Alban JAMESSE

Alban JAMESSE
Responsable E-commerce

#ecommerce, #internet &Co

   

Tombé dans le commerce tout petit, puis dans l'internet un peu plus grand;
Je fais du e-commerce activement depuis… trop longtemps.

Écoutez moi tous les matins sur Goood Morning Web

Contactez moi  
+33(0) 687.007.697


Votre message a bien été envoyé.

Votre message N'A PAS été envoyé.
Un problème est survenu. N'hesitez pas à me contacter par un autre moyen.

#DIY

Formulaire, SPAM & convictions

Formulaire, SPAM & convictions

Comme je l’avais déjà dit il y a deux ans Mandrill, qui est notre serveur d’expédition d’email, nous a déjà bien sauvé le cul avec une attaque de spammeurs qui se servent de la création de compte sur notre Magento pour envoyer du SPAM à la terre entière.
Un truc sur lequel on serait sans défenses sans Mandrill et sa possibilité de filtrer les emails sortant au niveau du serveur d’envoi.

La semaine passée, je me suis penché sur un problème qui nous pendait au nez depuis le début de l’année.

Depuis le début de l’année, Mandrill nous alertait sur la réputation email de notre domaine qui était en chute lente, mais continue. D’autres chats à fouetter, je ne m’étais jamais penché sur le problème.

Mais la semaine dernière avec le confinement, on s’est retrouvé sous une avalanche de commande (générant des emails par notre site) et nous derrière qui expédiions également des emails à chaque commande pour demander aux clients s’ils avaient bien lu le message indiquant que nous n’expédions plus rien (SPOILER ALERT : Pour les 2/3, non ils ne l’avaient pas lu), et la limite horaire imposée par Mandrill suite à la baisse de la réputation de notre domaine de plus en plus pourrave, ne suffisait plus.

J’ai donc pris le temps de demander des explications à Mandrill, car à mes yeux, on avait le cul propre.
Nous bloquions déjà toutes les tentatives de SPAM.

Après quelques minutes seulement (service client au top top top), ils m’ont répondu, que notre domaine envoyait quand même des SPAM, avec des exemples à la clé.

En effet, notre formulaire de contact nous envoyait des SPAM. À nous.
Notre domaine nous envoyait bien des emails de SPAM pourris incontestablement.
Nous ne les signalions jamais en SPAM (on n’est pas si con, même si j’ai des doutes sur certains), mais les analyseurs de mails notaient bien que notre nom de domaine envoyait des emails avec des liens vers du pr0n ou du v14gr4.

Je ne voulais pas me résigner à installer un Captcha. 
Nos clients ont déjà du mal à remplir comme il le faut leur code postal ou leur numéro de téléphone (true story) alors leur demander de recopier des caractères dégradés, ou de cliquer sur des images de voitures ou de bus, c’est impensable !

Autres soucis, notre Magento étant devenu avec le temps tellement instable, qu’il est hors de question d’installer des plugins tiers.
Bon en vrai, il n’est pas instable, il est vitrifié pour garder sa stabilité.

Bon, le problème était clos il n’y avait rien à faire. J’ai passé une nuit à pleurer.

Puis, REVELATION !

Je serais incapable de dire d’où elle est venue, mais je me suis souvenu qu’il était possible d’activer ou de désactiver le formulaire de contact.

Car oui, c’est bien lui qu’il faut désactiver, car les spammeurs pointent leurs robots directement sur le moteur d’envoi, et ne visitent aucunes pages. (J’avais déjà tenté un truc sur cette caractéristique avec Cloudflare, mais sans succès)

Une fois désactivé, j’ai fait moi-même mon petit formulaire et son script d’expé d’email à la main.

J’y ai ajouté deux antispam :

Dans le formulaire j’ajoute un champ URL, que je cache en CSS.
Les robots spammeurs aiment être exhaustifs. Ils remplissent tous les champs des formulaires. Alors pensez-y, un champ nommé URL !
Donc dans mon script si le champ URL est renseigné, c’est à coup sûr du spam.
Essayez, c’est redoutable, et ça fait plus de 10 ans que j’applique cette technique un peu partout.

Pour les plus malins qui visent spécifiquement des Magento, qui savent que ce champ n’existe pas et qui font naviguer leur robot, j’ai rajouté une couche avec l’antispam de WordPress.
Je suis passé par la libraire/function Fuspam en php pour accéder à l’API Akismet.

Pour les messages qui restent coincé dans ce filet, j’enregistre sur le serveur le message et envoie un email neutre à notre adresse indiquant qu’il faut aller vérifier.
J’ai aussi fait une page pour visualiser et supprimer tout d’un coup.

Et pour les messages qui ne passent pas le premier test de l’URL vide, je les déclare tout de suite comme SPAM à Akismet.

Si vous voulez, vous aussi, ce script de formulaire, n’hésitez pas à me le demander.

Top 9 de mes mèmes préférés du monde entier

Top 9 de mes mèmes préférés du monde entier

C’est Noël, c’est cadeau, c’est pour vous.

Certain sont connus, les autre mériteraient à l’être.

Programmer une action web sans CRON

Programmer une action web sans CRON

Pour certaines raisons, peut-être que comme moi, vous voulez éviter de passer par une tâche CRON pour programmer une action sur l’un de vos sites internet (ou autre part sur internet).

Pour mes différents projets j’utilise différentes techniques :

Ifttt

Ifttt propose un trigger Date and time qui vous propose de lancer des actions :

La granularité est de 15mn. Ce qui vous laisse pas mal de liberté.

Vous additionnez le tout au channel d’action Webhooks et tout le monde est content.

(Utilisé sur mes projets Monrobot.xyz et sur Co.nnectes.com)

WordPress

WordPress propose une fonction wp_cron qui vous permet de lancer des actions quand vous voulez.

Seul souci, qui peut aussi être sa force, c’est que vous êtes dépendant des visiteurs de votre site pour déclencher des actions.
Plus vous avez de visiteurs, plus vous pouvez être précis dans le déclenchement de vos actions.

Si vous programmez un wp_cron pour 14h 30mn 52sec, votre action ne se déclenchera qu’avec le premier visiteur (ou robot) qui chargera une page de votre site après cet horaire préci.

C’est pas dégueu, mais ça reste limité à des usages internes de sauvegarde ou de génération de contenu ou de cache lié à un site, du type lancer la régénération d’un cache tous les jours à tel heure.

(Utilisé sur Créer une zone de chalandise.fr, les Jolis Coqs et sur Faire sa vidange.fr)

Do you check

À l’origine ce service n’est pas fait pour ça, mais ce service de monitoring de disponibilité de site, vous permet de faire un ping sur votre page toutes les minutes ou les 30 secondes suivant la formule choisie.

Charge à vous de faire un petit script derrière avec les heures précises de lancement.

Vous êtes sur une granularité de 30s ce qui est vraiment pas mal (c’est ce que j’avais utilisé pour faire mon POC pour Radiometrics).

 

Si vous utilisez d’autres techniques que vous voulez partagez, n’hésitez pas à l’indiquer en commentaire.

· Naviguez ·
« Articles plus anciens ·