Dlaczego znajduję fałszywych / spamowanych użytkowników w mojej witrynie…?
Większość takich rejestracji pochodzi z botnetów , zainfekowanych maszyn , kiddów skryptów i ogólnie wszelkiego rodzaju botów.
W systemach takich jak Joomla , w których lokalizacja formularza rejestracji użytkownika jest dobrze znana i domyślnie dostępna publicznie, łatwo jest rozpocząć wypełnianie i przesyłanie formularzy.
W rzeczywistości w dzisiejszym świecie internetowym dzieje się to w sposób ciągły i na bardzo dużą skalę we wszelkiego rodzaju formularzach internetowych (forach, komentarzach, formularzach kontaktowych, rejestracji itp.).
- Wyłącz rejestrację użytkownika
Istnieje kilka sposobów ochrony witryny Joomla przed takimi działaniami. Na początku, jeśli nie potrzebujesz, aby użytkownicy rejestrowali się w swojej witrynie, możesz wyłączyć rejestrację użytkownika w Konfiguracji użytkowników (Użytkownicy-> opcje-> Zezwalaj na rejestrację użytkownika ustawioną na Nie).
Ulepszenia bezpieczeństwa Wskazówki dotyczące spamowania formularzy
Oprócz tego lub w przypadku, gdy naprawdę potrzebujesz włączyć rejestrację użytkowników , oto kilka technik i sugestii, które pomogą Ci chronić różne formularze Joomla przed spamerami, robotami spamującymi i hakerami:
- Włącz reCaptcha do rejestracji użytkownika
Joomla jest dostarczana z natywną wtyczką captcha. Możesz go znaleźć w Wtyczkach , wyszukaj: Captcha - ReCaptcha . Wewnątrz wtyczki znajdują się instrukcje, jak ją skonfigurować. Musisz także uzyskać klucz API na stronie https://www.google.com/recaptcha/ .
Dokumentacja Joomla na reCaptcha
- Przekieruj wszystkie rejestracje do niestandardowego formularza rejestracyjnego z ukrytymi polami
Istnieje wiele dobrych rozszerzeń formularzy Joomla . Wiele z nich zapewnia integrację rejestracji użytkownika. Możesz zbudować własny niestandardowy formularz rejestracyjny i dodać 1 dodatkowe ukryte pole z weryfikacją przed wypełnieniem lub przez przetworzenie POST data
formularza. Twoi użytkownicy nigdy nie zobaczą ukrytego pola, ale boty również spróbują wypełnić to pole - ale wtedy twoja weryfikacja nie powiedzie się, lub jeśli przetwarzasz dane postu, możesz przekierować na stronę 403 Forbidden. Aby to rozwiązanie działało całkowicie, potrzebujesz dodatkowej wtyczki, która będzie obsługiwać przekierowanie dla wszystkich rejestracji w niestandardowym formularzu.
- Joomla Antispam / Security Extensions
Narzędzia administracyjne , RS-Firewall i powinno być więcej ... to rozszerzenia, które zapewniają dokładną ochronę zapory ogniowej przed tym i innymi problemami bezpieczeństwa. Na przykład za pomocą narzędzia Admin Tools pro możesz wstrzykiwać ukryte pola we wszystkich istniejących formach witryny Joomla i blokować adresy IP, z których pochodzi przesłanie. Futhermore Admin Tools zapewniamiędzy innymiintegrację z projektem HoneyPot i funkcjami blokowania GeoIP według kraju.
Linki JED
Http: BL to system, który pozwala administratorom stron internetowych korzystać z danych generowanych przez Project Honey Pot w celu powstrzymania podejrzanych i złośliwych robotów internetowych przed ich witrynami. Project Honey Pot śledzi osoby zbierające, spamerzy komentujące i innych podejrzanych odwiedzających strony internetowe. Http: BL udostępnia te dane każdemu członkowi Project Honey Pot w łatwy i wydajny sposób.
Istnieje wiele aplikacji zapewniających integrację ProjectHoneyPot. W przypadku Joomla niektóre rozszerzenia to: Admin Tools Pro i sh404SEF .
- ZBBlock.php przez Spambotsecurity.com
Zwiększ bezpieczeństwo swojej aplikacji Joomla dzięki temu darmowemu skryptowi bezpieczeństwa php. Jest przeznaczony do wykrywania niektórych zachowań szkodliwych dla witryn lub znanych złych adresów próbujących uzyskać dostęp do Twojej witryny. Następnie wyśle złemu robotowi (zwykle) lub hakera autentyczną stronę 403 ZABRONIONĄ z opisem problemu. Możliwe, że będziesz musiał zrobić niestandardowe podpisy lub podpisy. Przesłonięcia, aby działały dokładnie dla twoich potrzeb, ale jest to bardzo skuteczne.
Spambotsecurity.com
- Zapobiegaj postom, które nie pochodzą z Twojej witryny w htaccess
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{HTTP_REFERER} !^http://www.yourwebsite.com [NC]
RewriteRule .* - [F]
I odniesienie do postu na blogu, w którym można znaleźć więcej sposobów na czarną listę poprzez htaccess i mod_rewrite. https://perishablepress.com/eight-ways-to-blacklist-with-apaches-mod_rewrite/
- Mod_Security Web Application Firewall.
Jest tak wiele fajnych rzeczy, które możesz zrobić na poziomie serwera, używając mod_security (zakładając, że jest zainstalowany na serwerze). Temat jest duży i najprawdopodobniej nie wchodzi w zakres tej witryny. Ponadto wiele możliwości zależy od typu hosta / środowiska, dlatego opublikuję linki referencyjne z dalszymi informacjami na temat mod_security.
- Względne oprogramowanie innych firm i ogólne linki bezpieczeństwa serwera