Como parar o spam de registro do WordPress - Guia Completo

Publicados: 2023-04-19

Imagina isto:

Você quer crescer seu site. Você quer mais clientes e receita.

Então, você traça um plano para melhorar seu conteúdo e refinar seu design.

Você adiciona mais CTAs e permite que seus usuários se inscrevam e se registrem em seu site!

Mas de repente você descobre que seu site está sendo bombardeado com registros de usuários de spam com endereços de e-mail contendo inbox.imailfree.cc, mail.imailfree.cc.

Em vez de expandir seus negócios, você gasta tempo limpando uma enxurrada de spam todos os dias.

Em vez de fazer isso, você está preso limpando o registro de usuário de spam todas as manhãs.

Isso deve ser frustrante.

Na última década, tivemos a oportunidade de ajudar os clientes que gerenciavam uma enxurrada de registros de spam no WordPress todos os dias.

Portanto, não se preocupe, não importa o quão ruim seja a situação, nós o ajudaremos a recuperar seu tempo. Você pode voltar a se concentrar no crescimento de seus negócios e gerar mais receita depois de ler este artigo.

TL;DR: Para interromper os spams de registro do WordPress, você precisa implementar algumas medidas. Primeiro, instale um firewall , implemente o bloqueio geográfico e ative o reCAPTCHA. Se essas medidas não interromperem completamente os spams de registro, tente implementar todas as medidas listadas abaixo.

Antes de mergulhar nos métodos de prevenção, se você quiser entender por que os hackers realizam spams de registro , vá para esta seção.

E se você quiser saber como o spam de registro pode afetar seu site , acesse esta seção.

Como bloquear o spam de registro do WordPress?

Aqui está um pensamento:

Em vez de evitar spams de registro, por que não desativar os registros.

Você não precisa ativar o registro público se quiser permitir que apenas um pequeno número de pessoas acesse seu site.

Basta criar contas de usuário manualmente. Certifique-se de que eles não tenham acesso de administrador.

> Desativar registro de usuário

Para desabilitar o registro de spam, acesse o painel do WordPress e navegue até Configuração > Geral .

Na página Configurações gerais , role para baixo até a opção Associação e desmarque a caixa 'Qualquer pessoa pode se registrar' .

Desative o registro do usuário para evitar que alguém se registre

O WordPress tem um URL de página de registro padrão que se parece com isto: https://example.com/wp-login.php?action=register

Depois de desativar o spam de registro, tentar abrir a página de registro gera a seguinte mensagem:

"O registro do usuário não é permitido atualmente."

A tela de login diria "Registro de usuário não permitido"

Dica profissional: não se esqueça de excluir os usuários falsos já registrados em seu site. Verifique os e-mails dos usuários com a ajuda das seguintes ferramentas: Hunter , VerifyEmailAddress e Email-Checker . Verifique também se os endereços de e-mail contêm termos como inbox.imailfree.cc , mail.imailfree.cc . Se algum dos endereços de e-mail for falso, exclua-o do seu site.

Dito isso, se desabilitar o registro público não for uma opção, considere limitar o que os usuários podem fazer em seu site.

> Definir funções de usuário adequadas

Quando os hackers obtêm acesso de usuário ao seu site, eles podem fazer muito pouco se forem limitados por suas funções de usuário.

Em um site WordPress, existem 6 funções de usuário. Cada um vem com capacidades diferentes. Os administradores têm controle total sobre o site. Os editores têm permissão para publicar postagens e realizar algumas funções no site. Contribuidores e autores só podem modificar ou criar postagens. Os assinantes podem apenas gerenciar seus perfis e ler todas as postagens e páginas. Nada mais.

Contanto que os usuários que se registram em seu site não sejam administradores (ou superadministradores em uma instalação multisite) e editores, eles não podem publicar conteúdo prejudicial ou iniciar funções maliciosas em seu site.

Você pode ler mais sobre as funções do usuário aqui – Funções e recursos do usuário do WordPress.

Para definir funções de usuário para contribuidores, autores ou assinantes, acesse o painel do WordPress.

Em seguida, navegue até Configurações > Geral . Na página de configuração geral, procure a opção New User Default Role .

Torne o Assinante a função padrão do novo usuário.

No menu suspenso, escolha contribuidores, autores ou assinantes.

Dito isso, limitar as funções do usuário não impedirá registros de spam.

Para interromper completamente os spams de registro, você deve:

  • Instale um firewall
  • Implementar bloqueio geográfico
  • Implementar proteção reCAPTCHA
  • Aplicar ativação de e-mail
  • Alterar URL de registro do WordPress
  • Aplicar o registro multifator
  • Ativar a proteção do pote de mel
  • Habilitar aprovação manual

Você provavelmente está se perguntando se precisa implementar todas as medidas. Se você habilitou todas as medidas, os usuários terão que passar por vários obstáculos. Então isso não é recomendado.

Dependendo da gravidade do ataque ao seu site, você precisará implementar as medidas que acabamos de listar.

Digamos que você queira instalar um CAPTCHA na sua página de registro. Mas se você estiver recebendo centenas de registros de spam no curto espaço de uma semana, o CAPTCHA sozinho será inadequado. Você também terá que implementar algumas das outras medidas de segurança do WordPress.

1. Instale um Firewall

O firewall é sua primeira linha de defesa contra spam.

Quando ativado, qualquer tráfego que chega ao seu site passa primeiro pelo firewall.

Ele verificará o tráfego em seu repositório de endereços IP maliciosos. Se o firewall identificar algum endereço IP como malicioso, ele será imediatamente bloqueado.

O firewall ajuda a evitar ataques de spam de registro antes que eles cheguem ao seu site.

Prós:

  • É automatizado e não requer operações manuais.
  • Oferece proteção 24 horas por dia.
  • Pode oferecer detalhes de tráfego que são úteis para proteger ainda mais seu site.

Contras:

  • Pode não reconhecer e bloquear algum tráfego malicioso.
  • Pode acidentalmente bloquear o tráfego legítimo.

Como implementar

Você pode usar um firewall como o MalCare. Tudo o que você precisa fazer é se inscrever e instalar o plug-in em seu site. O firewall será ativado automaticamente.

Instale o plug-in MalCare Security para evitar spam de registro de usuário

O MalCare oferece mais do que proteção 24 horas por dia. Você pode encontrar informações sobre o tráfego bloqueado, incluindo o país de origem, a URL que os hackers estavam tentando acessar, o endereço IP etc.

Registro de Tráfego no MalCare

Essas informações são úteis para fortalecer ainda mais a segurança do seu site. Por exemplo, se você estiver recebendo muitas solicitações de tráfego ruim de um país específico, poderá bloquear todo o país.

2. Implemente o bloqueio geográfico

O bloqueio geográfico refere-se ao bloqueio de todo o país de acessar seu site.

Isso impedirá o tráfego malicioso e legítimo do país que você bloqueou.

Portanto, você precisa garantir que o tráfego desse país específico não seja valioso para você.

Prós:

  • Reduz significativamente o spam de registro malicioso.

Contras:

  • Bloqueia o tráfego legítimo.
  • Os hackers ainda podem usar uma VPN e acessar seu site.

Como implementar

Existem plug-ins que podem ajudá-lo a implementar o bloqueio geográfico, mas se você estiver usando o firewall do MalCare, poderá consultar o log de tráfego para descobrir a origem da maior parte do tráfego bloqueado.

Implemente o bloqueio geográfico para impedir o registro do usuário de um país.

Então você também pode utilizar o bloqueio geográfico do MalCare para bloquear esse país. Aqui está um guia que o ajudará a conseguir isso – Como implementar o bloqueio geográfico?

3. Implemente a proteção reCAPTCHA

Os hackers projetam bots para realizar registros de usuários de spam.

O reCAPTCHA é um teste usado para diferenciar humanos de bots.

Implementar proteção Captcha

No início, esses testes eram baseados em texto. Os bots evoluíram e logo foram capazes de resolvê-los. Agora é comum ver um reCAPTCHA onde você precisa marcar uma caixa para confirmar que não é humano. Então você recebe algumas imagens para escolher.

proteção captcha

Os bots não conseguem ver imagens e, portanto, não conseguem resolver reCAPTCHAs.

Adicionar proteção reCAPTCHA ao formulário de registro evitará que os bots tentem se registrar em seu site.

Prós:

  • Os registros do usuário não são criados no banco de dados, a menos que o desafio seja aprovado.

Contras:

  • Você precisa da ajuda do Google para configurar o reCAPTCHA. Se o Google decidir interromper o serviço, você precisará procurar novas maneiras de evitar spams de registro.

Como implementar

1. Baixe e instale o Invisible reCaptcha for WordPress em seu site.

2. Em seguida, abra este URL – https://www.google.com/recaptcha/intro/invisible.html?ref=producthunt e faça login em sua conta do Google.

3. Registre seu site.

Use o recaptcha do Google

4. O Google fornecerá a você uma chave do site e uma chave secreta. Copie-os.

Obtenha a chave do site captcha do Google

5. Vá para o painel do WordPress e navegue até Configuração > ReCAPTCHA invisível e insira as chaves.

recaptcha invisível

6. Em seguida, na mesma página, vá para WordPress e selecione Ativar registro da proteção .

configurações de recaptcha invisíveis

É isso, pessoal.

4. Ative a proteção Honey Pot

Honey Pot é uma maneira engenhosa de proteger o formulário de registro.

Bots são projetados para preencher todos os campos de um formulário.

Neste método, alguns campos do formulário não podem ser preenchidos por serem invisíveis ao usuário.

Ao contrário dos humanos, os bots preenchem os campos lendo o código-fonte da página. Assim, acabam preenchendo os campos invisíveis.

Usando o método de proteção do pote de mel, você pode identificar facilmente os bots e bloqueá-los imediatamente.

Prós:

  • A forma mais eficaz de identificar e bloquear spambots.

Contras:

  • Não pode parar os hackers que estão se registrando manualmente em seu site.
  • Bloqueia o software de leitura de tela que preenche formulários automaticamente.
  • Bloqueia usuários com deficiência visual.

Como implementar

Alguns formulários personalizados, como o Formidable Forms, e criadores de sites, como o Elementor, vêm com opções integradas para o Honeypot. Mas você precisa ser um assinante premium para acessá-los. No entanto, existem plug-ins dedicados, como o Clean Login, que o ajudarão a ativar o honeypot.

1. Baixe e instale o Clean Login em seu site WordPress. A proteção Honeypot será habilitada por padrão.

Instale o Clean Login para habilitar a proteção antispam honeypot

5. Aplicar ativação de e-mail

Depois de pular tantos arcos, se alguém conseguir chegar tão longe para se registrar, isso é um bom sinal. O usuário provavelmente não é um bot. Mas ainda pode ser um hacker.

O método de verificação de e-mail consiste em enviar aos usuários um link no endereço de e-mail que eles usaram para se registrar. A abertura do link ativará a conta do usuário.

Se for um endereço de e-mail falso, eles não poderão ativar a conta. A conta será colocada no modo pendente, que você pode excluir manualmente.

Prós:

  • Verifica se o endereço de e-mail existe.

Contras:

  • Os e-mails podem cair na pasta de spam e passar despercebidos.
  • Os registros do usuário são armazenados no banco de dados, mesmo que não sejam ativados.

Como implementar

Existem muitos plug-ins que permitem aplicar verificações de e-mail. Alguns são plugins de formulário dedicados como Gravity Forms e Formidable Forms, mas eles geralmente suportam recursos de registro na versão premium.

Se você já estiver usando um plug-in de formulário personalizado, provavelmente ele oferece verificações de e-mail.

Como alternativa, você pode usar plug-ins projetados especificamente para verificações de e-mail, como a Verificação do usuário.

1. Baixe e ative o plug-in de verificação do usuário.

2. No painel do WordPress, vá para Usuário > Verificação do usuário .

3. Na página Configurações de verificação do usuário, há uma opção chamada Ativar verificação de e-mail . Selecione Sim para impor a verificação de e-mail.

Ativar verificação de e-mail para usuários recém-registrados

Você também pode usar o plug-in de verificação do usuário para aplicar o reCAPTCHA.

configurações de verificação do usuário

6. Alterar URL de registro do WordPress

Outra medida de segurança que você pode tomar é alterar a URL da sua página de registro.

A página de registro padrão do WordPress está localizada em https://example.com/wp-login.php?action=register

Os hackers programam bots para procurar esse link. Portanto, uma maneira de impedir que os bots se registrem é mover a página para um URL personalizado.

A página de registro faz parte da sua página de login. A alteração da URL de login permitirá que você altere a página de registro.

Prós:

  • Impede que hackers e bots encontrem a página de registro.

Contras:

  • Visitantes legítimos não conseguirão encontrar a página de registro se tentarem abrir o URL diretamente. Isso os desencorajará de se registrar.

Como implementar

1. Baixe e ative a página WPS Hide Login.

2. Vá para o seu registro do WordPress e navegue até Configurações > WPS Hide Login .

3. Na opção URL de login , insira a nova URL. Certifique-se de que é algo único que ninguém pode adivinhar.

wps ocultar login

Diga se o seu novo URL é https://example.com/nowornever

A nova página de registro estará localizada em https://example.com/nowornever?action=register

4. Em Redirection URL , insira um erro como 404 ou 503.

Qualquer pessoa que tentar acessar a página de login usando a URL de login padrão (https://example.com/wp-login.php) será redirecionada para esta URL (https://example.com/404).

7. Aplicar registro multifator

A implementação do registro multifatorial oferece uma segunda camada de proteção. Por exemplo, se você tiver o CAPTCHA instalado no formulário, também poderá validar o usuário por SMS ou aplicativo.

Isso significa que os usuários terão que usar seus smartphones para se registrar.

Isso vai parar os bots em suas trilhas. E se os hackers estiverem tentando se registrar manualmente, eles podem registrar apenas uma conta com um número de telefone. Isso diminuirá suas atividades de registro de spam.

Pró:

  • Os registros do usuário não são criados no banco de dados, a menos que eles se registrem.

Contras:

  • Demasiados passos para registar.
  • Os usuários podem ser céticos sobre o compartilhamento de números de telefone.

Como implementar

1. Baixe e ative o plug-in MiniOrange OTP Verification em seu site.

2. No painel do WordPress, navegue até Verificação OTP .

3. Registre-se no MiniOrange.

registrar miniorange

4. Vá para Formulários e selecione Formulários de registro padrão do WordPress .

formulário de inscrição tml

5. Em seguida, marque a caixa ao lado do Formulário de registro padrão / TML do WordPress. Uma lista suspensa aparecerá. Selecione Ativar verificações de telefone > Não permitir que os usuários usem o mesmo número de telefone para várias contas .

Não se esqueça de selecionar Salvar configurações .

habilitar a verificação do telefone

É isso. Os usuários terão que usar seu número de telefone para se registrar.

8. Habilitar Aprovação Manual

Você pode aprovar manualmente os usuários que estão se registrando em seu site WordPress. Não há nenhuma opção padrão que permita fazer isso. Mas com a ajuda de um plug-in, você pode habilitar a aprovação do administrador.

Quando alguém se registrar em seu site, será exibida uma mensagem dizendo que precisa aguardar a aprovação do administrador.

O administrador é então notificado sobre a nova inscrição.

O administrador verifica o endereço de e-mail com ferramentas como Hunter, VerifyEmailAddress e Email-Checker para ver se é um ID de e-mail falso. Eles aprovam ou negam o acesso do novo usuário ao site.

Prós:

  • Os usuários que conseguiram passar por outras medidas podem ser bloqueados com aprovação manual.

Contras:

  • É um trabalho demorado e tedioso.
  • Para sites que recebem dezenas de cadastros semanalmente, é impossível aprovar manualmente tantos cadastros.

Como implementar

1. Baixe e ative o plug-in Aprovação de Novo Usuário. O plug-in começará a funcionar imediatamente. Qualquer pessoa que se registrar em seu site terá que aguardar a aprovação manual.

2. Para aprovar manualmente novos usuários, você precisa ir para Usuários > Não aprovados .

Ativar aprovação manual de usuários recém-registrados

O que os hackers ganham com os spams de registro do WordPress

Você ouve sobre grupos terroristas hackeando sites do governo dos EUA e telefones de celebridades sendo invadidos.

É difícil pensar no que os hackers podem ganhar invadindo seu site.

Há uma série de razões pelas quais os hackers atacarão seu site, mesmo que não saibam nada sobre você ou sobre o que você representa.

Não é pessoal, é negócio.

Os hackers estão interessados ​​em obter acesso de usuário ao seu site para realizar as seguintes operações:

  • Venda pílulas falsas, pornografia, golpes e malware para obter receita.
  • Crie backlinks para seus próprios sites ou sites de clientes.
  • Arruine seus esforços de SEO.
  • Roubar informações do usuário, como endereços de e-mail, informações de cartão de crédito e registros médicos.
  • Armazene filmes, programas de TV e software piratas ilegais.

Dito isso, obter acesso do usuário ao seu site por si só não permitirá que os hackers realizem essas operações.

Eles precisam ter acesso de administrador para realizar algumas das operações, como armazenar arquivos. Para outras operações maliciosas, como arruinar seu esforço de SEO, eles só precisam de acesso de editor.

O acesso ao nosso site juntamente com vulnerabilidades no plug-in e temas podem levar a grandes violações de segurança. Por exemplo, no passado, a vulnerabilidade do Formulário de contato 7 permitia que os assinantes obtivessem acesso de administrador.

  • Depois de obter acesso superior, eles podem redirecionar seus visitantes para sites maliciosos.
  • Eles podem publicar uma postagem com palavras-chave japonesas com spam para executar seu SEO.
  • Eles podem enviar spam às suas páginas com nomes de drogas ilegais no que chamamos de pharma hack.

palavra-chave japonesa hackeada

Mesmo usuários com acesso limitado, como um editor, podem moderar os comentários. Eles podem aprovar comentários maliciosos que comprometerão seu banco de dados. Para saber mais, confira este post WordPress SQL Injection que preparamos.

Desnecessário dizer que o impacto de tal invasão em seu site será terrível.

Impacto dos spams de registro do WordPress em seu site

Os hackers tentam acessar seu site para utilizar seus recursos ou causar caos. Veja como eles prejudicam seu site:

  • Os registros do usuário são armazenados no banco de dados. Centenas de spams de registro podem aumentar seu banco de dados, o que tornará seu site lento .
  • As classificações do seu mecanismo de pesquisa podem ser afetadas se os usuários postarem conteúdo com spam e redirecionarem os visitantes para sites diferentes.
  • Falando em redirecionamento, seus visitantes estão sendo enviados para sites que vendem drogas ilegais e sites adultos. Em alguns casos, eles são forçados a baixar o software em seu computador local. Isso é ruim para sua reputação .
  • Se eles obtiverem acesso a informações de outros usuários, como detalhes de cartão de crédito e registros médicos, eles poderão vendê-los on-line e você será responsabilizado por uma violação de dados .

lista negra do google

  • Quando os serviços de hospedagem e os mecanismos de pesquisa descobrem que seu site foi invadido, eles o suspendem, marcam-no como enganoso e o colocam na lista negra, respectivamente.
  • Limpar um site hackeado será um assunto caro.

Claramente, os spams de registro de novos usuários do WordPress não devem ser menosprezados.

Qual o proximo?

Com a ajuda do nosso guia, temos certeza de que você será capaz de evitar spams de registro de usuários do WordPress.

Mas apenas bloquear os spams de registro não impedirá que hackers tentem invadir seu site.

Para garantir a segurança completa do seu site, você precisa instalar um plug-in de segurança do WordPress como o MalCare. Ele colocará um firewall entre seu site e o tráfego de entrada. Ele protegerá sua página de login de ataques de força bruta.

Ele verificará seu site diariamente e o ajudará a limpá-lo instantaneamente se for invadido.

Você pode tomar medidas de proteção de sites e backups para sites WordPress.

Experimente nosso plug-in de segurança MalCare !