Komentářový spam procházející přes reCAPTCHA

Zdravím.
V diskuzní části na jednom z mých webů mě dost štve komentářový spam.
- Odesílání mám zabezpečené vyplněním reCAPTCHA od Googlu.
- Testuju čas mezi načtením stránky a následného odesláním příspěvku. Uplynulo-li méně než 5 sekund (btw. je to moc?/málo?), považuju post za spam.
- Ve formuláři mám skryté nevyplněné políčko a posty, kde je vyplněné (což prý občas roboti dělají), považuju za spam.
- IP adresy, ze kterých jsem dostal spam, byť jen jednou, blokuji (ano, přijde mi to docela tvrdé a třeba bych se tomu rád vyhnul, ale zatím je to tak).

Přesto dostávám téměř každý den spam. Nemusím říkat, jak moc to unavuje.
Napadá mě pár řešení, co bych mohl implementovat:
1. testovat komentáře oproti "závadným" slovům a frázím a v případě shody:
1a) nepovolit uložení
1b) vyžadovat nějakou dodatečnou kontrolu (nějakou jinou captcha, přepis textu, zapsat výsledek nějakého výpočtu, ...)
2. nechat uživatele, aby spamy hlásili (pokud možno jednoduše, přes jedno kliknutí). To, co by bylo dlouhodobě označené za spam, by jednou za čas projel garbage collector a promazal.
3. Možná existuje nějaká on-line služba, které se dá příspěvek poslat a ona zanalyzuje, zda-li se jedná o spam. Třeba by šlo ji využít. Mimochodem, neznáte nějakou takovou?
Je něco účinnějšího než reCAPTCHA od Google?
Jak s komentářovým spamem bojujete vy? Znáte lepší nějaké řešení (ve formě služby zdarma nebo obecného postupu)?
P.S. Prosím nepište o pluginech k WP nebo různým existujícím frakworkům.
Díky.

Původně odeslal crs ↪

Zdravím.
V diskuzní části na jednom z mých webů mě dost štve komentářový spam.
- Odesílání mám zabezpečené vyplněním reCAPTCHA od Googlu.
- Testuju čas mezi načtením stránky a následného odesláním příspěvku. Uplynulo-li méně než 5 sekund (btw. je to moc?/málo?), považuju post za spam.
- Ve formuláři mám skryté nevyplněné políčko a posty, kde je vyplněné (což prý občas roboti dělají), považuju za spam.
- IP adresy, ze kterých jsem dostal spam, byť jen jednou, blokuji (ano, přijde mi to docela tvrdé a třeba bych se tomu rád vyhnul, ale zatím je to tak).

Přesto dostávám téměř každý den spam. Nemusím říkat, jak moc to unavuje.
Napadá mě pár řešení, co bych mohl implementovat:
1. testovat komentáře oproti "závadným" slovům a frázím a v případě shody:
1a) nepovolit uložení
1b) vyžadovat nějakou dodatečnou kontrolu (nějakou jinou captcha, přepis textu, zapsat výsledek nějakého výpočtu, ...)
2. nechat uživatele, aby spamy hlásili (pokud možno jednoduše, přes jedno kliknutí). To, co by bylo dlouhodobě označené za spam, by jednou za čas projel garbage collector a promazal.
3. Možná existuje nějaká on-line služba, které se dá příspěvek poslat a ona zanalyzuje, zda-li se jedná o spam. Třeba by šlo ji využít. Mimochodem, neznáte nějakou takovou?
Je něco účinnějšího než reCAPTCHA od Google?
Jak s komentářovým spamem bojujete vy? Znáte lepší nějaké řešení (ve formě služby zdarma nebo obecného postupu)?
P.S. Prosím nepište o pluginech k WP nebo různým existujícím frakworkům.
Díky.

těžká rada :D
mě to také chodí i když jsou zakázané :D

Dávám na weby taktéž jen obyč recaptchku od googlu. Na WP bývá problém, že né vždy je vše správně implementováno a většinou dochází k odeslání formuláře bez toho, aby musela být recaptcha vyplěna. Dříve jsem používal i různé moduly na zabezpečení, které přejmenují wp-login, počítají přihlášení, mají black-list, white-list i recaptcha atd. a vždy mi přišlo, že problémy se vyskytly ihned s instalací těchto modulů. Nakonec captchu vždy implementuji sám, wp-login si také přejmenuji sám a na počítání falešných přihlášení vč. blacklistu a whitelistu jsem si udělal modul vlastní. Od té doby pokoj na všech webech.

Normalne reCaptcha, Honeypot, blokovani botu apod nebo Cloudflare. Ono zalezi jak jsi to implementoval.

O pluginech slyset nechces, rada tezka teda. Napis, za 1k to vyresim a pokud ne, neplatis.

5s mezi načtení a odesláním může být málo, zejména pokud se uživatel pohybuje na stránce tlačítky tam/zpět.

reCaptcha často není dostatečná a více obtěžuje legitimní uživatele než ty spamy, CloudFlare zase rád blokuje uživatele za korporátními bránami.

Pár typů co jsme kde implementovali:
- povinné přihlášení (nebo aspoň ověření existence emailové adresy přes potvrzující link)
- u nových uživatelů nutnost první příspěvky schválit ručně než dostane nějakou reputaci
- ověřování telefonního čísla zatím docela funguje, ale uživatelé to nechtějí vyplňovat, pokud vyloženě nemusí
- dělat si scoring jednotlivých uživatelů a příspěvků, ty s nízkým převést do režimu schvalování, ty s vysokým nechávat (jako mínusové věci může být jazyk příspěvku, počet odkazů, počet příspěvků atd.)
- omezovat počet příspěvků na uživatele za nějakou dobu (občas se objeví spam od legitimního uživatele v masivním množtví tisíce příspěvků)
- kontrolovat odkazy v příspěvcích a opět při podezřelých odkazech to nechat schvalovat
- na česká fóra poměrně dobře funguje detekce jazyku pro nové přispěvatele a automaticky pouštět jen české/slovenské

V drtivé většině platforem se pohybují pořád stejní uživatelé. U nových uživatelů může bez problémů projít příspěvek ve výchozím jazyce bez odkazu, ty v cizím a s odkazem mohou spadnout do schvalování. U malých bezúdržbových webů to je ale čím dál větší problém a nevím jak ho řešit jinak, než prozkoumat roboty, které tam příspěvky nejvíce dávají a ty účelně blokovat podle chování.

@TomášX: Díky moc za odpověď, ale většinu z toho nevyužiju - jsem případ právě toho malého bezúdržbového webu. Cílem je co nejvíc snížit čas starání se o to - schvalování by bylo z deště pod okap.
Snad jen to omezení masivního postování. Ale zase (konkrétně u mě) je to "hit and run", tj. jeden nebo několik málo spamů a pak dlouho nic.

P.S. Implementoval jsem jednoduchý filtr na časté výrazy ve spamových příspěvcích a myslím, že se to výrazně zlepšilo.