找到表单,在输入字段中使用随机数reg_nonce_field,然后提交表单。
同时-请注意-它智能地放下复选框:它打开terms并且不接触蜜罐site_remember_me。它读取 css 文件的概率很低——它们有很多,而且必须发现复选框site_remember_me被隐藏了。最有可能的是,该机器人使用 phantom.js 之类的东西来获取包含所有元素样式的完整 DOM 树,并剪裁那些在屏幕上不可见的元素。
结论。对于现代机器人,蜜罐和随机数无济于事。
问题。但是该怎么办?
由于上述措施没有帮助,因此安装了Invisible reCaptcha for WordPress插件。它有效地切断了注册、登录、忘记密码、评论等标准页面上的机器人。但是在自定义注册页面上,情况并没有改变,直到做了两件事:
在表单生成php代码中插入一行
为从表单接收的数据的验证添加了验证代码
这些措施的应用完全停止了机器人注册流程。
结论。你不应该依赖蜜罐来对抗现代机器人。为了可靠地保护任何输入表单,值得使用 Google 开发的工具 - 隐形 recaptcha。
结论是不正确的。在大多数情况下都有帮助。你只需要聪明和个性。
如果人们有兴趣,您不应该使用任何验证码,更不用说来自 Google 的验证码。它不是隐形的,它通过大量参数限制用户+收集数据。
是的,而且“可靠”——不是。反验证码服务突破的必由之路。
除了验证码和隐藏字段之外,还有许多其他方法可以防止自动垃圾邮件。
即使是akismet,他也能应付得比较好。
去。验证码是邪恶的。还有一种“标签”:网站管理员懒惰、文盲,krivoruk 只是无法通过正常方式保护自己免受垃圾邮件的侵害。