Стабильно раз в пару месяцев ко мне приходят клиенты с просьбой разобраться со спамом на сайте. Авторегистрации пользователей, спам в комментарии (хотя у некоторых даже нет форм для комментариев), и конечно же спам в заявки, от которого знатно пригорают отделы продаж. Так как я работаю с WordPress и 1С Битрикс, запросы прилетают именно по этим CMS. 1С Битрикс – отдельная тема, сегодня расскажу про WordPress.

Пока Cloudflare не заблокировали и не замедлили, решение было очевидным – без убогой капчи, скрытых полей в формах и прочих костылей. Даже с минимальным пониманием DNS и HTTP-заголовков за пару часов можно было срезать 99% спама. Мне всегда хватало трёх бесплатных WAF-правил, чтобы под корень убрать спамеров и чересчур наглые парсеры.

Что сейчас есть на рынке WAF?

С момента блокировки Cloudflare единственной альтернативой долгое время оставался DDoS-Guard, но тариф с доступом к WAF для большей части малого и среднего бизнеса попросту недосягаем. Да и платить за то, что раньше давали бесплатно, психологически неприятно.

Сейчас WAF предлагают почти все крупные операторы связи и облачные провайдеры: Яндекс Облако, МТС, Ростелеком. Но с ценами картина грустная – минималка начинается от 10 тысяч рублей в месяц за один сайт, везде тарификация по числу запросов. При этом загрузка одной страницы – это в лучшем случае 30–50 запросов, а то и все 300–500. Для малого бизнеса это нецелесообразно.

Какие альтернативы

На фоне таких «вкусных» предложений приходится использовать грубое решение – блокировать страны, IP-адреса и диапазоны через .htaccess. На VPS есть более шустрые инструменты – fail2ban, iptables и им подобные, но WordPress на VPS я за 10 лет встречал два-три раза. Как правило, это shared-хостинги.

.htaccess тоже не резиновый: при большом списке IP начинает просаживаться скорость загрузки. Был у меня клиент, у которого спам лился таким потоком, что за неделю мы собрали пул из 7000+ диапазонов адресов – порядка 2 млн IP. На таких объёмах уже нужен либо переезд на VPS, либо дорогой WAF.

Ещё один минус .htaccess – пользователь получает безликую страницу 403 Forbidden. А с учётом повсеместного использования VPN, вы рискуете потерять обычного клиента, который решит, что ваш сайт или вообще весь бизнес прилег отдохнуть.

Немного о природе спама

Основной спам идёт с серверов в Азии, Европе, США и ряда российских хостеров с мутной репутацией (VDSina, Biterika и пр. куски …). Но просто заглушить весь зарубежный трафик нельзя: спамеры и пользователи VPN часто сидят не просто у одного провайдера, а на одном диапазоне IP. Заблокируете трафик из США – заблокируете и Googlebot, что для SEO равносильно выстрелу себе в ногу. Да и обычные пользователи с VPN – это ваши потенциальные клиенты, а не враги.

Важно отметить: описываемое решение не защищает от DDoS‑атак на сетевом уровне. Оно решает другую задачу – фильтрацию нежелательного прикладного трафика: спама в формы, комментарии и авторегистрации.

К делу

С очередным обращением клиента я подумал: а почему бы не сделать массовое решение в виде плагина? Чтобы клиент сам мог настроить блокировки под свой сайт, видел понятную страницу для заблокированных пользователей, например, с текстом «отключите VPN», имел статистику и быстрые инструменты для блокировки мусорного трафика.

Аналоги в виде плагинов существуют, но все они зарубежные. Это сразу геморрой с оплатой, особенно для компаний, работающих в белую, и более высокая цена. К тому же в погоне за оправданием стоимости туда напичкано множество абсолютно бесполезных функций, которые сами по себе просаживают производительность сайта. А значит точно надо делать наше, да так чтобы стыдно не было.

Реализация

Для определения страны по IP я взял сервис 2ip.io – старый, стабильный, с адекватной ценой и без рисков замедления\блокировки. Для большинства сайтов с трафиком до 10 000 уникальных посетителей в месяц хватает бесплатного лимита, для более нагруженных – порядка 40 рублей за каждые 1000 посетителей сверх лимита.

Плагин получил следующий набор инструментов:

Геоблокировка по странам. Выбираете страны, откуда не хотите получать трафик. Остальные проходят свободно. Поисковые боты (Googlebot, Yandex и прочие) по умолчанию не блокируются независимо от страны – SEO в безопасности.

Белый список IP. Конкретные адреса всегда пропускаются: ваш офис, команда разработчиков, мониторинговые сервисы. Проверяется в первую очередь.

Чёрный список IP. Конкретные адреса блокируются всегда, до любых других проверок. Работает эффективно даже со списком в 200 000 адресов – поиск занимает менее 0,1 мс благодаря кэшированию и хранению в памяти.

Правила для ботов. Встроенные группы: поисковые системы, социальные сети, сервисы мониторинга, CLI-инструменты. Гибкие правила по User-Agent – можно разрешить или заблокировать конкретные строки. Кастомный User-Agent в белом списке имеет приоритет над любыми другими правилами.

Защита комментариев WordPress. Отдельный болевой момент: спамеры часто шлют запросы напрямую, обходя фронтенд полностью. Плагин перехватывает эти запросы и применяет те же правила — геоблокировку, чёрный список и фильтрацию по User-Agent. Реальные поисковые боты комментарии не пишут, поэтому для них исключений здесь нет.

Кастомная страница блокировки. Вместо пугающего 403 Forbidden пользователь видит понятное сообщение — например, «Для доступа к сайту отключите VPN». Текст настраивается в админке.

Статистика. Лог всех событий за последние 7 дней: время, IP, страна, User-Agent, действие (заблокировано / разрешено). Виджет на дашборде WordPress для быстрого мониторинга.

Производительность. Результаты геолокации кэшируются в собственной таблице базы данных на 24 часа — повторные визиты с одного IP не тратят API-лимит. Белый и чёрный списки хранятся через WordPress Object Cache API: если на сервере есть Redis или Memcached — плагин автоматически задействует их без дополнительной настройки. Поддерживается Cloudflare, nginx-прокси и обычный shared-хостинг — настраивается источник IP-адреса.

Мультисайт. При сетевой активации каждый сайт сети получает свои независимые настройки и статистику.

Текущий статус и планы

Плагин уже открыт для публичного использования. Первые клиенты подключились, спам фильтруется, обратная связь положительная. Я формирую список доработок для следующих обновлений — в первую очередь это расширенная аналитика, поддержка блокировки по ASN и дополнительные правила для форм.

Параллельно ведётся разработка аналогичного решения для 1С Битрикс — задача там несколько сложнее архитектурно, но подход тот же.

Плагин можно попробовать бесплатно в течение 7 дней, триал активируется автоматически при установке без ввода каких-либо данных. Если решение зайдет — доступны несколько форматов лицензий.

Буду рад комментариям, вопросам и критике. Если у вас был похожий опыт борьбы со спамом на WordPress — интересно услышать, какие подходы использовали и что сработало.