Jak se bránit ručnímu spamování formulářů v Drupalu

Na většině webů postavených na Drupalu se snažím používat modul Antibot. Funguje na bázi JavaScriptové kontroly a na rozdíl od klasické captcha neruší cacheování stránky, na které se nachází.

Odfiltruje drtivou většinu robotů a zároveň nevytváří cookies. To je nesporná výhoda proti populární ochraně reCaptcha od Google. Správně byste ji neměli aktivovat, dokud uživatel nedá souhlas s cookies. Jenže odeslání formulářů chcete obvykle povolit všem.

Ale zatímco Antibot funguje spolehlivě na roboty, nezmůže nic proti tomu, že si váš web jednoho dne načte nasupený konkurent a začne přes kontaktní formulář ládovat jeden nenávistný vzkaz za druhým. Nedávno se to stalo jednomu klientovi, a protože to bylo dost nepříjemné, bylo potřeba vymyslet řešení.

Zabanování IP adresy jako rychlá pomoc. A neúčinná

Jako první mě napadlo zablokovat IP adresu útočníka. V uložených výsledcích ve Webformu je použitá IP krásně vidět, takže stačilo aktivovat modul Ban. Tím se vám v Drupalu zpřístupní administrační část Nastavení > Uživatelé > Blokace IP adres.

Stačí nahodit IP adresu, z níž chcete přístup k webu zablokovat, a je hotovo. Tedy tak jsem si to původně myslel. Náš otrava ale brzy objevil kouzlo veřejných VPN, takže jeho blokování začalo postupně připomínat hru kdo s koho.

Ochrana před zahlcením formulářů

Drupal má v sobě zabudovanou ochranu flood protection, která se projeví například pokaždé, pokud během chvilky zkusíte několikrát zadat špatné přihlašovací údaje. Zablokuje přístup z vaší IP adresy a nepomůže vám, ani když následně zadáte své jméno a heslo správně. Musíte pak počkat na zpřístupnění.

V případě formulářů z modulu Webform, ale i kterýchkoli dalších v Drupalu, je možné využít podobnou ochranu pomocí modulu Protect Form Flood Control.

1. Po aktivaci modulu přejděte do sekce Nastavení > Uživatelské rozhraní > Protect Form Flood Control. Do políčka Protected Form IDs zadejte identifikátory formulářů. Je možné použít i hvězdičkovou syntaxi, takže např. webform_submission_* zapne ochranu u všech formulářů Webformu.
2. Pokud ID formuláře neumíte najít, pak si vespod zapněte volbu Display form IDs and base form IDs, nastavení uložte a načtěte stránku s formulářem. Jeho ID se vám následně zobrazí. Zkopírujte si jej a zmíněnou volbu pak opět vypněte.
3. Do pole Window zadejte časové okénko v sekundách. Já zadávám 3600, tedy jednu hodinu. Do pole Práh pak počet odeslání formuláře (nastavuji 2). Pokud bude v časovém rámci z jedné IP adresy překročen, pak bude tato IP adresa automaticky zablokována.
4. Zároveň máte možnost uvést, které IP adresy nebudou nikdy blokovány a případně si zapnout podrobnější logování.

Zmíněné nastavení se mi osvědčilo. Záškodník, nebo spíše prudič, to po chvíli vzdal, protože změna IP adresy je z mého pohledu podobný opruz, jako zaklikávat čtverečky se semafory na Google reCaptcha. Takto jsme se obešli bez ní i bez cookies třetích stran.