Xem Nội Dung Ngay

Tôi đã dùng 7 lớp bảo vệ để chống spambot cho ghostFam

Ngăn ngừa triệt để spambot cho site Ghost của bạn.

Cường Trần
Cường Trần
6 phút đọc
Tôi đã dùng 7 lớp bảo vệ để chống spambot cho ghostFam

Trên internet, spambot là một vấn nạn nhức nhối đã tồn tại hàng thế kỷ qua nhưng chưa có giải pháp nào triệt để giải quyết spambot.

Người chủ website luôn phải lãng phí nhiều tâm sức và tiền bạc để chống lại vấn nạn này. Giống như bạn đang lãng phí thời gian và tiền bạc vào việc không mang lại lợi nhuận vậy.

Chắc chắn ai cũng ghét spambot, tôi cũng vậy. Cực ghét 😡.

Đó là lý do tôi thêm tới 7 lớp bảo vệ (thực ra là 6 vì có một lớp có sẵn trong Ghost) cho site ghostFam trước spambot. Tôi luôn cẩn thận trước mọi vấn đề và cầu toàn cho mọi giải pháp.

1. Dùng tường lửa tiêu diệt spambot ngay từ IP request

Tôi cài đặt tường lửa trên Cloudflare và bật tính năng kháng spambot của Cloudflare.

Tăng cường bảo mật website Ghost với Cloudflare Firewall miễn phí
Cloudflare đã rất rộng rãi khi miễn phí cho người dùng cài đặt thêm 5 quy tắc bảo mật tường lửa Firewall cho website của bạn.

Giải pháp này có hiệu quả nhất định giúp loại được một mớ spambot đã bị Cloudflare đưa vào danh sách đen.

Bot Fighting Mode
Bot Fighting Mode

Dù vậy, vẫn chưa triệt để. Các hacker vẫn luôn tìm cách thay đổi IP để tấn công và lọt qua tường lửa của Cloudflare.

Không sao, tôi đã lường trước việc này. Lọc được bao nhiêu hay bấy nhiêu.

2. Chặn spambot ngay từ lúc nhập email vào form đăng ký bằng Emailable

Emailable có một siêu tính năng khác với mọi dịch vụ xác thực email tương tự trên thế giới đó là xác thực thời gian thực ngay từ lúc nhập email. Không cần phải bấm nút "gửi".

Bảng Giá Emailable
Bảng Giá Emailable

Tôi còn cẩn thận cấu hình Emailable chỉ cho phép các email "có thể gửi được". Các email bạn dùng từ các dịch vụ tạo hộp thư tạm thời sẽ bị ngay lập tức phát hiện.

Bạn hãy để ý, bạn sẽ không thể đăng ký thành viên ghostFam nếu không dùng email "thực" bạn đang dùng.

Dù vậy vẫn không thể chủ quan, tôi thấy vẫn bị lọt spambot. Vì vậy vẫn tiếp tục tạo thêm lớp chống spam khác.

3. Tạo trường giả Honeypot kháng spampot ở form đăng ký

Honeypot là kỹ thuật miễn phí và có thể có hiệu quả không cao. Nhưng do 2 lớp trước đã chặn một số spambot nên miễn là có hiệu quả là nên dùng.

Tiêu chí là có hiệu quả là dùng, nếu lọt thì sẽ gặp lớp kế tiếp.

Honeypot được cài đặt bằng HTML trong theme thông qua việc chỉnh sửa form đăng ký.

4. Dùng dịch vụ xử lý spambot chuyên nghiệp với server bên ngoài

Honeypot có vẻ yếu, vậy hãy dùng tới Botpoison với tài khoản miễn phí có thể xác thực được 250 lần tháng.

Bảng giá Botpoison
Bảng giá Botpoison

Hiệu quả của Botpoison cực cao, là một trong số ít các dịch vụ chống spambot đạt hiệu quả cao nhất hiện nay. Cao hơn cả reCapcha (theo kinh nghiệm dùng).

Giống như Honeypot, thêm Botpoison cũng cần chỉnh form đăng ký và chèn thêm script để dịch vụ xác thực từ API với máy chủ của Botpoison.

Nếu quá 250 lần thì hết "bùa" nên cần lớp chống kế tiếp cho chắc.

5. Double Opt-in mặc định của Ghost

Xác thực email phải nói luôn là cách hiệu quả tốt nhất. Đây là lý do tại sao các dịch vụ email marketing hay bắt buộc bạn phải bật Double Optin. Họ muốn email chất lượng để tránh gây hại IP của họ.

Double Opt-in Ghost
Double Opt-in Ghost

Double Opt-in có 2 ý nghĩa chính:

  1. Xác nhận email đó có thể nhận email được.
  2. Xác nhận chủ email có mong muốn nhận thông tin từ bạn.

Cái số 2 cực quan trọng. Tôi không lấy làm lạ khi Ghost tích hợp Double Optin vì nó tốt nhất không chỉ về mặt kỹ thuật mà là về thái độ hành vi của người đăng ký.

Khi đã lọt tới lớp kháng spambot này thì lớp này sẽ chắc chắn loại bỏ gần 90% spambot.

6. Audit email lần nữa với workflow tự động

Emailable ở trên có thể tái sử dụng với Workflow, nhưng không nên dùng cùng một dịch vụ email vì không có ý nghĩa.

Tôi dùng dịch vụ EmaillistValidation để sơ cua và kiểm tra lại Emailable, cũng như email người mới đăng ký Ghost sau khi đã được xác thực bởi Double Optin.

Bạn cần Zapier để tạo workflow tự động. Khi email bị đánh giá "không ổn" sẽ bị xoá tự động trong Ghost kể cả khi đã vào member list.

Zapier tích hợp sẵn trong Ghost
Zapier tích hợp sẵn trong Ghost

7. Duyệt thủ công và bạn là người quyết định cuối cùng

Lớp cuối cùng chính là con người. Tôi cài đặt thông báo thời gian thực Slack cho mọi email đăng ký mới.

Khi spambot được thêm vào tôi sẽ phát hiện tức thì. Việc kiểm duyệt sẽ theo kinh nghiệm.

Cài đặt thông báo thời gian thực là tiên quyết cho lớp này. Bạn không thể tự duyệt nếu bạn không biết có thành viên mới.

Lời kết...

Nếu bạn để ý, tôi không dùng Google reCapcha như một lớp bảo vệ ở trên.

Lý do rất rõ ràng, reCapcha không tốt cho trải nghiệm người dùng và trông nó cực xấu.

reCapcha chỉ phù hợp cho form liên hệ mà thôi.

Case Studies

Bạn có thể quan tâm

Tạo blog đa kênh nội dung với Ghost Collection + ContentHub

Tham khảo cách ứng dụng tạo đa kênh nội dung cho blog với Ghost routes.

Tạo blog đa kênh nội dung với Ghost Collection + ContentHub

Case Study: Dùng Ghost như phần mềm email marketing giá $4.2/tháng

Cách dùng Ghost để gửi email marketing độc lập giá rẻ.

Case Study: Dùng Ghost như phần mềm email marketing giá $4.2/tháng
Cường Trần

Cường Trần

Cường chuyên viết về giải pháp liên quan đến WordPress và Ghost, là một How-to blogger thực chiến.