In the precedent page anti_spam, we raised some problems about Akismet and the anti-spam protection.

But the proposed methods only protect from spams which are arriving to your website. In this case, we only hope that -one day- spammers will understand that their spams are blocked and so they will stop spamming our site. In reality -it's rather weird- the spammers are still sending spams even if Akismet is stopping their spams.

Is it possible to reduce the volume of spams reaching your website ?!

To realize the difficulty to decode a program, let's just note that Google (and all others search engines… Yahoo… etc…) are only parsing XHTML code of a web page.

Every piece of Flash or Javascript code is simply… ignored!

That's a good reason why all websites are not under Flash technology, and even those under Flash are proposing a duplicate content in…HTML (hidden to users and only dedicated to search engine!)

The great advantage of XHTML is its structure which is easily parsed and that's the key point of its success!

But spammers are also taking profits from this facility to parse XHTML.

On its side, Javascript has some other advantages:

• it's supported on nearly every browser, so the technology is accessible to almost every visitor
• Javascript is very hard to decode without using big resources

To know how a Javascript code changes the DOM of the HTML page, the best way is to rebuild the DOM and then to execute the Javascript code. To make it short: you are running a browser like Firefox! And it's consuming a lot of resources and time if you have to do this on a huge amount of pages.

In the first part introducing the tricks to fight spam in Wordpress, we noticed the weakness about commenting in Wordpress is to propose a common, and very known, access point to comments.

e.g.: http://mon.site.com/wp23/wp-comments-post.php

The spammers get access to this URL by parsing the HTML code of the posts you published on the web.

The idea is now to hide the form by using Javascript.

There are thousands of way to write your Javascript code to build the form.

And given the needed ressources to execute this code and find the form, it's unlikely that any spammer will try this work… and then have its spams blocked by your personal form key.

If you have a look to the HTML code of your page, then your post is not proposing any comment form… Then you are not getting spam anymore!

This method is very useful if you apply it from the very start of your website life, when its goes online. But what to do if your website is already targeted by spammers ?

This method has been active for several weeks on my websites and since spam has completly stopped! I didn't expected that trick to be so efficient.

Initially, my first aim was to trick the spammers: they get the URL in the HTML page; so I'm going to show a false URL in the HTML… and with Javascript, I'm going to build the real one for real users.

The example of the “Back Fire”:

<form id="commentform" action="http://<?php echo $_SERVER['REMOTE_ADDR']; ?>/" method="post">

This will generate the following HTML code

<form id="commentform" action="http://48.77.452.78/" method="post">

The form will then send the comments request on… the visitor computer!

You need to add this kind of Javascript code to restore the good URL form target :

<script type="text/javascript">
document.getElementById("commentform").action="http://mon.site.com/wp23/wp-comments-post.php"
</script>

With this trick, a lazy spammer will send spams to himself!

And since the, spam has stopped on my website!

I also had the idea to put another website instead of the visitor IP address ,as the false target, … hehe… But it would have made me a … spammer for this site

…TRANSLATION ONGOING…

Les résultats obtenus avec ces astuces semblent montrer que les spammeurs de WP ne cherchent pas trop à affronter les situations tordues.

Je pense que cela vient pour beaucoup du fait que énormément de sites WP se font spammer très facilement.

La donne changera sûrement quand la protection anti-spam de WP sera meilleure. Mais vu que WordPress et Akismet sont fournis par Automattic, cela risque de prendre du temps!

Akismet fournit un parapluie anti-spam très simple à mettre en place. Et cela suffira longtemps à beaucoup d'utilisateurs.

Par contre, leur position contre le spam est très étonnante: http://akismet.com/stats/

Ils semblent plutôt se réjouir que le nombre de spams augmente, tout fiers que leur parapluie fonctionne. Et c'est tout!

Ce qui est à la limite de l'aberration, c'est que si Akismet est si efficace et que les spammeurs sont si forts pour analyser le contenu d'une page web; les spammeurs devraient quand même s'apercevoir que leurs spams ne passent pas! Certains sites affichent le compteur Akismet pour totaliser les spams arrêtés!

Et pourtant, les spammeurs continuent…

Après plusieurs hypothèses, il me semble que cela provient probablement d'une obligation stratégique: si ouvrir le parapluie Akismet suffit à arrêter le spam sur son site alors tous les sites vont adopter Akismet. Continuer à spammer les sites protégés par Akismet servirait simplement à retarder l'adoption d'Akismet.

Vous vous protégez de la pluie mais il continue de pleuvoir et de plus en plus fort!

La réalité semble pourtant montrer que Akismet est adopté massivement par les outils de blogs.

Autrement, l'objectif du spam est peut-être simplement d'exposer au moins une fois les publicités qu'ils envoient. Or Akismet garde un mois de spam dans votre base de données, au cas où il se tromperait… La plupart des utilisateurs doivent alors jeter un coup d'oeil régulièrement et donc lire un peu des abominations contenues dans les spams. Les spammeurs atteindraient alors leurs objectifs et le seul résultat de Akismet serait de ne pas afficher les spams aux visiteurs sur le site. Ces visiteurs ont probablement aussi un blog et liront aussi leurs propres spams ?

D'autres hypothèses plus sombres et tordues me sont venus à l'esprit…

En prenant le spam comme une activité économique, qui doit rapporter plus que ce qu'elle coûte; spammer des sites inutilement est un manque à gagner pour les spammeurs.

Si utiliser Akismet arrête le spam alors les sites vont l'utiliser juste le temps d'arrêter le spam et puis bye, bye… Akismet profite donc aussi de la continuité du spam.

Est-ce qu'on partirait sur un scénario rocambolesque du type “les assureurs payent des voleurs de voiture car ils peuvent augmenter les primes d'assurances et ils gagnent toujours plus que ce qu'ils remboursent ?”

L'autre côté troublant d'Akismet est qu'il construit le même type de réseau qu'un hackeur: le plugin Akismet sur votre site réagit sur une entrée de spam et envoie des requêtes vers les serveurs Akismet pour vérifier la nature du commentaire. En quelque sorte, votre site devient un site zombi qui réagit sur commande. En corrompant le système, on imagine vite un résultat comme: “vous recevez un spam, vous en envoyez 10”…

Quelque soit la vérité, le comportement des spammeurs et d'Akismet est très irrationnel… et pourtant ce sont des ingénieurs doués et intelligents!

A suivre…