Spam sur ancien formulaire de contact

[kerlin]

Bonjour,

 

J'ai modifié le formulaire de contact pour ajouter des champs obligatoires. Cela fonctionne bien sauf que le site reçoit du spam sur ce qui me semble être l'ancien formulaire (puisque les champs ajoutés n'y apparaissent pas).
Comment est-ce possible ? 

Merci d'avance

[Eolia]

Parce que les spammeurs ne passent par le web (affichage de la page) mais appellent directement le contrôleur.

[kerlin]

Merci Eolia, et du coup, comment l'empêcher ??

[Eolia]

Mettre un recaptcha efficace.

[kerlin]

j'ai mis le module de Hervé Hennes, il fonctionne très bien sur le formulaire, plus aucun spam de ce côté. Mais à première vue pas sur le contrôleur ?

[kerlin]

C'est peut-être une bête question, mais si je fais une redirection de la page avec l'ur du controlleur vers la page contact, les spammeurs seraient redirigés obligatoirement ?

[kerlin]

bon, après avoir fait quelques recherches, cela semble être une bête solution. Par contre, il y a le code de Doekia. Le lien vers le code d'il y a quelques années est-il utilisable pour un PS 1.7.8 ?

Merci

[kerlin]

J'ai testé sur ce 1.7.8 la solution de Doekia avec copie du code dans head.tpl pour que ce soit avant la balise </head>, et dans index.php. Dans contact-form.tpl et authentication.tpl, j'ai ajouté la class comme recommandé. Vidage du cache, mode compilation activé. Mais aucun captcha n'apparaît sur la page.

Par ailleurs, est-ce seulement une histoire de controller qui se ferait visiter ? Je viens de voir un message qui semble tout à fait correct, mais sans le n° de tel. Pourtant, je viens encore de tester, sans ajouter le n° le message ne part pas. Ou alors un spammeur intelligent qui envoie un message demandant un devis sur un produit au lieu de baragouiner dans toutes les langues ?

[Eolia]

Le script utilise les classes des thèmes 1.6 donc il faut l'adapter pour votre 1.7.

Donnez-moi l'url de votre page contact et je vous envoie un spam direct sans l'avoir ouvert.

Appeler le contrôleur directement ça veut dire appeler une url du style: https://votre_site.com/index.php?controller=contact&[email protected]&message=Message%20de%20test&...+tous les champs requis de base

[kerlin]

Merci pour cette réponse, Eolia.
Quand vous parlez des class, vous parlez de celles sur le form ?

Est-ce que faire une redirection  https://votre_site.com/index.php?controller=contact&email= vers https://votre_site.com/contact aurait du sens ?

[Eolia]

il y a 15 minutes, kerlin a dit :

Quand vous parlez des class, vous parlez de celles sur le form ?

oui

var $forms = $('form.contact-form-box,form#sendOrderMessage,form#account-creation_form, form#new_account_form');

 

il y a 15 minutes, kerlin a dit :

Est-ce que faire une redirection  https://votre_site.com/index.php?controller=contact&email= vers https://votre_site.com/contact aurait du sens ?

Non ça ferait une boucle infinie.

[kerlin]

Merci. Ok j'ai compris pour la boucle.

Pour les classes, j'avais ajouté en class css celle conseillée dans le tuto dans les 2 tpl concernés, l'un pour contact-form.tpl,

<section class="contact-form">
  <form action="{$urls.pages.contact}" method="post" class="contact-form-box" {if $contact.allow_file_upload}enctype="multipart/form-data"{/if}>

l'autre c'est le fichier login-form.tpl qui contient le form authentication

  <form id="login-form" class="contact-form-box" action="{block name='login_form_actionurl'}{$action}{/block}" method="post">

Ce n'est pas suffisant ?

[kerlin]

Eolia, bête question : si le spammeur passe directement par le lien comme vous me l'expliquez, y aurait-il une trace dans "e-mail" ?

Et puis il y a cette personne qui a envoyé une demande de devis, sans les champs supplémentaires et obligatoires. C'est quand même bizarre.

[kerlin]

Bonjour, j'ai essayé de tester la possibilité d'envoyer un mail directement en appelant le controller. Mais je dois être très mauvaise pirate, j'atterris sur le formulaire de contact 🙂

[kerlin]

Bon, j'ai peut-être trouvé d'où venait le problème. A première vue, il y a eu un module ets_contactform qui avait été installé puis désinstallé (je ne l'ai pas retrouvé dans la liste des modules ni dans le FTP). Par contre, j'avais trouvé un fichier qu'il avait overridé dans override/modules. Je l'avais renommé en ajoutant OLD après .php. Mais depuis que je l'ai carrément supprimé, je ne vois plus aucun spam. A voir d'ici la fin de la journée.

[kerlin]

hé non ... 1 spam reçu à l'instant sans passer par le formulaire de la page contact...