Come aumentare la sicurezza in drupal 6.x?

Ciao,

il problema degli spammer è sicuramente uno dei problemi più ricorrenti per i webmaster, una soluzione al problema purtroppo non esiste ma i moduli da te citati aiutano!
Oltre a recaptcha e captcha io ti consiglio di provare mollom (se rispetti i requisiti necessari) che è un valido aitante per questa guerra.
Qui su drupalitalia usiamo mollom ma come puoi notare qualcosa passa ugualmente e solo il contributo della comunity rende il forum veramente pulito pertanto:

Grazie a tutti gli utenti che ci segnalano gli spammer!!

la maggioranza degli spambot ,che automaticamente registrano utenti finti a raffica e scrivono a raffica,provengono dalla russia e dalla cina,ti serverebbe un modulo che reidirizza l'utente secondo il paese di provenienza,io ho risolto con http://drupal.org/project/geo_redirect però è per d7 ,per d6 prova http://drupal.org/project/geoip_redirect o http://drupal.org/project/ip2locale

Captcha e reCaptcha aiutano, ma sono facilmente bypassati da spambot come XRumer, che non è il solo. XRumer, da novembre 2012, con la versione 7, supera molto facilmente il reCaptcha di Google. Mollom, oltre che a non bloccare tutto, a volte blocca gli stessi utenti ed è gratuito solo fino a 100 spam giornalieri; purtroppo gli spambot ultimamente si stanno scatenando.
La mia opinione è che al momento, anche in base ai nuovi algoritmi Google, si sta notevolmente diffondendo l' utilizzo degli spambot anche da parte di webmaster senza scrupoli per abbassare la credibilità e la qualità dei siti concorrenti.
Oltre a quanto suggerito da Motocad, che come strategia di approccio non mi sembra male, suggerisco il modulo Spambot che sto usando con soddisfazione da quasi un mese
http://drupal.org/project/spambot
Attenzione: non selezionare nelle opzioni di configurazione la segnalazione dello spammer in quanto si potrebbe essere bannati da Stop Forum Spam.

Ultima considerazione importante: lo spam non è solo un commento contenente un link a siti compromessi o a siti che vogliono aumentare il loro Pagerank, ma può anche sembrare un commento innocuo che lo spammer mette. In questo commento innocuo, lo spammer mette qualche parola di riferimento, riconoscibile da XRumer per individuare i siti possibili di attacco, generare una lista e lanciare l' attacco vero e proprio. Sembra fantascienza, ma è così. Gli spammer non devono poter entrare e vanno bloccati a monte.

giovanninews il progetto spambot non lo conoscevo ma le features sono molto interessanti e credo che valga la pena provarlo!

volendo si può anche non installare un modulo ma scaricare un bel IP-country database file free in csv e importare solo gli ip desiderati,addirittura si trovano files ip per città,divertente no, su db-ip.com,volevo però ricordare che c'è un sottomodulo captcha che pare non conosca nessuno, http://drupal.org/project/riddler
che permette di inventare domande e rispste ,molto utile per bloccare spambot stranieri
esempio :quanto fa uno più uno? risposta due,lo spambot russo è fregato

@Uccio
Questo è il link dove viene detto di non segnalare lo spammer senza prove
http://drupal.org/node/1817292

@giovanninews giusto per completezza: mollom free blocca infiniti spam giornalieri ma si prende cura di funzionare solo fino al raggiungimento di 100 ham (ovvero contenuti buoni).
Spambot lo vedo molto interessante ma credo che comunque vada messo in coppia con mollom, l'esperieza qui su DI dimostra di utenti creati a mano e poi usati in seguito da bot a diverse settimane di distanza :(

@motocad l'idea di usare gli IP ti assicuro che non è cosi "matematica", con la penuria di indirizzi IP la "location" di un indirizzo è ormai basata su archivi "di terze parti" contrattabili dai clienti vedi per farti un idea www.quova.com.

Infatti Spambot è da utilizzare insieme ad un altro modulo (Mollom, Captcha o altro); bisogna anche considerare possibili cadute o ritardi di Stop Forum Spam.
>> l'esperieza qui su DI dimostra di utenti creati a mano e poi usati in seguito da bot a diverse settimane di distanza
se gli utenti creati erano presenti nel db SFS, con Spambot non sarebbero entrati e, se entrati perchè inizialmente non rilevati, lo sarebbero stati dopo con la scansione degli utenti via cron (che non uso perchè ho pochi utenti)

Mah, se si fa un Sito Web con iscrizione utenti, è ovvio che "qualcuno" dovrà controllarlo, anche per ciò che gli utenti possono pubblicare.
Quindi, a meno che si lasci un sito senza registrazione e a sè, il sito basta prevederlo con ok amministrativo per la registrazione.
E' un lavoraccio, ma spetta al webmaster di quel sito.

Quando mi arrivano le email basta un semplice un controllo per dare un ok: esempio scrive Jo-pixel con mail [email protected] e ci scrive dentro comandi php o altri "comandi malevoli": lo blocco non gli do l'ok e gli blocco l'ip.

Lasciare aperta l'iscrizione senza approvazione admin è "secondo me" un andare troppo in fiducia e, sinceramente, mi avrebebro già disfatto i siti da un pezzo.
Una controprova cè l'ho mettendo il login in frontpage (in alcuni siti lo faccio apposta a lasciarlo li): arrivano tutti, sembra la pesca delll'orso con il Salmone che "tenta in tutti i modi" di registrarsi.
Però, ripeto, la Login è sotto-approvazione dell'Admin ( cioè = io) e certe svaccate vanno controllate e bloccate.
Come dice giustamente Giovanni ci sono dettagli nelle loro Istruzioni per richiamare programmi malevoli ed "entrare ufficialmente a dominare il tuo sito".
Anche il blocco di "range ip" è consigliabile perchè gli Spammoni cambiano/usano vari ip e insistono a disturbare ... io mi diverto a lasciarli fare e rifare e bloccarli ad ogni cambio (so come intuirli e legnarli), però è un mio divertimento: Un Webmaster ha i secondi contati nel lavoro.

Tutte le tecniche sono di aiuto e cosi i moduli aggiuntivi di drupal ma, come da tempo faccio, se fai un sito drupal oggi "devi avere una registrazione con approvazione dell'Admin" e l'Admin o chi per lui (il webmaster) deve controllare severamente tutte le registrazioni.

Se voi (non come me che li faccio per me) fate siti per clienti, dovete istruire un responsabile del vs. cliente (o un suo dipendente) affinchè proceda ad assumersi l'incombenza.
Arrivano oramai attacchi da Russia, Cina, Giappone, Usa, dovunque ti giri arrivano rompi-maroni, per questo ritengo "impossibile" ragionare in altro modo.

Il mercato globalizzato e l'estensione di internet non permette "fiducia al caso", il nemico puo essere il tuo vicino di casa come il ragazzino di 12 anni pagato 1 euro al giorno in India o in Guatemala.

Lasciare senza "controllo e supervisione" il sito, lasciare la registrazione libera (anche con captcha) è crearsi problemi seri nel giro di 24 ore (se non prima).

Per massimizzare la sicurezza lo stesso IP lo blocco sia da Cpanel netsons (scrittura htaccess) sia dentro a Drupal stesso (scrittura nel database)... quindi, vi ho gia detto tutto.

Ben vengano moduli e istruzioni aggiuntivi da usare: ma che non riducano la velocità del sito stesso o creino problemi (Mollom free a me li aveva ..creati e qui mi pare ne parlate anche voi).

@Lorenzo
Sono stato uno dei pochi a permettere il commento agli anonimi (seppure con la moderazione) fino a qualche tempo fa. Ora penso proprio che non sia più il caso. Ma bloccare gli IP non serve a niente; gli spammer cambiano continuamente I.P. e gli spambot hanno sempre liste nuove e pulite di I.P. Oltre ad impedire l' accesso a tanti che non c' entrano niente, avrai una lista infinita di I.P. da bloccare (milioni). Al momento la maggioranza di I.P. spammer sono Cinesi, Russi e Americani, ma cominciano a diffondersi anche i tedeschi e gli inglesi; gli italiani seguono a ruota.
Se continui a bloccare gli I.P., tra qualche mese sarai l' unico a poter accedere al sito, oltre a perderci tempo.
Lascia fare il lavoro sporco agli altri, fai controllare la registrazione da Spambot ed ogni tanto vai a controllare chi è passato e lo elimini.
Lo spammer è svogliato, di solito in automatico supera il primo Captcha, passa il controllo email e posta il commento; con Spambot chi passa il Captcha ed il controllo email, è bloccato proprio per email, IP o user, ma è bloccato sulla registrazione, non sulla navigazione. Il successivo utente pulito che usa l' I.P. (essendo I.P. dinamici) può navigare e anche registrarsi, se la sua email è pulita.

io nonostante permetto il commento -moderato- agli anonimi con:
http://drupal.org/project/riddler
http://drupal.org/project/geo_redirect
http://drupal.org/project/field_validation
non c'ho più problemi

@Lorenzo (e tutti)
Ultima cosa che voglio aggiungere è che do ragione a Lorenzo sul blocco I.P. quando arrivano migliaia di attacchi al giorno dallo stesso I.P. e che si ripetono anche nei giorni successivi da I.P. diversi ma appartenenti alla stessa Network. Sembra che vogliono buttarmi giù il sito.