Niemand houdt van spam. Het is rotzooi en je hebt er niks aan. Oké, wie wil er nu geen drieëntwintigmiljoen euro opstrijken uit de erfenis van die Nigeriaanse prins die toevallig nog een ver familielid blijkt te zijn? Of een date met een prachtige Russische dame die claimt je grootste fan te zijn? Dromen hebben we allemaal, maar uitkomen gaan deze nooit.
Een van de meest voorkomende redenen waarom een website door ons geblokkeerd moet worden, is omdat deze wordt misbruikt voor het verzenden van spam e-mailtjes. Dat gebeurt op allerlei manieren, bijvoorbeeld doordat een e-mailadres een dusdanig gemakkelijk wachtwoord heeft dat een kleuter het binnen vier keer proberen kan raden of omdat de website zo lang al niet is bijgewerkt dat er feitelijk omgeroepen wordt dat hackers welkom zijn. Een derde mogelijkheid is het misbruik van de zogenaamde 'tell-a-friend' mogelijkheden die websites soms bieden. Een berichtje in de trend van "Hey, ik heb deze pagina gevonden, die vind je vast leuk!", maar dan via e-mail in plaats van op Facebook.
Omdat er nu eenmaal veel websites gemaakt zijn met WordPress, wordt daarvan ook veel misbruik gemaakt. Direct na installeren zijn er al twee mogelijkheden als spammer om los te gaan. Des te meer plug-ins er worden geïnstalleerd, des te meer mogelijkheden er bij komen. In dit artikel laten we een aantal van deze opties de revue passeren en bieden we daar natuurlijk ook een oplossing voor.
Registreren
WordPress wordt gebruikt voor tal van verschillende websites en -applicaties. Oorspronkelijk alleen opgezet als blog-platform, maar inmiddels maken ook het lokale caviaforum en de overheid er al gebruik van voor hun forum en informatie-sites. Het zelf aan kunnen melden en inloggen van gebruikers is dan ook niet altijd wenselijk (wel voor cavialiefhebbers, niet voor burgers), maar de functionaliteit is er wel.
Dan vraag je je af wat daar mee mis kan gaan. Dat zijn dus twee dingen: het aanmelden zelf en de mogelijkheden die het opent.
Want als ik me aanmeld op jouw forum, krijg jij als beheerder een mailtje. Als er dan bij het aanmelden extra informatie gevraagd wordt, kan ik zo'n veld misbruiken om een linkje naar een door mij gekozen mee te sturen. Dan dan is het dus feitelijk spam, want dat extra linkje wil je helemaal niet zien. Vooral niet als ik het dan verbloem als "zie deze link voor mijn portfolio/ID-kaart/website (kruis aan wat het beste bij de site past)" en je dan doorlink naar een louche site met schaarsgeklede dames of iets dergelijks.
Vervolgens heb ik een account en kan ik ook artikelen schrijven of reacties plaatsen. Dat is dan de volgende jackpot, want dan kan ik als spammer helemaal los gaan. We zien regelmatig een (wat oudere) WordPress site met tig-miljoen commentaren, varierend van niet-van-echt-te-onderscheiden Louis Vuitton tassen tot libido-verhogende pilletjes of snelle leningen tegen een laag rentepercentage.
WordPress biedt zelf oplossing #1: schakel het registreren van gebruikers uit. Dit kan gemakkelijk via Instellingen in de menubalk. Onder Algemeen vind je de optie Lidmaatschap, waar je door het vinkje bij Iedereen kan registeren uit te schakelen er voor zorgt dat het registratieformulier wordt uitgeschakeld.
Wil je juist wel dat mensen zich kunnen aanmelden voor een account, bijvoorbeeld omdat je een forum hebt of het juist leuk vindt als er gereageerd wordt op je posts, schakel dan het vinkje in maar zorg dat vervelende robots er niet doorheen komen. Dit kan met bijvoorbeeld een reCaptha - zo'n verificatieding dat je wel vaker tegen komt. Selecteer alle vakjes waar een auto op staat. Implementeren klinkt heel moeilijk, maar stelt niks voor met bijvoorbeeld de plug-in Google Captcha (reCAPTCHA) door BestWebSoft. Bijkomend voordeel: deze plug-in beveiligt direct ook je log-in en reactie-formulieren. Wel zo handig!
Reacties
Dit brengt ons ook direct bij de tweede mogelijkheid om als spammer een WP-site te misbruiken. Reacties op je blog-artikelen zijn natuurlijk hartstikke leuk. Dat betekent namelijk dat iemand de tijd heeft genomen om jouw stukje tekst te lezen en zich geroepen voelt om er zijn of haar mening over te geven. Beetje jammer als dat dan alleen maar over nepschoenen of blauwe magische pilletjes gaat...
Reacties uitschakelen is mogelijk, bijvoorbeeld door de Disable Comments plugin van Samir Shah te gebruiken. Wil je reacties wél toe blijven staan (want het is en blijft leuk), zorg dan dat ook daar een beveiliging tegen robotjes bij komt. De eerder genoemde reCaptcha plug-in doet dit voor je, heel makkelijk dus.
Plug-ins
Vervolgens ga je natuurlijk je site bouwen en worden er plug-ins geïnstalleerd. Een erg populaire plug-in met een heel scala aan verschillende functies is Jetpack. "De enige plug-in die je nodig hebt voor statistieken, gerelateerde berichten, zoekmachineoptimalisatie, delen via social media, bescherming, back-ups, snelheid en beheer van je mailinglist." Nou, dat is dus best veel.
Er zit daar ook een addertje onder het gras. Want, met zo veel functionaliteit, zit er ook wel eens wat tussen waar je niet blij van wordt. In dit geval is dat de deel-functie, want dan kun je dus pagina's doorsturen naar vrienden. En als ik een mailtje kan sturen naar Jan vanuit jouw site met een berichtje over hoe leuk die pagina is, kan ik daar ook meteen bijzetten dat mijn voorraad pilletjes weer is aangevuld, toch? Jammer.
Maar, Jetpack houdt ook hier rekening mee door reCaptcha als optie aan te bieden. Het enige wat je hiervoor hoeft te doen, is twee regeltjes toe te voegen aan het wp-config.php bestand:
define( 'RECAPTCHA_PUBLIC_KEY', 'XXXXXXX' ); define( 'RECAPTCHA_PRIVATE_KEY', 'XXXXXXX' );
Eenmaal opgeslagen, wordt de 'delen via e-mail'-optie in ieder geval beschermd met dezelfde reCaptcha als die van het registreren en het plaatsen van reacties. Daarnaast kun je de hele optie sowieso uitzetten via de nieuw beschikbaar gekomen Jetpack instellingen. Onder Delen staat nu een lijstje van deel-opties, zoals Facebook, Twitter en dus ook e-mail. Wanneer je het e-mail-symbooltje versleept van Geactiveerde services naar Beschikbare services haal je de hele verstuur-een-e-mail-optie weg. Want e-mail is zooo 2017...
Conclusie
Het is dus niet zo moeilijk. Het enige wat je nodig hebt om een groot gedeelte van het spam-misbruik te voorkomen, is tien minuten tijd en een setje reCaptcha-keys van Google. Je krijgt ze met een webmaster-account op https://www.google.com/recaptcha/, waar je per site, domeinnaam of project codes kunt genereren.
Dus, doe jezelf (en alle potentiële ontvangers) een lol en neem de volgende keer dat je inlogt even de tijd om je site te beveiligen. Daar wordt iedereen blij van.
Behalve spammers natuurlijk, maar daar geven wij niks om.