Comment arrêter le spam d'inscription WordPress - Guide complet

Publié: 2023-04-19

Imagine ça:

Vous souhaitez développer votre site Web. Vous voulez plus de clients et de revenus.

Vous établissez donc un plan pour améliorer votre contenu et affiner votre conception.

Vous ajoutez plus de CTA et permettez à vos utilisateurs de s'abonner et de s'enregistrer sur votre site !

Mais vous découvrez soudainement que votre site est bombardé d'enregistrements d'utilisateurs de spam avec des adresses e-mail contenant inbox.imailfree.cc, mail.imailfree.cc.

Au lieu de développer votre entreprise, vous passez du temps à nettoyer un déluge de spam chaque jour.

Au lieu de faire cela, vous êtes coincé à nettoyer l'enregistrement des utilisateurs de spam tous les matins.

Ça doit être frustrant.

Au cours de la dernière décennie, nous avons eu l'occasion d'aider les clients qui géraient chaque jour un déluge d'enregistrements de spam WordPress.

Alors ne vous inquiétez pas, quelle que soit la gravité de la situation, nous vous aiderons à récupérer votre temps. Vous pouvez vous concentrer sur la croissance de votre entreprise et générer plus de revenus après avoir lu cet article.

TL; DR : Pour arrêter les spams d'enregistrement WordPress, vous devez mettre en œuvre quelques mesures. Tout d'abord, installez un pare-feu , mettez en place le blocage géographique, puis activez reCAPTCHA. Si ces mesures n'arrêtent pas complètement les spams d'enregistrement, essayez de mettre en œuvre toutes les mesures répertoriées ci-dessous.

Avant de plonger dans les méthodes de prévention, si vous voulez comprendre pourquoi les pirates effectuent des spams d'enregistrement en premier lieu, passez à cette section.

Et si vous souhaitez en savoir plus sur l'impact du spam d'enregistrement sur votre site , consultez cette section.

Comment bloquer le spam d'inscription WordPress ?

Voici une pensée :

Au lieu d'empêcher les spams d'inscription, pourquoi ne pas désactiver les inscriptions.

Vous n'avez pas besoin d'activer l'enregistrement public si vous souhaitez autoriser uniquement un petit nombre de personnes à accéder à votre site.

Créez simplement des comptes d'utilisateurs manuellement. Assurez-vous qu'ils ne disposent pas d'un accès administrateur.

> Désactiver l'enregistrement de l'utilisateur

Pour désactiver l'enregistrement des spams, accédez à votre tableau de bord WordPress, puis accédez à Paramètres > Général .

Dans la page Paramètres généraux , faites défiler jusqu'à l'option Adhésion et décochez la case "Tout le monde peut s'inscrire" .

Désactiver l'enregistrement des utilisateurs pour empêcher quiconque de s'inscrire

WordPress a une URL de page d'inscription par défaut qui ressemble à ceci : https://example.com/wp-login.php?action=register

Après avoir désactivé le spam d'inscription, essayer d'ouvrir la page d'inscription génère le message suivant :

"L'enregistrement d'utilisateurs n'est actuellement pas autorisé."

L'écran de connexion indiquerait "Enregistrement d'utilisateur non autorisé"

Conseil de pro : n'oubliez pas de supprimer les faux utilisateurs déjà enregistrés sur votre site Web. Vérifiez les e-mails de leurs utilisateurs à l'aide des outils suivants : Hunter , VerifyEmailAddress et Email-Checker . Vérifiez également si les adresses e-mail contiennent des termes tels que inbox.imailfree.cc , mail.imailfree.cc . Si l'une des adresses e-mail est fausse, supprimez-la de votre site.

Cela dit, si la désactivation de l'enregistrement public n'est pas une option, envisagez de limiter ce que les utilisateurs peuvent faire sur votre site Web.

> Définir les rôles d'utilisateur appropriés

Lorsque les pirates obtiennent un accès utilisateur à votre site Web, ils ne peuvent pas faire grand-chose s'ils sont limités par leurs rôles d'utilisateur.

Dans un site Web WordPress, il existe 6 rôles d'utilisateur. Chacun vient avec des capacités différentes. Les administrateurs ont un contrôle total sur le site. Les éditeurs sont autorisés à publier des articles et à exécuter quelques fonctions sur le site Web. Les contributeurs et les auteurs peuvent uniquement modifier ou créer des publications. Les abonnés peuvent uniquement gérer leurs profils et lire tous les articles et pages. Rien d'autre.

Tant que les utilisateurs qui s'inscrivent sur votre site Web ne sont pas des administrateurs (ou des super-administrateurs dans une installation multisite) et des éditeurs, ils ne peuvent pas publier de contenu nuisible ou lancer des fonctions malveillantes sur votre site Web.

Vous pouvez en savoir plus sur les rôles des utilisateurs à partir d'ici - Rôles et capacités des utilisateurs WordPress.

Pour définir des rôles d'utilisateur pour les contributeurs, les auteurs ou les abonnés, accédez à votre tableau de bord WordPress.

Accédez ensuite à Paramètres > Général . Dans la page des paramètres généraux, recherchez l'option Nouveau rôle utilisateur par défaut .

Faites de l'abonné le rôle par défaut du nouvel utilisateur.

Dans le menu déroulant, choisissez les contributeurs ou les auteurs ou les abonnés.

Cela dit, limiter les rôles des utilisateurs n'empêchera pas les enregistrements de spam.

Pour arrêter complètement les spams d'enregistrement, vous devez :

  • Installer un pare-feu
  • Mettre en œuvre le blocage géographique
  • Implémenter la protection reCAPTCHA
  • Appliquer l'activation par e-mail
  • Modifier l'URL d'enregistrement de WordPress
  • Appliquer l'enregistrement multifacteur
  • Activer la protection du pot de miel
  • Activer l'approbation manuelle

Vous vous demandez probablement si vous devez mettre en œuvre toutes les mesures. Si vous avez activé toutes les mesures, les utilisateurs devront franchir plusieurs étapes. Ce n'est donc pas recommandé.

Selon la gravité de l'attaque de votre site Web, vous devrez mettre en œuvre les mesures que nous venons d'énumérer.

Supposons que vous souhaitiez installer un CAPTCHA sur votre page d'inscription. Mais si vous recevez des centaines d'enregistrements de spam en l'espace d'une semaine, CAPTCHA seul sera insuffisant. Vous devrez également mettre en œuvre certaines des autres mesures de sécurité WordPress.

1. Installez un pare-feu

Le pare-feu est votre première ligne de défense contre le spam.

Lorsqu'il est activé, tout trafic arrivant sur votre site Web passe d'abord par le pare-feu.

Il vérifiera le trafic par rapport à son référentiel d'adresses IP malveillantes. Si le pare-feu identifie une adresse IP comme malveillante, elle est rapidement bloquée.

Le pare-feu permet d'empêcher les attaques de spam d'inscription avant qu'elles n'atteignent votre site Web.

Avantages:

  • Il est automatisé et ne nécessite aucune opération manuelle.
  • Offre une protection 24 heures sur 24.
  • Peut offrir des détails sur le trafic qui sont utiles pour sécuriser davantage votre site.

Les inconvénients:

  • Peut ne pas reconnaître et bloquer certains trafics malveillants.
  • Peut bloquer accidentellement le trafic légitime.

Comment mettre en œuvre

Vous pouvez utiliser un pare-feu comme MalCare. Tout ce que vous avez à faire est de vous inscrire et d'installer le plugin sur votre site. Le pare-feu sera activé automatiquement.

Installez le plug-in de sécurité MalCare pour éviter le spam d'enregistrement d'utilisateur

MalCare offre plus qu'une protection 24 heures sur 24. Vous pouvez trouver des informations sur le trafic qui a été bloqué, notamment le pays d'origine, l'URL à laquelle les pirates essayaient d'accéder, leur adresse IP, etc.

Journal de trafic sur MalCare

Ces informations sont utiles pour renforcer davantage la sécurité de votre site Web. Par exemple, si vous recevez trop de mauvaises demandes de trafic d'un pays spécifique, vous pouvez bloquer l'ensemble du pays.

2. Mettre en œuvre le blocage géographique

Le blocage géographique consiste à empêcher tout le pays d'accéder à votre site Web.

Cela empêchera à la fois le trafic malveillant et légitime du pays que vous avez bloqué.

Vous devez donc vous assurer que le trafic provenant de ce pays particulier n'a pas de valeur pour vous.

Avantages:

  • Réduit considérablement le spam d'enregistrement malveillant.

Les inconvénients:

  • Bloque le trafic légitime.
  • Les pirates peuvent toujours utiliser un VPN et accéder à votre site.

Comment mettre en œuvre

Il existe des plugins qui peuvent vous aider à implémenter le géoblocage, mais si vous utilisez le pare-feu de MalCare, vous pouvez consulter le journal de trafic pour savoir d'où provient la majeure partie du trafic bloqué.

Implémentez le blocage géographique pour empêcher l'enregistrement d'utilisateurs depuis un pays.

Ensuite, vous pouvez également utiliser le blocage géographique de MalCare pour bloquer ce pays. Voici un guide qui vous aidera à y parvenir - Comment mettre en œuvre le blocage géographique ?

3. Implémenter la protection reCAPTCHA

Les pirates conçoivent des bots pour effectuer des enregistrements d'utilisateurs de spam.

reCAPTCHA est un test utilisé pour différencier les humains des robots.

Mettre en œuvre la protection Captcha

Au début, ces tests étaient basés sur du texte. Les robots ont évolué et ont rapidement été en mesure de les résoudre. Maintenant, il est courant de voir un reCAPTCHA où vous devez cocher une case pour confirmer que vous n'êtes pas humain. Ensuite, vous avez le choix entre quelques images.

protection captcha

Les robots ne peuvent pas voir les images et ne peuvent donc pas résoudre les reCAPTCHA.

L'ajout de la protection reCAPTCHA au formulaire d'inscription repoussera les bots essayant de s'inscrire sur votre site.

Avantages:

  • Les enregistrements d'utilisateurs ne sont pas créés dans la base de données tant que le défi n'est pas réussi.

Les inconvénients:

  • Vous avez besoin de l'aide de Google pour configurer reCAPTCHA. Si Google décide d'arrêter le service, vous devrez rechercher de nouvelles façons d'empêcher les spams d'enregistrement.

Comment mettre en œuvre

1. Téléchargez et installez Invisible reCaptcha pour WordPress sur votre site Web.

2. Ouvrez ensuite cette URL - https://www.google.com/recaptcha/intro/invisible.html?ref=producthunt et connectez-vous à votre compte Google.

3. Enregistrez votre site.

Utiliser google recaptcha

4. Google vous donnera une clé de site et une clé secrète. Copiez-les.

Obtenir la clé de site Google captcha

5. Accédez à votre tableau de bord WordPress et accédez à Paramètres> reCAPTCHA invisible et entrez les clés.

recaptcha invisible

6. Ensuite, à partir de la même page, accédez à WordPress et sélectionnez Activer l'enregistrement à partir de la protection .

paramètres recaptcha invisibles

C'est tout, les amis.

4. Activer la protection du pot de miel

Honey Pot est un moyen ingénieux de protéger le formulaire d'inscription.

Les robots sont conçus pour remplir tous les champs d'un formulaire.

Dans cette méthode, certains champs du formulaire ne peuvent pas être remplis car ils sont invisibles pour l'utilisateur.

Contrairement aux humains, les bots remplissent les champs en lisant le code source de la page. Ils finissent donc par remplir les champs invisibles.

En utilisant la méthode de protection du pot de miel, vous pouvez facilement identifier les bots et les bloquer rapidement.

Avantages:

  • Le moyen le plus efficace d'identifier et de bloquer les spambots.

Les inconvénients:

  • Impossible d'arrêter les pirates qui s'enregistrent manuellement sur votre site.
  • Bloque les logiciels de lecture d'écran qui remplissent automatiquement les formulaires.
  • Bloque les utilisateurs malvoyants.

Comment mettre en œuvre

Certains formulaires personnalisés comme Formidable Forms et les créateurs de sites Web comme Elementor sont livrés avec des options intégrées pour Honeypot. Mais vous devez être un abonné premium pour y accéder. Cependant, il existe des plugins dédiés comme Clean Login qui vous aideront à activer le pot de miel.

1. Téléchargez et installez Clean Login sur votre site Web WordPress. La protection Honeypot sera activée par défaut.

Installez Clean Login pour activer la protection antispam du pot de miel

5. Appliquer l'activation par e-mail

Après avoir sauté tant de cerceaux, si quelqu'un arrive jusqu'ici pour s'inscrire, c'est bon signe. L'utilisateur n'est probablement pas un bot. Mais il peut toujours s'agir d'un hacker.

La méthode de vérification par e-mail consiste à envoyer aux utilisateurs un lien dans l'adresse e-mail qu'ils ont utilisée pour s'inscrire. L'ouverture du lien activera le compte utilisateur.

S'il s'agit d'une fausse adresse e-mail, ils ne peuvent pas activer le compte. Le compte sera placé en mode attente que vous pourrez supprimer manuellement.

Avantages:

  • Vérifie si l'adresse e-mail existe.

Les inconvénients:

  • Les e-mails peuvent atterrir dans le dossier spam et peuvent passer inaperçus.
  • Les enregistrements des utilisateurs sont stockés dans la base de données même s'ils ne sont pas activés.

Comment mettre en œuvre

Il existe de nombreux plugins qui vous permettront d'appliquer des vérifications d'e-mails. Certains sont des plugins de formulaire dédiés comme Gravity Forms et Formidable Forms, mais ils prennent généralement en charge les fonctionnalités d'enregistrement dans la version premium.

Si vous utilisez déjà un plugin de formulaire personnalisé, il propose probablement des vérifications par e-mail.

Alternativement, vous pouvez utiliser des plugins conçus spécifiquement pour les vérifications d'e-mails comme la vérification de l'utilisateur.

1. Téléchargez et activez le plug-in de vérification de l'utilisateur.

2. Sur votre tableau de bord WordPress, accédez à Utilisateur > Vérification de l'utilisateur .

3. Dans la page Paramètres de vérification de l'utilisateur, il existe une option appelée Activer la vérification des e-mails . Sélectionnez Oui pour appliquer la vérification des e-mails.

Activer la vérification des e-mails pour les utilisateurs nouvellement enregistrés

Vous pouvez également utiliser le plug-in de vérification de l'utilisateur pour appliquer reCAPTCHA.

paramètres de vérification de l'utilisateur

6. Modifier l'URL d'inscription de WordPress

Une autre mesure de sécurité que vous pouvez prendre consiste à modifier l'URL de votre page d'inscription.

La page d'inscription WordPress par défaut se trouve à https://example.com/wp-login.php?action=register

Les pirates programment des robots pour rechercher ce lien. Ainsi, un moyen efficace d'empêcher les robots de s'enregistrer consiste à déplacer la page vers une URL personnalisée.

La page d'inscription fait partie de votre page de connexion. La modification de l'URL de connexion vous permettra de modifier la page d'inscription.

Avantages:

  • Empêche les pirates et les robots de trouver la page d'inscription.

Les inconvénients:

  • Les visiteurs légitimes ne pourront pas trouver la page d'inscription s'ils ont essayé d'ouvrir directement l'URL. Cela les découragera de s'inscrire.

Comment mettre en œuvre

1. Téléchargez et activez la page WPS Hide Login.

2. Accédez à votre inscription WordPress et accédez à Paramètres > WPS Hide Login .

3. Dans l'option URL de connexion , entrez la nouvelle URL. Assurez-vous que c'est quelque chose d'unique que personne ne peut deviner.

wps masquer la connexion

Dites si votre nouvelle URL est https://example.com/nowornever

La nouvelle page d'inscription sera située à https://example.com/nowornever?action=register

4. Dans l' URL de redirection , entrez une erreur telle que 404 ou 503.

Toute personne tentant d'accéder à la page de connexion à l'aide de l'URL de connexion par défaut (https://example.com/wp-login.php) sera redirigée vers cette URL (https://example.com/404).

7. Appliquer l'enregistrement multifacteur

La mise en œuvre de l'enregistrement multifacteur offre une deuxième couche de protection. Par exemple, si CAPTCHA est installé sur le formulaire, vous pouvez également demander à l'utilisateur de valider via un SMS ou une application.

Cela signifie que les utilisateurs devront utiliser leur smartphone pour s'inscrire.

Cela arrêtera les bots sur leurs traces. Et si les pirates tentent de s'enregistrer manuellement, ils ne peuvent enregistrer qu'un seul compte avec un seul numéro de téléphone. Cela ralentira leurs activités d'enregistrement de spam.

Pro:

  • Les enregistrements d'utilisateurs ne sont pas créés dans la base de données à moins qu'ils ne s'enregistrent.

Les inconvénients:

  • Trop d'étapes pour s'inscrire.
  • Les utilisateurs peuvent être sceptiques quant au partage des numéros de téléphone.

Comment mettre en œuvre

1. Téléchargez et activez le plugin MiniOrange OTP Verification sur votre site Web.

2. Sur votre tableau de bord WordPress, accédez à Vérification OTP .

3. Inscrivez-vous auprès de MiniOrange.

enregistrer miniorange

4. Allez dans Formulaires et sélectionnez Formulaires d'inscription WordPress par défaut .

formulaire d'inscription tml

5. Ensuite, cochez la case juste à côté de WordPress Default / TML Registration Form. Une liste déroulante apparaîtra. Sélectionnez Activer les vérifications téléphoniques > Ne pas autoriser les utilisateurs à utiliser le même numéro de téléphone pour plusieurs comptes .

N'oubliez pas de sélectionner Enregistrer les paramètres .

activer la vérification du téléphone

C'est ça. Les utilisateurs devront utiliser leur numéro de téléphone pour s'inscrire.

8. Activer l'approbation manuelle

Vous pouvez approuver manuellement les utilisateurs qui s'inscrivent sur votre site Web WordPress. Aucune option par défaut ne vous permet de le faire. Mais avec l'aide d'un plugin, vous pouvez activer l'approbation de l'administrateur.

Lorsqu'une personne s'inscrit sur votre site, un message lui indique qu'elle doit attendre l'approbation de l'administrateur.

L'administrateur est alors informé de la nouvelle inscription.

L'administrateur vérifie l'adresse e-mail avec des outils tels que Hunter, VerifyEmailAddress et Email-Checker pour voir s'il s'agit d'un faux identifiant de messagerie. Ils approuvent ou refusent l'accès du nouvel utilisateur au site Web.

Avantages:

  • Les utilisateurs qui ont réussi à contourner d'autres mesures peuvent être bloqués avec une approbation manuelle.

Les inconvénients:

  • C'est un travail chronophage et fastidieux.
  • Pour les sites Web recevant des dizaines d'inscriptions chaque semaine, il est impossible d'approuver manuellement autant d'inscriptions.

Comment mettre en œuvre

1. Téléchargez et activez le plugin New User Approve. Le plugin commencera à fonctionner immédiatement. Toute personne s'inscrivant sur votre site Web devra attendre une approbation manuelle.

2. Pour approuver manuellement de nouveaux utilisateurs, vous devez accéder à Utilisateurs > Non approuvé .

Activer l'approbation manuelle des utilisateurs nouvellement enregistrés

Qu'est-ce que les pirates gagnent à partir des spams d'inscription WordPress

Vous entendez parler de groupes terroristes piratant des sites Web du gouvernement américain et d'invasion de téléphones de célébrités.

Il est difficile de penser à ce que les pirates peuvent éventuellement gagner en piratant votre site.

Il existe un certain nombre de raisons pour lesquelles les pirates attaqueront votre site Web même s'ils ne savent rien de vous ni de ce que vous représentez.

Ce n'est pas personnel, c'est commercial.

Les pirates souhaitent obtenir un accès utilisateur à votre site Web pour effectuer les opérations suivantes :

  • Colportez de fausses pilules, de la pornographie, des escroqueries et des logiciels malveillants pour générer des revenus.
  • Créer des backlinks vers leurs propres sites Web ou sites clients.
  • Ruine vos efforts de référencement.
  • Voler les informations des utilisateurs telles que les adresses e-mail, les informations de carte de crédit et les dossiers médicaux.
  • Stockez des films, des émissions de télévision et des logiciels piratés illégaux.

Cela dit, le simple fait d'obtenir un accès utilisateur à votre site Web ne permettra pas aux pirates d'effectuer ces opérations.

Ils doivent avoir un accès administrateur pour effectuer certaines opérations telles que le stockage de fichiers. Pour d'autres opérations malveillantes telles que la ruine de votre effort de référencement, elles ont simplement besoin d'un accès à l'éditeur.

L'accès à notre site Web associé à des vulnérabilités dans le plugin et les thèmes peut entraîner des failles de sécurité majeures. Par exemple, dans le passé, la vulnérabilité Contact Form 7 permettait aux abonnés d'obtenir un accès administrateur.

  • Une fois qu'ils obtiennent un accès plus élevé, ils peuvent rediriger vos visiteurs vers des sites Web malveillants.
  • Ils peuvent publier un message avec des mots clés japonais spammés pour exécuter votre référencement.
  • Ils peuvent spammer vos pages avec des noms de drogues illégales dans ce que nous appelons le piratage pharmaceutique.

piratage de mots clés japonais

Même les utilisateurs avec un accès limité comme un éditeur peuvent modérer les commentaires. Ils peuvent approuver les commentaires malveillants qui compromettront votre base de données. Pour en savoir plus, consultez cet article WordPress SQL Injection que nous avons préparé.

Inutile de dire que l'impact d'un tel piratage sur votre site Web sera laid.

Impact des spams d'inscription WordPress sur votre site Web

Les pirates tentent d'accéder à votre site Web soit pour utiliser vos ressources, soit pour semer le chaos. Voici comment ils nuisent à votre site Web :

  • Les enregistrements des utilisateurs sont stockés dans la base de données. Des centaines de spams d'enregistrement peuvent gonfler votre base de données, ce qui ralentira votre site Web .
  • Votre classement dans les moteurs de recherche peut être affecté si les utilisateurs publient du contenu indésirable et redirigent les visiteurs vers différents sites.
  • En parlant de redirection, vos visiteurs sont envoyés vers des sites Web vendant des drogues illégales et des sites pour adultes. Dans certains cas, ils sont obligés de télécharger des logiciels sur leur ordinateur local. C'est mauvais pour votre réputation .
  • S'ils accèdent aux informations d'autres utilisateurs, telles que les détails de la carte de crédit et les dossiers médicaux, ils peuvent les vendre en ligne et vous serez tenu responsable d'une violation de données .

liste noire google

  • Lorsque les services d'hébergement et les moteurs de recherche découvrent que votre site est piraté, ils suspendent votre site, le marquent comme trompeur et le mettent respectivement sur liste noire .
  • Nettoyer un site Web piraté sera une affaire coûteuse.

Il est clair que les spams d'enregistrement de nouveaux utilisateurs WordPress ne doivent pas être pris à la légère.

Et ensuite ?

Avec l'aide de notre guide, nous sommes convaincus que vous serez en mesure d'empêcher les spams d'enregistrement d'utilisateur WordPress.

Mais le blocage des spams d'inscriptions n'empêchera pas à lui seul les pirates d'essayer de s'introduire dans votre site Web.

Pour assurer la sécurité complète de votre site Web, vous devez installer un plugin de sécurité WordPress comme MalCare. Il placera un pare-feu entre votre site Web et le trafic entrant. Il protégera votre page de connexion contre les attaques par force brute.

Il analysera votre site Web quotidiennement et vous aidera à nettoyer votre site Web instantanément s'il est piraté.

Vous pouvez prendre des mesures de renforcement du site et des sauvegardes pour les sites Web WordPress.

Essayez notre plugin de sécurité MalCare !