Categories
Spam Web WordPress

Spam y Trackbacks

En el último incidente que tuve me recomendaron varias alternativas para reducir el spam que llega a este blog y desde el momento que puse en práctica algunas de éstas (cambiar el nombre de uno de los campos de los comentarios), el número de comentarios spam enviados directamente a wp-comments-post.php literalmente desapareció, pero todavía siguen llegando trackbacks no válidos.

En base a un archivo modificado de wp-trackback.php que me envió Maty, hice unos cambios a éste para que haga casi lo mismo que el plugin Trackback Validator, que básicamente verifica que el sitio que envía la petición contenga un enlace recíproco a la entrada a la que se hace referencia (ver el paper para mayores detalles). La limitación de este método, tal y como reconoce una de las personas que participó en ese proyecto, es que puede evadirse fácilmente de diferentes modos (con CSS, comentarios HTML, JavaScript, generación dinámica de contenidos, etc).

Estos días estuve recibiendo spam de distintos sitios (supongo del mismo spammer), que generan temporalmente enlaces para los trackbacks que envían, logrando de este modo pasar las validaciones de la presencia de enlaces recíprocos, vean por ejemplo las últimas líneas que aparecen en el siguiente log de acciones:

code:

[2007-09-26 06:29:52] 64.22.110.2
[2007-09-26 06:29:52] Array
(
    [title] => Web Hosting Reviews, Web Site Hosting
    [url] => http://sitio_eliminado/
    [excerpt] => I couldn\'t understand some parts of this article, but it sounds interesting
    [blog_name] => Web Hosting Reviews, Web Site Hosting
)

[2007-09-26 06:29:55] http\://www\.buayacorp\.com/archivos/edicion-12-de-architechture-journal/

[2007-09-26 06:29:55] Array
(
    [0] => <a href='http://www.buayacorp.com/archivos/edicion-12-de-architechture-journal/trackback/'>link 3656</a>
    [1] => link 3656
)

Una forma de mejorar este método de verificación de trackbacks supongo que sería añadiendo una lista negra de dominios/IP/palabras, aunque en realidad no sé si valga la pena implementar algo así por el momento, puesto que los comentarios/trackbacks que logran saltar esta primera comprobación, son capturados Akismet.