בוטים זדוניים הסורקים את הרשת וממלאים טפסים (טופסי הרשמה, טפסים ליצירת קשר וכו) ויוצרים כך שלל בעיות. איך להגן על טפסים באתר וורדפרס?
תוכן עניינים
האזנה לפודקאסט
האם הייתם נותנים לכל דיכפין להעלות רשימות באופן חופשי למערכת הדיוור שלכם? כנראה שלא.
אבל זה בדיוק מה שאתם עושים אם אתם לא מגינים על הטפסים שלכם בדפי נחיתה ואתרי אינטרנט. כל אחד יכול להירשם, גם בוטים למיניהם שישתילו לרשימות התפוצה שלכם מלכודות ספאם ומידע לא מאומת אחר.
דבר דומה קורה במנגנוני תגובות (comments) באתרי אינטרנט: בוטים למיניהם משתילים תגובות ספאמיות שפעמים רבות גורמות למנהלי אתרים כאב ראש הכרוך ב-moderation ידני של תגובות.
למה להגן על טופסי הרשמה?
אתרי האינטרנט מהווים יעד אטרקטיבי לניסיונות פריצה. בוטים זדוניים סורקים את הרשת במטרה למצוא קורבנות, מוצאים טפסים (טופסי הרשמה, טפסים ליצירת קשר וכו’) באתרים וממלאים טפסים בצורה אוטומטית.
הסכנה היא שכך נוצר מצב שבו בוטים ממלאים טפסים ונרשמים לרשימות דיוור באמצעות כתובות אימייל ופרטים אחרים (בחלקם נתונים פיקטיביים). כתובות האימייל מוזרקות כך, ללא ידיעתכם, לרשימות דיוור במערכות הדיוור שלכם שישלחו דיוורים אוטומטיים (כגון דיוור welcome email באוטומציה עם ההצטרפות לרשימת דיוור) ונמענים שיצורפו ללא הסכמתם וללא ידעתכם לקמפיינים שיווקיים נוספים שלכם.
המקור להרשמות השווא הללו מגיע בין השאר ממידע שהושג ברשת מ-scraping של דאטה מאתרי אינטרנט ורשתות חברתיות, מידע שהושג מאירועי דליפות מידע (פריצה למאגרי מידע) ומקורות אחרים.
מלבד בעיית הניפוח של רשימת הדיוור, שפעמיים רבות עשויה גם לנפח את החשבון שתשלמו למערכת הדיוור שלכם (רבות מהן מחייבות לפי כמות הנמענים) הדבר יכול לגרום למספר בעיות נוספות:
משתמשים מדווחים על ספאם user reported spam
הרשמות שווא של אנשים שכלל לא ביקשו להירשם לדיוורים שלכם תוביל קרוב לוודאי לדיווחים על ספאם מצידם מייד כשיקבלו את הדיוורים (מייל אוטומציית “ברוכים הבאים”, הצטרפות לקמפיינים), מה שעשוי לפגוע ב-reputation שלכם כמדוורים, להוביל לחסימות ובעיות עבירוּת (email deliverability).
אם יש עליה פתאומית בדיווחים על ספאם כדאי לבדוק ממה היא נובעת. לעיתים העלייה בדיווחים על ספאם נובעת משינוי טמפלט, או העדר אפשרות הסרה קלה מהדיוורים ולפעמים היא נובעת מתופעת list bombing שמתרחשת כשרשימות דיוור מתמלאות בהרשמות ספאמיות על ידי בוטים שממלאים טופסי הרשמה.
ניתן לעקוב אחר מצב הדיווחים על ספאם ב-Google Postmaster (שמציג אמנם נתונים ב-delay של כמה ימים ומציג רק דיווחים בדומיין Gmail.com ולא בדומיינים אחרים, אך בכל זאת כדי להסתכל על הנתונים בו באופן שוטף.
כתובות אימייל לא תקינות
זינוק בהרשמות שווא עם כתובות אימייל שאינן תקינות יוביל לעליה מיידית ב-bounce rate. כתובות אימייל שגויות יובילו ל-hard bounce שבהיקפים גדולים עשוי להוביל לפגיעה ב-reputation.
הערכה ראשונית של מדדי עבירוּת
Spam rate | Unsubscribe rate | Bounce rate | Unique click rate | Unique open rate | מקור |
פחות מ-0.05% | פחות מ-0.2% | פחות מ-0.4% | מעל 2.5% | מעל 25% | מצוין |
0.05-0.08% | 0.2-0.3% | 0.4-0.8% | 1.5-2.5% | 15-25% | טוב |
0.08-0.15% | 0.3-0.7% | 0.8-1.5% | 1-1.5% | 10-15% | טעון שיפור |
יותר מ-0.15% | יותר מ-0.7% | יותר מ-1.5% | פחות מ-1% | פחות מ-10% | גרוע |
מלכודות ספאם
הרשמות שווא המכילות כתובות אימייל של מלכודות ספאם ידועות (רובן אינן ידועות) עשויות להוביל לפגיעה קשה ב-reputation, חסימת כתובות ה-IP והדומיינים המדוורים עד כדי שיתוק היכולת לדוור. ישנם מקרים בהם לא רק גורמים עלומים זדוניים פגעו כל בקורבן מזדמן אלא במתקפות מכוונות של מתחרים שבוצעו בכוונה לתקוף יעד ספציפי. זה אולי סייבר למתחילים, אבל משהו שבהחלט כדאי להיות מודעים לו.
מעבר על חוקי דיוור
הרשמות שווא שמתבצעות על ידי בוטים זדוניים עשויות לגרום לכך שאנשים ירשמו ללא ידיעתם לדיוורים שלכם, דבר שיכול לגרום לכם להפר את “חוק הספאם” הישראלי וחוקים דומים בטריטוריות אחרות.
איך למנוע ספאם ודואר זבל בטפסים באתרי וורדפרס
על מנת לצמצם abuse באתרים פותחו במרצת השנים פתרונות שונים שנועדו לאבטח טפסים באתרים ואימות נתונים בשלב הזנתם על מנת לוודא (עד כמה שאפשר) שמשתמש הוא אדם שמבצע פעולה לגיטימית ולא רובוט.
Captcha – אימות אנוש
ב- 2003 הוצג רעיון שפותח כמה שנים קודם לכן, שמציע לקיים מבחן אימות שנקרא Captcha, ראשי תיבות של Completely Automated Public Turing test to tell Computers and Humans Apart. בהמשך הרעיון התפתח ליישום מסחרי שמומש בצורות שונות. בחלקן מוצגים רמזורים, חיות או עצמים אחרים והמשתמש צריך לזהות אותם, חלקן מציגות אותיות עקומות ומערבבות וחלקן דורשות מהמשתמש להזיז את העצמים לזווית מסוימת כדי לעבור את המבחן. היישומים הנפוצים הם reCaptcha של גוגל, Captcha ו- Cloudflare Turnstile.
Honeypots – מלכודות דבש
הגנה טובה נוספת שכדאי להפעיל היא honeypots: שדה סמוי מהעין הקיים בפועל בטופס. בן אנוש לא יראה אותו ולכן גם לא ימלא אותו, אך spam bots יזהה אותו וימלא אותו. ישנם גם מנגנוני Advanced spambot protection מורכבים יותר, המייצרים מפתח ייחודי שמחושב בכל הרשמה ומקשה על בוטים במילוי שדה honey bot רגיל.
הגנה מובנית במערכת הטפסים
מערכות טפסים מקצועיות מאפשרות ליישם Captcha ו-hCaptcha סמויה (No CAPTCHA) או גלויה וכוללות מנגנוני הגנה נוספים כגון מלכודות דבש, מניעת רישום תווים מסויימים בחינה של משך הזמן שלוקח למלא את הטופס (מתוך הנחה שבוט ימלא טופס מהר יותר ומאדם) ומנגנונים מובנים נוספים.
ה-Captcha מונעת מילוי טפסים על ידי בוטים כמעט לחלוטין אבל יכולה להוות אתגר נגישות ולא תמיד מתאימה לאוכלוסיות מסוימות.
מערכות טפסים נפוצות ל-WordPress
שם המערכת וקישור ליצרן | הערות |
Fluent Forms | |
Happy Forms | |
Gravity Forms | |
WP Forms | |
Formidable Forms | |
Ninja Forms | |
Contact Form 7 | |
ARForms | |
Wufoo | |
Elementor | מערכת טפסים ופופ-אפ קיימת כחלק אינטגרלי מאלמנטור |
תוספים לאתר לחסימת ספאם בוטים
תוספים שונים מציעים שכבת הגנה נוספת כגון Akismet, WordPress Zero Spam, oopspam, Antispam Bee, Human Presence ותוספים נוספים המתבססים על טכנולוגיות שונות. חלקם מבוססי API וחלקם שואפים לקבל החלטה האם ממלא הטופס הוא בן אנוש או בוט.
תוספים לזיהוי ומניעה של spam bots באתרים וטפסים
שם התוסף / שירות | הסבר |
Cloudflare Turnstile | תחליף קפצ'ה. שירות חינמי של קלאודפלייר |
HcCptcha | תחליף קפצ'ה |
Google reCAPTCHA | קפצ'ה של גוגל |
Akismet | מגיע מותקן כברירת מחדל בהתקנות וורדפרס |
zerospam | |
oopspam | |
antispam-bee | |
Human presence | |
wpcerber | |
Maspik |
מחקר שפורסם לאחרונה: רובוטים ומחשבים פותרים טוב יותר את ה- captcha למיניהן.
פתרון בעיה חשבונאית
במערכות טפסים רבות ניתן לבנות חוקים והתניות להשלמת ההרשמה. למשל ניתן לבנות שדה בטופס הכולל דרישה לפתרון של בעיה חשבונית שבן אנוש יראה ויפתור אך בוט יתקשה בפעולה.
הגנה מבוססת Geolocation
מערכות טפסים מקצועיות מסוגלות למנוע מילוי טפסים על בסיס geolocation ומאפשרות למלא טפסים ממדינות מסוימות (לפי כתבת IP). אם האתר שלכם פועל בטריטוריות מוגבלות אפשר למנוע הרשמות ממדינות רבות ועל ידי כך להגביר את ההגנה מפני מילוי טפסים על ידי בוטים.
אישור הרשמה Double opt-in
כאמצעי הגנה על רשימות הדיוור מפני הרשמות שווא ניתן להפעיל double opt-in, השולח קישור לכל נרשם חדש לאישור ההרשמה. כמובן שאם ההרשמה התבצעה באמצעות כתובת אימייל שאינה תקינה ה-bounce הראשוני יתרחש וזאת ניתן למנוע באמצעות אימות כתובת אימייל בעת ההרשמה.
ביצוע real time email validation
מערכות טפסים רבות כוללות בדיקה מאוד בסיסית ששדה האימייל אמנם כולל @. מערכות מסוימות אף מבצעות בדיקה צורנית פשוטה (RegEx). ההגנה הטובה ביותר היא real time email validation, כלומר אימות כתובות האימייל בעת ההרשמה. כדאי לבצע אימות אימייל בעת ההרשמה גם ללא קשר אם אתם מתמודדים עם בוטים וספאמרים.
באמצעות קוד פשוט, widget, מבוסס java script, ניתן להטמיע בקלות שירות בדיקת אימיילים בעת ההרשמה באתר ולמנוע הרשמות סרק. שירות email validation בודק בעת הזנת כתובת האימייל האם זו כתובת אמיתית ומונע השלמת מילוי הטופס עד להזנת אימייל תקין.
שירות אימות אימיילים בעת ההרשמה מונע כניסת כתובות אימייל שגויות לרשימות הדיוור שלכם. מה גם שדיוור לכתובת אימייל שגויות יחזור כ-bounce, ומעל רף מסוים זה עשוי לפגוע בעבירוּת.
שירות real time email validation מאפשר גם לסנן הזנת כתובות אימייל זמניות או כתובות אימייל של בעלי תפקיד (role based כגון info@mydomin.co.il).
שירותי email validation נפוצים
שם השירות | הערות |
Bouncer | |
Zerobounce | |
Kickbox | |
Clearout | קיים פלאגאין לבדיקת אונליין באתר ותמיכה רחבה בטפסי הרשמה |
Debounce | קיים פלאגאין לבדיקת אונליין באתר ותמיכה רחבה בטפסי הרשמה |
Briteverify | |
Webbula | דורש חתימה על הסכמים ואין אפשרות הזמנה באתר |
ראיונות בפודקאסט עם מומחי אימייל מרקטינג בינלאומיים
האזנה לפודקאסט
רוצה להתייעץ איתי לגבי שיפור האימייל מרקטינג או עבירוּת המיילים שלך? אני מזמין אותך לפגישת ייעוץ ראשונית של 1/2 שעה, ללא עלות. book a 1/2 email deliverability discovery call.
לקריאה נוספת
איך עובדת Captcha, אתר Cloudflare
הגנה על מערכת טפסים FluentForms
מאמר איך למנוע ספאם בטפסי וורדפרס, אליק זמליאנקין
מסמך של M3AAWG בנושא הגנה על טפסים
Sella Yoffe
Email Deliverability & Email Marketing Expert
working with global email senders, startups, and ESPs to improve their deliverability and email authentication
Podcast host & Blogger @ CRM.BUZZ & EmailGeeks.Show