Inscription de nombreux faux comptes spam

Hello !

J'ai commencé à indexer mon forum et j'ai pas mal d'inscriptions de spambots.
Si j'ai bien compris comment fonctionne la sécurité à l'entrée, une même IP ne peut pas créer plusieurs comptes, cela limite la quantité.
De ce que j'en vois, ce sont des bots assez basiques, ils ne vont pas aller vérifier le mail, donc pas de message publié, c'est déjà ça.

Par le passé, j'utilisais un honeypot pour filtrer ce genre de bots, en gros c'est un champ texte qui doit rester vide. Généralement, on le cache avec un CSS. Les robots sont assez bêtes et remplissent tous les champs. Du coup, si le champ est rempli, on peut estimer que c'est un robot. Il faut juste faire attention que l'auto-complétion du navigateur n'y ajoute pas quelque chose.

En alternative, on a aussi la question anti-spam qui fonctionne bien pour ce genre de bots : "De quel couleur est le ciel ?".
Ou plus complexe, un captcha. Cloudflare a une solution qui marche pas mal. Pour ces deux dernières solutions, un plugin serait peut être plus adapté.

Pour le moment, ce ne sont pas des bots très avancés, je pense qu'il y a moyen de les bloquer simplement.

A mesure qu'un CMS devient populaire, les spammeurs utilisent une requête dans les moteurs de recherche du type "Construit avec ♥ en utilisant Flatboard Pro" ou "Powered by Flatboard". Une option pour désactiver cette mention pourrait être la bienvenue, peut être sur la version premium ?

Voilà, voilà ! :)

Bonjour @Jiti ,

Merci pour ce retour détaillé sur les inscriptions de spambots ! Vous avez raison, la limitation par IP offre déjà une première barrière, et le fait que ces bots ne valident pas leur email les empêche de poster, ce qui limite les dégâts.

Concernant vos suggestions anti-spam :

Le honeypot est effectivement une excellente solution, simple et efficace contre les bots basiques. C'est peu intrusif pour les utilisateurs légitimes et facile à implémenter. Je viens dans l'intégré ici même et feras l'objet d'une update très prochainement.

Pour la question anti-spam et les captchas, vous avez raison qu'un système de plugins serait plus adapté. Cela permettrait à chaque administrateur de choisir la solution qui convient le mieux à son forum (question personnalisée, Google reCAPTCHA, hCaptcha, Cloudflare Turnstile, etc.).
Edit: plugin en test ici même pour des tests poussé.

Concernant la mention "Powered by Flatboard" :

Votre point est très pertinent. Cette signature peut effectivement servir aux spammeurs pour cibler les forums. Voici ce que je propose (je ne pense pas que se soit une priorité):

1. Option de désactivation : Ajouter un paramètre dans l'administration pour masquer ou personnaliser cette mention
2. Version premium : Cette option pourrait effectivement être réservée à la version Pro, ce qui ajoute de la valeur à l'offre payante tout en permettant aux forums établis de mieux se protéger

Pour l'instant, en attendant ces améliorations, vous pouvez toujours modifier manuellement le footer dans les templates si le spam devient trop problématique.

Continuez à me tenir informé de l'évolution du spam sur votre forum, ça m'aidera à prioriser ces fonctionnalités !

Fred

Concernant la mention "Powered by Flatboard" :

une solution simple et anonyme : le logo. une image comme une mini-banner (genre ça ) . deux logos pour deux versions et hop, plus de risques :) je peux bosser sur un logo en svg pour te faire une idée :)

pour ce qui est des spams, j'avoue avoir précisé dans les règles de mon forum "la lecture est libre : si vous vous inscrivez, c'est pour participer : les utilisateurs sans message seront supprimés quotidiennement" :P

arpinux

Si tu gères le SVG, je suis preneur 🙂

En revanche, oui, il faut absolument préciser que les comptes avec 0 message depuis un certain temps pourront être susceptibles d’être supprimés.

Je me le note pour plus tard afin d’ajouter un outil dans l’administration pour gérer cela — ou éventuellement développer un plugin permettant de les supprimer automatiquement.

Rendre la mention désactivable (peut-être en version Pro)

✔ Points positifs

• Réduit la surface de repérage automatisé
• Répond à une vraie demande des utilisateurs soucieux de sécurité
• Peut être un argument commercial pour une version Pro

⚠ Points à considérer

• Masquer la mention ne protège pas réellement contre un scan technique (empreinte HTML, structure, fichiers spécifiques, headers, etc.)
• Certains CMS open-source utilisent la mention “Powered by” comme levier marketing naturel

👉 En résumé : bonne idée côté confort et image, mais ce n’est pas une vraie mesure de sécurité, plutôt une mesure de discrétion.

💡 Sur la réponse proposée : remplacer le texte par un logo (mini-banner)

« une solution simple et anonyme : le logo »

C’est malin, mais partiellement vrai.

✔ Avantages

• Impossible de trouver via une recherche textuelle simple
• Moins exploitable via Google
• Permet de différencier version gratuite / premium

❗ Limites

• Un bot peut :

  • analyser l’attribut alt
  • détecter le nom du fichier (flatboard.png)
  • reconnaître l’empreinte du code

• Une image ne rend pas l’installation anonyme si le code reste identifiable

Donc ça réduit le repérage opportuniste, mais pas le repérage technique.

un peu aléatoire pour l'instant le captcha questions/réponses ... me fait virer une fois sur deux pour mauvaise réponse :P

Mouais je pense que tu t'es planté dans la réponse surtout 🤪

pas faux ! 😂
ah, un truc : même avec le forum en français, les questions sont en anglais.

Oui, les questions et les réponses sont rédigées manuellement.
Si tu le souhaites, ou si d’autres veulent l’essayer, vous pouvez tester le plugin Captcha ici : Captcha.

Hello !

J'ai un peu testé le plugin Captcha.

Le système de questions/réponses semble être efficace contre ces petits bots. Je n'ai plus d'inscriptions indésirées. Pour les questions en anglais, par défaut cela pourrait être uniquement des questions mathématiques (6 + 9=), ça rendrait le truc international.

J'ai également testé Turnstile de Cloudflare. J'ai eu de moins bons résultats, je ne sais pas si c'est un problème technique ou si les bots arrivent à passer à travers les mailles du filet. Je vais retenter un moment.

En tout cas, ça permet de bloquer la plupart de bots basiques.

Merci pour la réactivité ! :)

Fred

salut :)
le lien n'est plus actif pour le captcha

Je suis sur un autre plugin de CAPTCHA multilingue et surtout sans services tiers, il est déjà présent ici même pour test et le proposerais bientôt dans le gestionnaire de ressources 😎