Cara Menghentikan Spam Pendaftaran WordPress - Panduan Lengkap

Diterbitkan: 2023-04-19

Bayangkan ini:

Anda ingin mengembangkan situs web Anda. Anda ingin lebih banyak pelanggan dan pendapatan.

Jadi, Anda menyusun rencana untuk meningkatkan konten dan menyempurnakan desain.

Anda menambahkan lebih banyak CTA dan memungkinkan pengguna Anda untuk berlangganan dan mendaftar di situs Anda!

Tapi Anda tiba-tiba menemukan situs Anda dibombardir dengan pendaftaran pengguna spam dengan alamat email yang berisi inbox.imailfree.cc, mail.imailfree.cc.

Alih-alih mengembangkan bisnis Anda, Anda menghabiskan waktu membersihkan banjir spam setiap hari.

Alih-alih melakukan ini, Anda terjebak membersihkan pendaftaran pengguna spam setiap pagi.

Itu pasti membuat frustrasi.

Selama dekade terakhir, kami memiliki kesempatan untuk membantu pelanggan yang mengelola banjir pendaftaran WordPress spam setiap hari.

Jadi jangan khawatir, seburuk apapun situasinya, kami akan membantu Anda mendapatkan kembali waktu Anda. Anda dapat kembali fokus mengembangkan bisnis dan menghasilkan lebih banyak pendapatan setelah membaca artikel ini.

TL; DR: Untuk menghentikan spam pendaftaran WordPress, Anda perlu menerapkan beberapa langkah. Pertama, instal firewall , terapkan geo-blocking, lalu aktifkan reCAPTCHA. Jika tindakan ini tidak sepenuhnya menghentikan spam pendaftaran, coba terapkan semua tindakan yang tercantum di bawah ini.

Sebelum mendalami metode pencegahan, jika Anda ingin memahami mengapa peretas melakukan spam pendaftaran terlebih dahulu, lompat ke bagian ini.

Dan jika Anda ingin mempelajari tentang bagaimana spam pendaftaran dapat memengaruhi situs Anda , buka bagian ini.

Bagaimana Cara Memblokir Spam Pendaftaran WordPress?

Inilah sebuah pemikiran:

Alih-alih mencegah spam pendaftaran, mengapa tidak menonaktifkan pendaftaran.

Anda tidak perlu mengaktifkan pendaftaran publik jika hanya ingin mengizinkan sejumlah kecil orang mengakses situs Anda.

Cukup buat akun pengguna secara manual. Pastikan mereka tidak diberi akses admin.

> Nonaktifkan Pendaftaran Pengguna

Untuk menonaktifkan pendaftaran spam, buka dasbor WordPress Anda, lalu arahkan ke Pengaturan > Umum .

Di halaman Pengaturan Umum , gulir ke bawah ke opsi Keanggotaan dan hapus centang pada kotak 'Siapa Saja Dapat Mendaftar' .

Nonaktifkan Pendaftaran Pengguna untuk menghindari siapa pun mendaftar

WordPress memiliki URL halaman pendaftaran default yang terlihat seperti ini: https://example.com/wp-login.php?action=register

Setelah Anda menonaktifkan spam pendaftaran, mencoba membuka halaman pendaftaran akan menampilkan pesan berikut:

"Pendaftaran pengguna saat ini tidak diperbolehkan."

Layar login akan mengatakan "Pendaftaran Pengguna tidak diizinkan"

Kiat Pro: Jangan lupa untuk menghapus pengguna palsu yang sudah terdaftar di situs web Anda. Periksa email pengguna mereka dengan bantuan alat berikut: Hunter , VerifyEmailAddress , dan Email-Checker . Periksa juga apakah alamat email berisi istilah seperti inbox.imailfree.cc , mail.imailfree.cc . Jika ada alamat email yang palsu, hapus dari situs Anda.

Meskipun demikian, jika menonaktifkan pendaftaran publik bukanlah suatu opsi, maka pertimbangkan untuk membatasi apa yang dapat dilakukan pengguna di situs web Anda.

> Tetapkan Peran Pengguna yang Tepat

Saat peretas mendapatkan akses pengguna ke situs web Anda, mereka tidak dapat berbuat banyak jika dibatasi oleh peran pengguna mereka.

Di situs web WordPress, ada 6 peran pengguna. Masing-masing dilengkapi dengan kemampuan yang berbeda. Admin memiliki kontrol penuh atas situs. Editor diizinkan untuk menerbitkan posting dan menjalankan beberapa fungsi di situs web. Kontributor dan penulis hanya dapat memodifikasi atau membuat postingan. Pelanggan hanya dapat mengelola profil mereka dan membaca semua posting dan halaman. Tidak ada lagi.

Selama pengguna yang mendaftar di situs web Anda bukan admin (atau admin super dalam pemasangan multisite) dan editor, mereka tidak dapat menerbitkan konten berbahaya atau memulai fungsi berbahaya di situs web Anda.

Anda dapat membaca lebih lanjut tentang peran pengguna dari sini – Peran & Kemampuan Pengguna WordPress.

Untuk mengatur peran pengguna menjadi kontributor atau penulis atau pelanggan, buka dasbor WordPress Anda.

Kemudian navigasikan ke Pengaturan > Umum . Di halaman pengaturan umum, cari opsi Peran Default Pengguna Baru .

Jadikan Pelanggan sebagai Peran Default Pengguna Baru.

Dari menu drop-down pilih kontributor atau penulis atau pelanggan.

Meskipun demikian, membatasi peran pengguna tidak akan mencegah pendaftaran spam.

Untuk menghentikan spam pendaftaran sama sekali, Anda harus:

  • Instal firewall
  • Terapkan pemblokiran geografis
  • Terapkan perlindungan reCAPTCHA
  • Terapkan aktivasi email
  • Ubah URL pendaftaran WordPress
  • Terapkan pendaftaran multi-faktor
  • Aktifkan perlindungan pot madu
  • Aktifkan persetujuan manual

Anda mungkin bertanya-tanya apakah Anda perlu menerapkan semua tindakan. Jika Anda mengaktifkan semua tindakan, pengguna harus melewati beberapa rintangan. Jadi itu tidak disarankan.

Bergantung pada seberapa parah serangan situs web Anda, Anda perlu menerapkan langkah-langkah yang baru saja kami cantumkan.

Katakanlah Anda ingin memasang CAPTCHA di halaman pendaftaran Anda. Tetapi jika Anda menerima ratusan pendaftaran spam dalam waktu singkat dalam seminggu, CAPTCHA saja tidak cukup. Anda juga harus menerapkan beberapa langkah keamanan WordPress lainnya.

1. Instal Firewall

Firewall adalah garis pertahanan pertama Anda melawan spam.

Saat diaktifkan, lalu lintas apa pun yang masuk ke situs web Anda melewati firewall terlebih dahulu.

Itu akan memeriksa lalu lintas terhadap repositori alamat IP berbahaya. Jika firewall mengidentifikasi alamat IP apa pun sebagai berbahaya, itu segera diblokir.

Firewall membantu mencegah serangan spam pendaftaran sebelum mencapai situs web Anda.

Kelebihan:

  • Ini otomatis dan tidak memerlukan operasi manual.
  • Menawarkan perlindungan sepanjang waktu.
  • Mungkin menawarkan detail lalu lintas yang berguna untuk mengamankan situs Anda lebih lanjut.

Kontra:

  • Dapat gagal mengenali & memblokir beberapa lalu lintas berbahaya.
  • Dapat secara tidak sengaja memblokir lalu lintas yang sah.

Bagaimana Menerapkan

Anda dapat menggunakan firewall seperti MalCare. Yang perlu Anda lakukan adalah mendaftar dan menginstal plugin di situs Anda. Firewall akan diaktifkan secara otomatis.

Instal MalCare Security Plugin untuk menghindari Spam Pendaftaran Pengguna

MalCare menawarkan lebih dari perlindungan sepanjang waktu. Anda dapat menemukan informasi tentang lalu lintas yang diblokir yang mencakup negara asal, URL yang coba diakses oleh peretas, alamat IP mereka, dll.

Log Lalu Lintas di MalCare

Informasi tersebut berguna untuk memperkuat keamanan situs web Anda lebih lanjut. Misalnya, jika Anda menerima terlalu banyak permintaan lalu lintas buruk dari negara tertentu, Anda dapat memblokir seluruh negara.

2. Terapkan Geo-Blocking

Pemblokiran geografis mengacu pada pemblokiran seluruh negara untuk mengakses situs web Anda.

Ini akan mencegah lalu lintas jahat dan sah dari negara yang Anda blokir.

Jadi, Anda perlu memastikan bahwa lalu lintas dari negara tersebut tidak berharga bagi Anda.

Kelebihan:

  • Secara signifikan mengurangi spam pendaftaran berbahaya.

Kontra:

  • Memblokir lalu lintas yang sah.
  • Peretas masih dapat menggunakan VPN dan mengakses situs Anda.

Bagaimana Menerapkan

Ada plugin yang dapat membantu Anda mengimplementasikan geoblocking, tetapi jika Anda menggunakan firewall MalCare, Anda dapat melihat log lalu lintas untuk mengetahui dari mana sebagian besar lalu lintas yang diblokir berasal.

Terapkan Geo-blocking untuk mencegah pendaftaran pengguna dari suatu negara.

Kemudian Anda juga dapat memanfaatkan pemblokiran geografis MalCare untuk memblokir negara tersebut. Berikut panduan yang akan membantu Anda mencapainya – Bagaimana Menerapkan Geo-Blocking?

3. Menerapkan Perlindungan reCAPTCHA

Peretas merancang bot untuk melakukan pendaftaran pengguna spam.

reCAPTCHA adalah tes yang digunakan untuk membedakan manusia dan bot.

Menerapkan Perlindungan Captcha

Pada awalnya, tes ini berbasis teks. Bot berevolusi dan segera bisa menyelesaikannya. Sekarang sudah umum untuk melihat reCAPTCHA di mana Anda perlu mencentang kotak untuk mengonfirmasi bahwa Anda bukan manusia. Kemudian Anda disajikan beberapa gambar untuk dipilih.

perlindungan captcha

Bot tidak dapat melihat gambar dan karenanya tidak dapat menyelesaikan reCAPTCHA.

Menambahkan perlindungan reCAPTCHA ke formulir pendaftaran akan menangkis bot yang mencoba mendaftar di situs Anda.

Kelebihan:

  • Catatan pengguna tidak dibuat dalam database kecuali tantangan dilewati.

Kontra:

  • Anda memerlukan bantuan Google untuk menyiapkan reCAPTCHA. Jika Google memutuskan untuk menghentikan layanan, Anda harus mencari cara baru untuk mencegah spam pendaftaran.

Bagaimana Menerapkan

1. Unduh dan pasang Invisible reCaptcha untuk WordPress di situs web Anda.

2. Kemudian buka URL ini – https://www.google.com/recaptcha/intro/invisible.html?ref=producthunt dan masuk ke akun Google Anda.

3. Daftarkan situs Anda.

Gunakan google recaptcha

4. Google akan memberi Anda Kunci Situs dan Kunci Rahasia. Salin mereka.

Dapatkan kunci situs Google captcha

5. Buka dasbor WordPress Anda dan arahkan ke Pengaturan > ReCAPTCHA Tak Terlihat dan masukkan kuncinya.

recaptcha tak terlihat

6. Selanjutnya, dari halaman yang sama, masuk ke WordPress, dan pilih Enable Registration From Protection .

pengaturan recaptcha tak terlihat

Itu dia, teman-teman.

4. Aktifkan Perlindungan Honey Pot

Honey Pot adalah cara cerdik untuk melindungi formulir pendaftaran.

Bot dirancang untuk mengisi semua bidang pada formulir.

Dalam metode ini, beberapa bidang dalam formulir tidak dapat diisi karena tidak terlihat oleh pengguna.

Tidak seperti manusia, bot mengisi kolom dengan membaca kode sumber halaman. Jadi mereka akhirnya mengisi bidang yang tak terlihat.

Dengan menggunakan metode perlindungan pot madu, Anda dapat dengan mudah mengidentifikasi bot dan segera memblokirnya.

Kelebihan:

  • Cara paling efektif untuk mengidentifikasi dan memblokir robot spam.

Kontra:

  • Tidak dapat menghentikan peretas yang mendaftar secara manual di situs Anda.
  • Memblokir perangkat lunak pembaca layar yang mengisi formulir secara otomatis.
  • Memblokir pengguna dengan gangguan penglihatan.

Bagaimana Menerapkan

Beberapa formulir khusus seperti Formidable Forms dan pembuat situs web seperti Elementor hadir dengan opsi bawaan untuk Honeypot. Tetapi Anda harus menjadi pelanggan premium untuk mengaksesnya. Namun, ada plugin khusus seperti Clean Login yang akan membantu Anda mengaktifkan honeypot.

1. Unduh dan instal Clean Login ke situs web WordPress Anda. Perlindungan honeypot akan diaktifkan secara default.

Instal Clean Login untuk mengaktifkan perlindungan antispam honeypot

5. Terapkan Aktivasi Email

Setelah melewati begitu banyak rintangan, jika seseorang berhasil datang sejauh ini untuk mendaftar, maka itu pertanda baik. Pengguna kemungkinan besar bukan bot. Tapi itu masih bisa menjadi peretas.

Metode verifikasi email terdiri dari mengirimkan tautan kepada pengguna di alamat email yang mereka gunakan untuk mendaftar. Membuka tautan akan mengaktifkan akun pengguna.

Jika itu adalah alamat email palsu, mereka tidak dapat mengaktifkan akun tersebut. Akun akan ditempatkan pada mode tertunda yang dapat Anda hapus secara manual.

Kelebihan:

  • Memverifikasi apakah alamat email itu ada.

Kontra:

  • Email dapat masuk ke folder spam dan tidak terlihat.
  • Registrasi pengguna disimpan dalam database meskipun tidak diaktifkan.

Bagaimana Menerapkan

Ada banyak plugin yang memungkinkan Anda menerapkan verifikasi email. Beberapa plugin formulir khusus seperti Gravity Forms dan Formidable Forms tetapi mereka biasanya mendukung fitur pendaftaran dalam versi premium.

Jika Anda sudah menggunakan plugin formulir khusus, plugin tersebut mungkin menawarkan verifikasi email.

Bergantian, Anda dapat menggunakan plugin yang dirancang khusus untuk verifikasi email seperti Verifikasi Pengguna.

1. Unduh dan aktifkan plugin Verifikasi Pengguna.

2. Di dasbor WordPress Anda, buka Pengguna > Verifikasi Pengguna .

3. Di halaman Pengaturan Verifikasi Pengguna, ada opsi yang disebut Aktifkan verifikasi email . Pilih Ya untuk menerapkan verifikasi email.

Aktifkan Verifikasi Email untuk pengguna yang baru mendaftar

Anda juga dapat menggunakan plugin Verifikasi Pengguna untuk menerapkan reCAPTCHA.

pengaturan verifikasi pengguna

6. Ubah URL Pendaftaran WordPress

Tindakan keamanan lain yang dapat Anda lakukan adalah mengubah URL halaman pendaftaran Anda.

Halaman pendaftaran WordPress default terletak di https://example.com/wp-login.php?action=register

Peretas memprogram bot untuk mencari tautan ini. Jadi cara yang berpengaruh untuk mencegah bot mendaftar adalah dengan memindahkan halaman ke URL khusus.

Halaman pendaftaran adalah bagian dari halaman login Anda. Mengubah URL login akan memungkinkan Anda mengubah halaman pendaftaran.

Kelebihan:

  • Mencegah peretas dan bot menemukan halaman pendaftaran.

Kontra:

  • Pengunjung yang sah tidak akan dapat menemukan halaman pendaftaran jika mereka mencoba membuka URL secara langsung. Ini akan membuat mereka enggan mendaftar.

Bagaimana Menerapkan

1. Unduh dan aktifkan halaman WPS Hide Login.

2. Buka pendaftaran WordPress Anda dan arahkan ke Pengaturan > WPS Hide Login .

3. Pada opsi URL Masuk , masukkan URL baru. Pastikan bahwa itu adalah sesuatu yang unik yang tidak dapat ditebak oleh siapa pun.

wps sembunyikan login

Katakanlah jika URL baru Anda adalah https://example.com/nocornever

Halaman pendaftaran baru akan ditempatkan di https://example.com/nocornever?action=register

4. Di Redirection URL , masukkan error seperti 404 atau 503.

Siapa pun yang mencoba mengakses halaman login menggunakan URL login default (https://example.com/wp-login.php) akan dialihkan ke URL ini (https://example.com/404).

7. Terapkan Registrasi Multi-faktor

Menerapkan pendaftaran multi-faktor menawarkan lapisan perlindungan kedua. Misalnya, jika Anda memasang CAPTCHA di formulir, Anda juga dapat meminta pengguna memvalidasi melalui SMS atau aplikasi.

Ini berarti pengguna harus menggunakan smartphone mereka untuk mendaftar.

Ini akan menghentikan bot di jalurnya. Dan jika peretas mencoba mendaftar secara manual, mereka hanya dapat mendaftarkan satu akun dengan satu nomor telepon. Ini akan memperlambat aktivitas pendaftaran spam mereka.

Pro:

  • Catatan pengguna tidak dibuat dalam database kecuali mereka mendaftar.

Kontra:

  • Terlalu banyak langkah untuk mendaftar.
  • Pengguna mungkin ragu untuk berbagi nomor telepon.

Bagaimana Menerapkan

1. Unduh dan aktifkan plugin Verifikasi OTP MiniOrange di situs web Anda.

2. Di dasbor WordPress Anda, arahkan ke Verifikasi OTP .

3. Daftar dengan MiniOrange.

daftar miniorange

4. Buka Formulir dan pilih Formulir Pendaftaran Default WordPress .

formulir pendaftaran tml

5. Selanjutnya, centang kotak tepat di samping Formulir Pendaftaran Default / TML WordPress. Sebuah drop-down akan muncul. Pilih Aktifkan Verifikasi Telepon > Jangan izinkan pengguna menggunakan nomor telepon yang sama untuk beberapa akun .

Jangan lupa pilih Save Setting .

aktifkan verifikasi telepon

Itu dia. Pengguna harus menggunakan nomor telepon mereka untuk mendaftar.

8. Aktifkan Persetujuan Manual

Anda dapat secara manual menyetujui pengguna yang mendaftar di situs web WordPress Anda. Tidak ada opsi default yang memungkinkan Anda melakukan ini. Tetapi dengan bantuan sebuah plugin, Anda dapat mengaktifkan persetujuan admin.

Ketika seseorang mendaftar di situs Anda, mereka akan diperlihatkan pesan yang mengatakan bahwa mereka harus menunggu persetujuan dari admin.

Admin kemudian diberitahu tentang pendaftaran baru.

Admin memeriksa alamat email dengan alat seperti Hunter, VerifyEmailAddress, dan Email-Checker untuk melihat apakah itu ID email palsu. Mereka menyetujui atau menolak akses pengguna baru ke situs web.

Kelebihan:

  • Pengguna yang berhasil melewati tindakan lain dapat diblokir dengan persetujuan manual.

Kontra:

  • Ini memakan waktu dan pekerjaan yang membosankan.
  • Untuk situs web yang menerima lusinan pendaftaran setiap minggu, tidak mungkin menyetujui begitu banyak pendaftaran secara manual.

Bagaimana Menerapkan

1. Unduh dan aktifkan plugin Persetujuan Pengguna Baru. Plugin akan segera mulai bekerja. Siapa pun yang mendaftar di situs web Anda harus menunggu persetujuan manual.

2. Untuk menyetujui pengguna baru secara manual, Anda harus membuka Users > Unapproved .

Aktifkan Persetujuan Manual untuk Pengguna yang Baru Terdaftar

Apa yang Peretas Dapatkan Dari Spam Pendaftaran WordPress

Anda mendengar tentang kelompok teroris yang meretas situs web pemerintah AS dan telepon selebritas yang diserbu.

Sulit membayangkan apa yang bisa diperoleh peretas dengan meretas situs Anda.

Ada sejumlah alasan peretas akan menyerang situs web Anda meskipun mereka tidak tahu apa-apa tentang Anda atau apa yang Anda perjuangkan.

Ini bukan masalah pribadi, ini bisnis.

Peretas tertarik untuk mendapatkan akses pengguna ke situs web Anda untuk melakukan operasi berikut:

  • Menjajakan pil palsu, pornografi, penipuan, dan malware untuk mendapatkan penghasilan.
  • Bangun backlink ke situs web atau situs klien mereka sendiri.
  • Hancurkan upaya SEO Anda.
  • Mencuri informasi pengguna seperti alamat email, informasi kartu kredit, dan rekam medis.
  • Menyimpan film, acara TV, dan perangkat lunak bajakan ilegal.

Yang mengatakan mendapatkan akses pengguna ke situs web Anda saja tidak akan memungkinkan peretas untuk melakukan operasi ini.

Mereka perlu memiliki akses admin untuk melakukan beberapa operasi seperti menyimpan file. Untuk operasi jahat lainnya seperti merusak upaya SEO Anda, mereka hanya memerlukan akses editor.

Akses ke situs web kami ditambah dengan kerentanan pada plugin dan tema dapat menyebabkan pelanggaran keamanan besar. Misalnya, di masa lalu kerentanan Formulir Kontak 7 memungkinkan pelanggan mendapatkan akses admin.

  • Setelah mendapatkan akses yang lebih tinggi, mereka dapat mengarahkan pengunjung Anda ke situs web berbahaya.
  • Mereka dapat menerbitkan posting dengan kata kunci bahasa Jepang berisi spam untuk menjalankan SEO Anda.
  • Mereka dapat mengirim spam ke halaman Anda dengan nama obat-obatan terlarang dalam apa yang kami sebut peretasan farmasi.

peretasan kata kunci jepang

Bahkan pengguna dengan akses terbatas seperti editor dapat memoderasi komentar. Mereka dapat menyetujui komentar jahat yang akan membahayakan database Anda. Untuk mempelajari lebih lanjut, lihat posting Injeksi SQL WordPress yang telah kami kumpulkan.

Tak perlu dikatakan, dampak peretasan semacam itu di situs web Anda akan buruk.

Dampak Spam Pendaftaran WordPress Di Situs Web Anda

Peretas mencoba mengakses situs web Anda untuk memanfaatkan sumber daya Anda atau menyebabkan kekacauan. Inilah cara mereka merusak situs web Anda:

  • Registrasi pengguna disimpan dalam database. Ratusan spam pendaftaran dapat meningkatkan basis data Anda yang akan membuat situs web Anda lambat .
  • Peringkat mesin pencari Anda dapat terpengaruh jika pengguna memposting konten berisi spam dan mengarahkan pengunjung ke situs lain.
  • Berbicara tentang pengalihan, pengunjung Anda diarahkan ke situs web yang menjual obat-obatan terlarang, dan situs dewasa. Dalam beberapa kasus, mereka terpaksa mengunduh perangkat lunak ke komputer lokal mereka. Ini buruk untuk reputasi Anda .
  • Jika mereka mendapatkan akses ke informasi dari pengguna lain seperti detail kartu kredit dan rekam medis, mereka dapat menjualnya secara online dan Anda akan dimintai pertanggungjawaban atas pelanggaran data .

daftar hitam google

  • Saat layanan hosting dan mesin telusur mengetahui bahwa situs Anda diretas, mereka menangguhkan situs Anda, menandainya sebagai penipuan, dan memasukkannya ke dalam daftar hitam .
  • Membersihkan situs web yang diretas akan menjadi urusan yang mahal.

Jelas, spam pendaftaran pengguna baru WordPress tidak boleh dianggap enteng.

Apa selanjutnya?

Dengan bantuan panduan kami, kami yakin Anda akan dapat mencegah spam pendaftaran pengguna WordPress.

Tetapi memblokir spam pendaftaran saja tidak akan mencegah peretas mencoba masuk ke situs web Anda.

Untuk memastikan keamanan lengkap situs web Anda, Anda perlu menginstal plugin keamanan WordPress seperti MalCare. Itu akan menempatkan firewall antara situs web Anda dan lalu lintas masuk. Ini akan melindungi halaman login Anda dari serangan brute force.

Itu akan memindai situs web Anda setiap hari dan membantu Anda membersihkan situs web Anda secara instan jika diretas.

Anda dapat mengambil langkah-langkah pengerasan situs dan cadangan untuk situs web WordPress.

Coba Plugin Keamanan MalCare Kami !