惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

GbyAI
GbyAI
博客园 - 三生石上(FineUI控件)
S
Securelist
U
Unit 42
The Cloudflare Blog
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
Simon Willison's Weblog
Simon Willison's Weblog
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
B
Blog
T
Tenable Blog
The Hacker News
The Hacker News
The Register - Security
The Register - Security
IT之家
IT之家
博客园 - 【当耐特】
Spread Privacy
Spread Privacy
P
Privacy & Cybersecurity Law Blog
博客园_首页
T
Tailwind CSS Blog
人人都是产品经理
人人都是产品经理
C
Cybersecurity and Infrastructure Security Agency CISA
Know Your Adversary
Know Your Adversary
NISL@THU
NISL@THU
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
阮一峰的网络日志
阮一峰的网络日志
T
Tor Project blog
C
CERT Recently Published Vulnerability Notes
Apple Machine Learning Research
Apple Machine Learning Research
Stack Overflow Blog
Stack Overflow Blog
T
Threat Research - Cisco Blogs
T
The Exploit Database - CXSecurity.com
V
Vulnerabilities – Threatpost
A
Arctic Wolf
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
V
V2EX
aimingoo的专栏
aimingoo的专栏
大猫的无限游戏
大猫的无限游戏
Scott Helme
Scott Helme
L
LINUX DO - 热门话题
Cyberwarzone
Cyberwarzone
V
Visual Studio Blog
月光博客
月光博客
爱范儿
爱范儿
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
美团技术团队
G
GRAHAM CLULEY
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
H
Heimdal Security Blog
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
Спам на WordPress: от Cloudflare до собственного плагина геоблокировки
Владислав Дармограй · 2026-05-10 · via Все публикации подряд на Хабре

Простой

5 мин

7.2K

Стабильно раз в пару месяцев ко мне приходят клиенты с просьбой разобраться со спамом на сайте. Авторегистрации пользователей, спам в комментарии (хотя у некоторых даже нет форм для комментариев), и конечно же спам в заявки, от которого знатно пригорают отделы продаж. Так как я работаю с WordPress и 1С Битрикс, запросы прилетают именно по этим CMS. 1С Битрикс – отдельная тема, сегодня расскажу про WordPress.

Пока Cloudflare не заблокировали и не замедлили, решение было очевидным – без убогой капчи, скрытых полей в формах и прочих костылей. Даже с минимальным пониманием DNS и HTTP-заголовков за пару часов можно было срезать 99% спама. Мне всегда хватало трёх бесплатных WAF-правил, чтобы под корень убрать спамеров и чересчур наглые парсеры.

Что сейчас есть на рынке WAF?

С момента блокировки Cloudflare единственной альтернативой долгое время оставался DDoS-Guard, но тариф с доступом к WAF для большей части малого и среднего бизнеса попросту недосягаем. Да и платить за то, что раньше давали бесплатно, психологически неприятно.

Сейчас WAF предлагают почти все крупные операторы связи и облачные провайдеры: Яндекс Облако, МТС, Ростелеком. Но с ценами картина грустная – минималка начинается от 10 тысяч рублей в месяц за один сайт, везде тарификация по числу запросов. При этом загрузка одной страницы – это в лучшем случае 30–50 запросов, а то и все 300–500. Для малого бизнеса это нецелесообразно.

Какие альтернативы

На фоне таких «вкусных» предложений приходится использовать грубое решение – блокировать страны, IP-адреса и диапазоны через .htaccess. На VPS есть более шустрые инструменты – fail2ban, iptables и им подобные, но WordPress на VPS я за 10 лет встречал два-три раза. Как правило, это shared-хостинги.

.htaccess тоже не резиновый: при большом списке IP начинает просаживаться скорость загрузки. Был у меня клиент, у которого спам лился таким потоком, что за неделю мы собрали пул из 7000+ диапазонов адресов – порядка 2 млн IP. На таких объёмах уже нужен либо переезд на VPS, либо дорогой WAF.

Ещё один минус .htaccess – пользователь получает безликую страницу 403 Forbidden. А с учётом повсеместного использования VPN, вы рискуете потерять обычного клиента, который решит, что ваш сайт или вообще весь бизнес прилег отдохнуть.

Немного о природе спама

Основной спам идёт с серверов в Азии, Европе, США и ряда российских хостеров с мутной репутацией (VDSina, Biterika и пр. куски …). Но просто заглушить весь зарубежный трафик нельзя: спамеры и пользователи VPN часто сидят не просто у одного провайдера, а на одном диапазоне IP. Заблокируете трафик из США – заблокируете и Googlebot, что для SEO равносильно выстрелу себе в ногу. Да и обычные пользователи с VPN – это ваши потенциальные клиенты, а не враги.

Важно отметить: описываемое решение не защищает от DDoS‑атак на сетевом уровне. Оно решает другую задачу – фильтрацию нежелательного прикладного трафика: спама в формы, комментарии и авторегистрации.

К делу

С очередным обращением клиента я подумал: а почему бы не сделать массовое решение в виде плагина? Чтобы клиент сам мог настроить блокировки под свой сайт, видел понятную страницу для заблокированных пользователей, например, с текстом «отключите VPN», имел статистику и быстрые инструменты для блокировки мусорного трафика.

Аналоги в виде плагинов существуют, но все они зарубежные. Это сразу геморрой с оплатой, особенно для компаний, работающих в белую, и более высокая цена. К тому же в погоне за оправданием стоимости туда напичкано множество абсолютно бесполезных функций, которые сами по себе просаживают производительность сайта. А значит точно надо делать наше, да так чтобы стыдно не было.

Реализация

Для определения страны по IP я взял сервис 2ip.io – старый, стабильный, с адекватной ценой и без рисков замедления\блокировки. Для большинства сайтов с трафиком до 10 000 уникальных посетителей в месяц хватает бесплатного лимита, для более нагруженных – порядка 40 рублей за каждые 1000 посетителей сверх лимита.

Плагин получил следующий набор инструментов:

Геоблокировка по странам. Выбираете страны, откуда не хотите получать трафик. Остальные проходят свободно. Поисковые боты (Googlebot, Yandex и прочие) по умолчанию не блокируются независимо от страны – SEO в безопасности.

Геоблокировка по странам

Геоблокировка по странам

Белый список IP. Конкретные адреса всегда пропускаются: ваш офис, команда разработчиков, мониторинговые сервисы. Проверяется в первую очередь.

Белый список IP

Белый список IP

Чёрный список IP. Конкретные адреса блокируются всегда, до любых других проверок. Работает эффективно даже со списком в 200 000 адресов – поиск занимает менее 0,1 мс благодаря кэшированию и хранению в памяти.

Чёрный список IP

Чёрный список IP

Правила для ботов. Встроенные группы: поисковые системы, социальные сети, сервисы мониторинга, CLI-инструменты. Гибкие правила по User-Agent – можно разрешить или заблокировать конкретные строки. Кастомный User-Agent в белом списке имеет приоритет над любыми другими правилами.

Защита комментариев WordPress. Отдельный болевой момент: спамеры часто шлют запросы напрямую, обходя фронтенд полностью. Плагин перехватывает эти запросы и применяет те же правила — геоблокировку, чёрный список и фильтрацию по User-Agent. Реальные поисковые боты комментарии не пишут, поэтому для них исключений здесь нет.

Кастомная страница блокировки. Вместо пугающего 403 Forbidden пользователь видит понятное сообщение — например, «Для доступа к сайту отключите VPN». Текст настраивается в админке.

Статистика. Лог всех событий за последние 7 дней: время, IP, страна, User-Agent, действие (заблокировано / разрешено). Виджет на дашборде WordPress для быстрого мониторинга.

Производительность. Результаты геолокации кэшируются в собственной таблице базы данных на 24 часа — повторные визиты с одного IP не тратят API-лимит. Белый и чёрный списки хранятся через WordPress Object Cache API: если на сервере есть Redis или Memcached — плагин автоматически задействует их без дополнительной настройки. Поддерживается Cloudflare, nginx-прокси и обычный shared-хостинг — настраивается источник IP-адреса.

Мультисайт. При сетевой активации каждый сайт сети получает свои независимые настройки и статистику.

Текущий статус и планы

Плагин уже открыт для публичного использования. Первые клиенты подключились, спам фильтруется, обратная связь положительная. Я формирую список доработок для следующих обновлений — в первую очередь это расширенная аналитика, поддержка блокировки по ASN и дополнительные правила для форм.

Параллельно ведётся разработка аналогичного решения для 1С Битрикс — задача там несколько сложнее архитектурно, но подход тот же.

Плагин можно попробовать бесплатно в течение 7 дней, триал активируется автоматически при установке без ввода каких-либо данных. Если решение зайдет — доступны несколько форматов лицензий.

Буду рад комментариям, вопросам и критике. Если у вас был похожий опыт борьбы со спамом на WordPress — интересно услышать, какие подходы использовали и что сработало.