Come fermare lo spam di registrazione di WordPress - Guida completa

Pubblicato: 2023-04-19

Immagina questo:

Vuoi far crescere il tuo sito web. Vuoi più clienti e entrate.

Quindi esponi un piano per migliorare i tuoi contenuti e perfezionare il tuo design.

Aggiungi più CTA e consenti ai tuoi utenti di iscriversi e registrarsi sul tuo sito!

Ma all'improvviso scopri che il tuo sito è bombardato da registrazioni di utenti spam con indirizzi e-mail contenenti inbox.imailfree.cc, mail.imailfree.cc.

Invece di far crescere la tua attività, passi il tempo a ripulire un diluvio di spam ogni giorno.

Invece di farlo, sei bloccato a pulire la registrazione degli utenti spam ogni mattina.

Dev'essere frustrante.

Nell'ultimo decennio, abbiamo avuto l'opportunità di aiutare i clienti che ogni giorno gestivano un diluvio di registrazioni spam di WordPress.

Quindi non preoccuparti, non importa quanto sia grave la situazione, ti aiuteremo a recuperare il tuo tempo. Puoi tornare a concentrarti sulla crescita della tua attività e generare maggiori entrate dopo aver letto questo articolo.

TL; DR: per fermare gli spam di registrazione di WordPress, è necessario implementare alcune misure. Innanzitutto, installa un firewall , implementa il blocco geografico, quindi abilita reCAPTCHA. Se queste misure non bloccano completamente gli spam di registrazione, prova a implementare tutte le misure elencate di seguito.

Prima di addentrarti nei metodi di prevenzione, se vuoi capire perché gli hacker eseguono in primo luogo spam di registrazione , passa a questa sezione.

E se vuoi sapere come lo spam di registrazione può influire sul tuo sito , vai a questa sezione.

Come bloccare lo spam di registrazione di WordPress?

Ecco un pensiero:

Invece di prevenire gli spam di registrazione, perché non disabilitare le registrazioni.

Non è necessario abilitare la registrazione pubblica se si desidera consentire l'accesso al proprio sito solo a un numero limitato di persone.

Basta creare gli account utente manualmente. Assicurati che non abbiano accesso come amministratore.

> Disattiva registrazione utente

Per disabilitare la registrazione dello spam, vai alla dashboard di WordPress, quindi vai a Impostazioni > Generale .

Nella pagina Impostazioni generali , scorri verso il basso fino all'opzione Iscrizione e deseleziona la casella "Chiunque può registrarsi" .

Disabilita la registrazione utente per impedire a chiunque di registrarsi

WordPress ha un URL della pagina di registrazione predefinito che assomiglia a questo: https://example.com/wp-login.php?action=register

Dopo aver disabilitato lo spam di registrazione, il tentativo di aprire la pagina di registrazione genera il seguente messaggio:

"La registrazione dell'utente non e 'permessa al momento."

La schermata di accesso direbbe "Registrazione utente non consentita"

Suggerimento professionale: non dimenticare di eliminare gli utenti falsi già registrati sul tuo sito web. Controlla le e-mail degli utenti con l'aiuto dei seguenti strumenti: Hunter , VerifyEmailAddress e Email-Checker . Controlla anche se gli indirizzi email contengono termini come inbox.imailfree.cc , mail.imailfree.cc . Se uno qualsiasi degli indirizzi email è falso, eliminalo dal tuo sito.

Detto questo, se disabilitare la registrazione pubblica non è un'opzione, considera di limitare ciò che gli utenti possono fare sul tuo sito web.

> Imposta ruoli utente appropriati

Quando gli hacker ottengono l'accesso degli utenti al tuo sito Web, possono fare ben poco se sono limitati dai loro ruoli utente.

In un sito Web WordPress, ci sono 6 ruoli utente. Ognuno è dotato di capacità diverse. Gli amministratori hanno il pieno controllo del sito. Gli editori possono pubblicare post e svolgere alcune funzioni sul sito web. I contributori e gli autori possono solo modificare o creare post. Gli iscritti possono solo gestire i propri profili e leggere tutti i post e le pagine. Nient'altro.

Finché gli utenti che si registrano sul tuo sito Web non sono amministratori (o super amministratori in un'installazione multisito) ed editor, non possono pubblicare contenuti dannosi o avviare funzioni dannose sul tuo sito Web.

Puoi leggere di più sui ruoli utente da qui – Ruoli utente e capacità di WordPress.

Per impostare i ruoli utente su contributori, autori o abbonati, vai alla dashboard di WordPress.

Quindi vai su Impostazioni > Generale . Nella pagina delle impostazioni generali, cerca l'opzione Ruolo predefinito nuovo utente .

Rendi l'abbonato il ruolo predefinito del nuovo utente.

Dal menu a discesa scegli contributori o autori o abbonati.

Detto questo, la limitazione dei ruoli utente non impedirà le registrazioni spam.

Per bloccare del tutto gli spam di registrazione, devi:

  • Installa un firewall
  • Implementa il blocco geografico
  • Implementa la protezione reCAPTCHA
  • Imponi l'attivazione via e-mail
  • Modifica l'URL di registrazione di WordPress
  • Applicare la registrazione a più fattori
  • Abilita la protezione del vasetto di miele
  • Abilita l'approvazione manuale

Probabilmente ti starai chiedendo se è necessario attuare tutte le misure. Se hai abilitato tutte le misure, gli utenti dovranno fare i salti mortali. Quindi non è raccomandato.

A seconda della gravità dell'attacco al tuo sito Web, dovrai implementare le misure che abbiamo appena elencato.

Supponiamo che tu voglia installare un CAPTCHA sulla tua pagina di registrazione. Ma se ricevi centinaia di registrazioni spam nel breve arco di una settimana, il solo CAPTCHA sarà inadeguato. Dovrai implementare anche alcune delle altre misure di sicurezza di WordPress.

1. Installa un firewall

Il firewall è la tua prima linea di difesa contro lo spam.

Se abilitato, tutto il traffico in arrivo sul tuo sito Web passa prima attraverso il firewall.

Controllerà il traffico rispetto al suo repository di indirizzi IP dannosi. Se il firewall identifica un indirizzo IP come dannoso, viene prontamente bloccato.

Il firewall aiuta a prevenire gli attacchi di spam di registrazione prima che possano raggiungere il tuo sito web.

Professionisti:

  • È automatizzato e non richiede operazioni manuali.
  • Offre protezione 24 ore su 24.
  • Può offrire dettagli sul traffico utili per proteggere ulteriormente il tuo sito.

Contro:

  • Può non riuscire a riconoscere e bloccare parte del traffico dannoso.
  • Può bloccare accidentalmente il traffico legittimo.

Come implementare

Puoi usare un firewall come MalCare. Tutto quello che devi fare è registrarti e installare il plugin sul tuo sito. Il firewall verrà abilitato automaticamente.

Installa MalCare Security Plugin per evitare lo spam nella registrazione degli utenti

MalCare offre più di una protezione 24 ore su 24. Puoi trovare informazioni sul traffico bloccato che include il paese di origine, l'URL a cui gli hacker stavano tentando di accedere, il loro indirizzo IP, ecc.

Registro del traffico su MalCare

Tali informazioni sono utili per rafforzare ulteriormente la sicurezza del tuo sito web. Ad esempio, se ricevi troppe richieste di traffico negativo da un Paese specifico, puoi bloccare l'intero Paese.

2. Implementa il blocco geografico

Il blocco geografico si riferisce al blocco dell'intero paese dall'accesso al tuo sito web.

Ciò impedirà sia il traffico dannoso che quello legittimo dal paese che hai bloccato.

Quindi devi assicurarti che il traffico proveniente da quel particolare paese non sia prezioso per te.

Professionisti:

  • Riduce significativamente lo spam di registrazione dannoso.

Contro:

  • Blocca il traffico legittimo.
  • Gli hacker possono comunque utilizzare una VPN e accedere al tuo sito.

Come implementare

Esistono plug-in che possono aiutarti a implementare il blocco geografico, ma se utilizzi il firewall di MalCare, puoi esaminare il registro del traffico per scoprire da dove proviene la maggior parte del traffico bloccato.

Implementa il blocco geografico per impedire la registrazione dell'utente da un paese.

Quindi puoi anche utilizzare il blocco geografico MalCare per bloccare quel paese. Ecco una guida che ti aiuterà a raggiungere questo obiettivo: come implementare il blocco geografico?

3. Implementare la protezione reCAPTCHA

Gli hacker progettano bot per eseguire registrazioni di utenti spam.

reCAPTCHA è un test utilizzato per distinguere gli esseri umani dai robot.

Implementa la protezione Captcha

All'inizio, questi test erano basati su testo. I robot si sono evoluti e presto sono stati in grado di risolverli. Ora è comune vedere un reCAPTCHA in cui è necessario selezionare una casella per confermare che non sei umano. Quindi ti vengono servite alcune immagini tra cui scegliere.

protezione captcha

I bot non sono in grado di vedere le immagini e quindi non sono in grado di risolvere i reCAPTCHA.

L'aggiunta della protezione reCAPTCHA al modulo di registrazione respingerà i bot che tentano di registrarsi sul tuo sito.

Professionisti:

  • I record utente non vengono creati nel database a meno che la sfida non venga superata.

Contro:

  • Hai bisogno dell'aiuto di Google per configurare reCAPTCHA. Se Google decide di interrompere il servizio, dovrai cercare nuovi modi per prevenire gli spam di registrazione.

Come implementare

1. Scarica e installa Invisible reCaptcha per WordPress sul tuo sito web.

2. Quindi apri questo URL: https://www.google.com/recaptcha/intro/invisible.html?ref=producthunt e accedi al tuo account Google.

3. Registra il tuo sito.

Usa google recaptcha

4. Google ti fornirà una Site Key e una Secret Key. Copiali.

Ottieni la chiave del sito captcha di Google

5. Vai alla dashboard di WordPress e vai su Impostazioni > ReCAPTCHA invisibile e inserisci le chiavi.

recaptcha invisibile

6. Successivamente, dalla stessa pagina, vai su WordPress e seleziona Enable Registration From Protection .

impostazioni recaptcha invisibili

Questo è tutto, gente.

4. Abilita la protezione Honey Pot

Honey Pot è un modo ingegnoso per proteggere il modulo di registrazione.

I bot sono progettati per riempire tutti i campi di un modulo.

In questo metodo, alcuni campi del modulo non possono essere compilati perché sono invisibili all'utente.

A differenza degli umani, i bot riempiono i campi leggendo il codice sorgente della pagina. Così finiscono per riempire i campi invisibili.

Utilizzando il metodo di protezione del vaso di miele puoi facilmente identificare i bot e bloccarli prontamente.

Professionisti:

  • Il modo più efficace per identificare e bloccare gli spambot.

Contro:

  • Non puoi fermare gli hacker che si registrano manualmente sul tuo sito.
  • Blocca il software di lettura dello schermo che compila automaticamente i moduli.
  • Blocca gli utenti con problemi di vista.

Come implementare

Alcuni moduli personalizzati come Formidable Forms e costruttori di siti Web come Elementor sono dotati di opzioni integrate per Honeypot. Ma devi essere un abbonato premium per accedervi. Tuttavia, ci sono plugin dedicati come Clean Login che ti aiuteranno ad abilitare honeypot.

1. Scarica e installa Clean Login nel tuo sito Web WordPress. La protezione dell'honeypot sarà abilitata per impostazione predefinita.

Installa Clean Login per abilitare la protezione antispam honeypot

5. Applicare l'attivazione tramite e-mail

Dopo tanti salti mortali, se qualcuno riesce ad arrivare così lontano per registrarsi, allora è un buon segno. Molto probabilmente l'utente non è un bot. Ma può ancora essere un hacker.

Il metodo di verifica e-mail consiste nell'inviare agli utenti un collegamento nell'indirizzo e-mail che hanno utilizzato per registrarsi. L'apertura del collegamento attiverà l'account utente.

Se si tratta di un indirizzo email falso, non possono attivare l'account. L'account verrà messo in modalità in attesa che puoi eliminare manualmente.

Professionisti:

  • Verifica se l'indirizzo e-mail esiste.

Contro:

  • Le e-mail possono finire nella cartella spam e passare inosservate.
  • Le registrazioni degli utenti sono conservate nel database anche se non attivate.

Come implementare

Esistono molti plug-in che ti consentiranno di applicare le verifiche e-mail. Alcuni sono plug-in di moduli dedicati come Gravity Forms e Formidable Forms, ma di solito supportano le funzionalità di registrazione nella versione premium.

Se stai già utilizzando un plug-in per moduli personalizzati, probabilmente offre verifiche e-mail.

In alternativa, puoi utilizzare plug-in progettati specificamente per le verifiche e-mail come la verifica utente.

1. Scarica e attiva il plug-in Verifica utente.

2. Nella dashboard di WordPress, vai su Utente > Verifica utente .

3. Nella pagina Impostazioni verifica utente, è presente un'opzione denominata Abilita verifica e-mail . Selezionare per imporre la verifica dell'email.

Abilita la verifica e-mail per gli utenti appena registrati

Puoi utilizzare il plug-in Verifica utente anche per applicare reCAPTCHA.

impostazioni di verifica dell'utente

6. Modifica l'URL di registrazione di WordPress

Un'altra misura di sicurezza che puoi adottare è modificare l'URL della tua pagina di registrazione.

La pagina di registrazione WordPress predefinita si trova su https://example.com/wp-login.php?action=register

Gli hacker programmano i bot per cercare questo collegamento. Quindi un modo efficace per impedire ai bot di registrarsi è spostare la pagina su un URL personalizzato.

La pagina di registrazione fa parte della pagina di accesso. La modifica dell'URL di accesso ti consentirà di modificare la pagina di registrazione.

Professionisti:

  • Impedisce a hacker e bot di trovare la pagina di registrazione.

Contro:

  • I visitatori legittimi non saranno in grado di trovare la pagina di registrazione se provano ad aprire direttamente l'URL. Li scoraggerà dal registrarsi.

Come implementare

1. Scaricare e attivare la pagina WPS Hide Login.

2. Vai alla tua registrazione WordPress e vai su Impostazioni > WPS Nascondi Login .

3. Nell'opzione URL di accesso , inserire il nuovo URL. Assicurati che sia qualcosa di unico che nessuno possa indovinare.

wps nasconde il login

Dì se il tuo nuovo URL è https://example.com/nowornever

La nuova pagina di registrazione si troverà all'indirizzo https://example.com/nowornever?action=register

4. Nell'URL di reindirizzamento , inserisci un errore come 404 o 503.

Chiunque tenti di accedere alla pagina di accesso utilizzando l'URL di accesso predefinito (https://example.com/wp-login.php) verrà reindirizzato a questo URL (https://example.com/404).

7. Applicare la registrazione a più fattori

L'implementazione della registrazione a più fattori offre un secondo livello di protezione. Ad esempio, se hai CAPTCHA installato sul modulo, puoi fare in modo che l'utente convalidi anche tramite un SMS o un'app.

Ciò significa che gli utenti dovranno utilizzare i propri smartphone per registrarsi.

Fermerà i robot sulle loro tracce. E se gli hacker stanno tentando di registrarsi manualmente, possono registrare un solo account con un numero di telefono. Ciò rallenterà le loro attività di registrazione dello spam.

Pro:

  • I record utente non vengono creati nel database a meno che non si registrino.

Contro:

  • Troppi passaggi per registrarsi.
  • Gli utenti potrebbero essere scettici sulla condivisione dei numeri di telefono.

Come implementare

1. Scarica e attiva il plug-in MiniOrange OTP Verification sul tuo sito web.

2. Nella dashboard di WordPress, vai a Verifica OTP .

3. Registrati con MiniOrange.

registrati miniorange

4. Vai su Moduli e seleziona Moduli di registrazione predefiniti di WordPress .

modulo di registrazione tml

5. Quindi, seleziona la casella accanto a WordPress Default / TML Registration Form. Apparirà un menu a tendina. Seleziona Abilita verifiche telefoniche > Non consentire agli utenti di utilizzare lo stesso numero di telefono per più account .

Non dimenticare di selezionare Salva impostazioni .

abilitare la verifica del telefono

Questo è tutto. Gli utenti dovranno utilizzare il proprio numero di telefono per registrarsi.

8. Abilitare l'approvazione manuale

Puoi approvare manualmente gli utenti che si stanno registrando sul tuo sito Web WordPress. Non esiste un'opzione predefinita che ti permetta di farlo. Ma con l'aiuto di un plug-in, puoi abilitare l'approvazione dell'amministratore.

Quando qualcuno si registra sul tuo sito, verrà mostrato un messaggio che dice che devono attendere l'approvazione da parte dell'amministratore.

L'amministratore viene quindi informato della nuova registrazione.

L'amministratore controlla l'indirizzo e-mail con strumenti come Hunter, VerifyEmailAddress e Email-Checker per vedere se si tratta di un falso ID e-mail. Approvano o negano al nuovo utente l'accesso al sito web.

Professionisti:

  • Gli utenti che sono riusciti a superare altre misure possono essere bloccati con l'approvazione manuale.

Contro:

  • È un lavoro lungo e noioso.
  • Per i siti Web che ricevono dozzine di registrazioni su base settimanale, è impossibile approvare manualmente così tante registrazioni.

Come implementare

1. Scarica e attiva il plug-in New User Approva. Il plugin inizierà a funzionare immediatamente. Chiunque si registri sul tuo sito web dovrà attendere l'approvazione manuale.

2. Per approvare manualmente i nuovi utenti, devi andare su Utenti > Non approvati .

Abilita l'approvazione manuale degli utenti appena registrati

Cosa guadagnano gli hacker dagli spam di registrazione di WordPress

Si sente parlare di gruppi terroristici che hackerano i siti web del governo degli Stati Uniti e che i telefoni delle celebrità vengono invasi.

È difficile pensare a ciò che gli hacker possono ottenere hackerando il tuo sito.

Esistono diversi motivi per cui gli hacker attaccheranno il tuo sito Web anche se non sanno nulla di te o di ciò che rappresenti.

Non è personale, sono affari.

Gli hacker sono interessati a ottenere l'accesso degli utenti al tuo sito Web per eseguire le seguenti operazioni:

  • Spaccia pillole false, pornografia, truffe e malware per guadagnare.
  • Crea backlink ai propri siti Web o ai siti dei clienti.
  • Rovina i tuoi sforzi SEO.
  • Ruba informazioni sugli utenti come indirizzi e-mail, informazioni sulla carta di credito e cartelle cliniche.
  • Memorizza film, programmi TV e software piratati illegali.

Detto questo, ottenere l'accesso degli utenti al tuo sito Web da solo non consentirà agli hacker di portare a termine queste operazioni.

Devono disporre dell'accesso amministratore per eseguire alcune operazioni come l'archiviazione dei file. Per altre operazioni dannose come rovinare il tuo sforzo SEO, hanno solo bisogno dell'accesso dell'editor.

L'accesso al nostro sito Web insieme alle vulnerabilità nel plug-in e nei temi può portare a gravi violazioni della sicurezza. Ad esempio, in passato la vulnerabilità di Contact Form 7 consentiva agli abbonati di ottenere l'accesso come amministratore.

  • Una volta ottenuto un accesso più elevato, possono reindirizzare i visitatori a siti Web dannosi.
  • Possono pubblicare un post con parole chiave giapponesi spam per eseguire il tuo SEO.
  • Possono inviare spam alle tue pagine con nomi di droghe illegali in quello che chiamiamo hack farmaceutico.

parola chiave giapponese hack

Anche gli utenti con accesso limitato come un editor possono moderare i commenti. Possono approvare commenti dannosi che comprometteranno il tuo database. Per saperne di più dai un'occhiata a questo post di WordPress SQL Injection che abbiamo messo insieme.

Inutile dire che l'impatto di un simile attacco sul tuo sito web sarà brutto.

Impatto degli spam di registrazione di WordPress sul tuo sito web

Gli hacker tentano di accedere al tuo sito Web per utilizzare le tue risorse o causare il caos. Ecco come danneggiano il tuo sito web:

  • Le registrazioni degli utenti sono memorizzate nel database. Centinaia di spam di registrazione possono aumentare il volume del tuo database, rallentando il tuo sito web .
  • Il posizionamento nei motori di ricerca può risentirne se gli utenti pubblicano contenuti di spam e reindirizzano i visitatori a siti diversi.
  • A proposito di reindirizzamento, i tuoi visitatori vengono indirizzati a siti Web che vendono droghe illegali e siti per adulti. In alcuni casi, sono costretti a scaricare software sul proprio computer locale. Questo fa male alla tua reputazione .
  • Se ottengono l'accesso alle informazioni di altri utenti come i dettagli della carta di credito e le cartelle cliniche, possono venderle online e tu sarai ritenuto responsabile per una violazione dei dati .

lista nera di google

  • Quando i servizi di hosting e i motori di ricerca scoprono che il tuo sito è stato violato, lo sospendono, lo contrassegnano come ingannevole e lo inseriscono rispettivamente nella blacklist .
  • La pulizia di un sito Web compromesso sarà un affare costoso.

Chiaramente gli spam di registrazione di nuovi utenti di WordPress non dovrebbero essere presi alla leggera.

Cosa succederà?

Con l'aiuto della nostra guida, siamo fiduciosi che sarai in grado di prevenire gli spam di registrazione degli utenti di WordPress.

Ma il solo blocco delle registrazioni spam non impedirà agli hacker di tentare di entrare nel tuo sito web.

Per garantire la completa sicurezza del tuo sito Web, devi installare un plug-in di sicurezza WordPress come MalCare. Installerà un firewall tra il tuo sito web e il traffico in entrata. Proteggerà la tua pagina di accesso dagli attacchi di forza bruta.

Eseguirà la scansione del tuo sito Web su base giornaliera e ti aiuterà a ripulire immediatamente il tuo sito Web se viene violato.

Puoi adottare misure di rafforzamento del sito e backup per i siti Web WordPress.

Prova il nostro plug-in di sicurezza MalCare !