Cum să opriți spamul de înregistrare WordPress - Ghid complet

Publicat: 2023-04-19

Imaginează-ți asta:

Vrei să-ți dezvolți site-ul web. Vrei mai mulți clienți și venituri.

Deci, stabiliți un plan pentru a vă îmbunătăți conținutul și a vă rafina designul.

Adăugați mai multe CTA și le permiteți utilizatorilor să se aboneze și să se înregistreze pe site-ul dvs.!

Dar deodată descoperiți că site-ul dvs. este bombardat de înregistrări de utilizatori spam cu adrese de e-mail care conțin inbox.imailfree.cc, mail.imailfree.cc.

În loc să-ți dezvolți afacerea, petreci timp curățând un potop de spam în fiecare zi.

În loc să faceți acest lucru, sunteți blocat să curățați înregistrarea utilizatorilor de spam în fiecare dimineață.

Asta trebuie să fie frustrant.

În ultimul deceniu, am avut ocazia să ajutăm clienții care gestionau un potop de înregistrări spam WordPress în fiecare zi.

Așa că nu vă faceți griji, indiferent cât de rea este situația, vă vom ajuta să vă recuperați timpul. Vă puteți întoarce la concentrarea pe dezvoltarea afacerii dvs. și pe generarea de venituri mai mari după ce citiți acest articol.

TL;DR: Pentru a opri spam-urile de înregistrare WordPress, trebuie să implementați câteva măsuri. Mai întâi, instalați un firewall , implementați geoblocarea, apoi activați reCAPTCHA. Dacă aceste măsuri nu opresc complet spamurile de înregistrare, atunci încercați să implementați toate măsurile enumerate mai jos.

Înainte de a vă scufunda în metodele de prevenire, dacă doriți să înțelegeți de ce hackerii efectuează spam-uri de înregistrare în primul rând, săriți la această secțiune.

Și dacă doriți să aflați cum vă poate afecta spamul de înregistrare site-ul , accesați această secțiune.

Cum să blochezi spamul de înregistrare WordPress?

Iată un gând:

În loc să preveniți spamurile de înregistrare, de ce să nu dezactivați înregistrările.

Nu trebuie să activați înregistrarea publică dacă doriți să permiteți doar unui număr mic de persoane să acceseze site-ul dvs.

Doar creați manual conturi de utilizator. Asigurați-vă că nu au acces de administrator.

> Dezactivați înregistrarea utilizatorului

Pentru a dezactiva înregistrarea spam, accesați tabloul de bord WordPress, apoi navigați la Setare > General .

În pagina Setări generale , derulați în jos la opțiunea de membru și debifați caseta „Oricine se poate înregistra” .

Dezactivați înregistrarea utilizatorului pentru a evita pe nimeni să se înregistreze

WordPress are o adresă URL implicită a paginii de înregistrare, care arată astfel: https://example.com/wp-login.php?action=register

După ce dezactivați spam-ul de înregistrare, încercarea de a deschide pagina de înregistrare afișează următorul mesaj:

"Inregistrarea utilizatorilor nu este momentan permisa."

Ecranul de conectare va afișa „Înregistrarea utilizatorului nu este permisă”

Sfat pro: Nu uitați să ștergeți utilizatorii falși deja înregistrați pe site-ul dvs. Verificați e-mailurile utilizatorilor cu ajutorul următoarelor instrumente: Hunter , VerifyEmailAddress și Email-Checker . De asemenea, verificați dacă adresele de e-mail conțin termeni precum inbox.imailfree.cc , mail.imailfree.cc . Dacă vreuna dintre adresele de e-mail este falsă, șterge-le de pe site-ul tău.

Acestea fiind spuse, dacă dezactivarea înregistrării publice nu este o opțiune, luați în considerare limitarea a ceea ce utilizatorii pot face pe site-ul dvs.

> Setați rolurile de utilizator adecvate

Când hackerii obțin acces de utilizator la site-ul dvs. web, aceștia pot face foarte puțin dacă sunt limitați de rolurile lor de utilizator.

Într-un site web WordPress, există 6 roluri de utilizator. Fiecare vine cu capacități diferite. Administratorii au control total asupra site-ului. Editorii au voie să publice postări și să efectueze câteva funcții pe site. Colaboratorii și autorii pot modifica sau crea numai postări. Abonații își pot gestiona numai profilurile și pot citi toate postările și paginile. Nimic altceva.

Atâta timp cât utilizatorii care se înregistrează pe site-ul dvs. nu sunt administratori (sau super-administratori într-o instalare pe mai multe site-uri) și editor, ei nu pot publica conținut dăunător sau iniția funcții rău intenționate pe site-ul dvs.

Puteți citi mai multe despre rolurile utilizatorilor de aici – Roluri și capabilități ale utilizatorului WordPress.

Pentru a seta rolurile de utilizator pentru colaboratori sau autori sau abonați, accesați tabloul de bord WordPress.

Apoi navigați la Setări > General . În pagina de setări generale, căutați opțiunea New User Default Role .

Faceți ca Abonatul să fie rolul implicit al utilizatorului nou.

Din meniul derulant, alegeți colaboratori sau autori sau abonați.

Acestea fiind spuse, limitarea rolurilor de utilizator nu va împiedica înregistrările spam.

Pentru a opri complet spamurile de înregistrare, trebuie să:

  • Instalați un firewall
  • Implementați blocarea geografică
  • Implementați protecția reCAPTCHA
  • Implementați activarea prin e-mail
  • Schimbați adresa URL de înregistrare WordPress
  • Aplicați înregistrarea cu mai mulți factori
  • Activați protecția vasului cu miere
  • Activați aprobarea manuală

Probabil vă întrebați dacă trebuie să implementați toate măsurile. Dacă ați activat toate măsurile, utilizatorii vor trebui să treacă prin mai multe cercuri. Deci nu este recomandat.

În funcție de cât de grav este atacat site-ul dvs., va trebui să implementați măsurile pe care tocmai le-am enumerat.

Să presupunem că doriți să instalați un CAPTCHA pe pagina de înregistrare. Dar dacă primiți sute de înregistrări spam în scurtul interval de o săptămână, numai CAPTCHA va fi inadecvat. Va trebui să implementați și unele dintre celelalte măsuri de securitate WordPress.

1. Instalați un firewall

Firewall-ul este prima ta linie de apărare împotriva spam-ului.

Când este activat, orice trafic care vine pe site-ul dvs. trece mai întâi prin firewall.

Va verifica traficul față de depozitul său de adrese IP rău intenționate. Dacă firewall-ul identifică orice adresă IP ca fiind rău intenționată, aceasta este blocată imediat.

Firewall-ul ajută la prevenirea atacurilor de spam de înregistrare înainte ca acesta să ajungă pe site-ul dvs.

Pro:

  • Este automatizat și nu necesită operațiuni manuale.
  • Oferă protecție non-stop.
  • Poate oferi detalii de trafic care sunt utile pentru a vă securiza mai mult site-ul.

Contra:

  • Poate să nu recunoască și să blocheze un anumit trafic rău intenționat.
  • Poate bloca accidental traficul legitim.

Cum se implementează

Puteți utiliza un firewall precum MalCare. Tot ce trebuie să faceți este să vă înscrieți și să instalați pluginul pe site-ul dvs. Firewall-ul va fi activat automat.

Instalați pluginul de securitate MalCare pentru a evita spamul de înregistrare a utilizatorilor

MalCare oferă mai mult decât protecție non-stop. Puteți găsi informații despre traficul care a fost blocat, care include țara de origine, adresa URL pe care hackerii încercau să o acceseze, adresa lor IP etc.

Jurnalul de trafic pe MalCare

Astfel de informații sunt utile pentru întărirea în continuare a securității site-ului dvs. web. De exemplu, dacă primiți prea multe solicitări de trafic necorespunzătoare dintr-o anumită țară, puteți bloca întreaga țară.

2. Implementați geo-blocarea

Blocarea geografică se referă la blocarea întregii țări de la accesarea site-ului dvs.

Acest lucru va preveni atât traficul rău intenționat, cât și traficul legitim din țara pe care ați blocat-o.

Prin urmare, trebuie să vă asigurați că traficul din acea țară nu este valoros pentru dvs.

Pro:

  • Reduce semnificativ spamul de înregistrare rău intenționat.

Contra:

  • Blochează traficul legitim.
  • Hackerii pot folosi în continuare un VPN și vă pot accesa site-ul.

Cum se implementează

Există plugin-uri care vă pot ajuta să implementați geoblocking, dar dacă utilizați firewall-ul MalCare, puteți consulta jurnalul de trafic pentru a afla de unde provine cea mai mare parte a traficului blocat.

Implementați blocarea geografică pentru a preveni înregistrarea utilizatorilor dintr-o țară.

Apoi, puteți utiliza și blocarea geografică MalCare pentru a bloca acea țară. Iată un ghid care vă va ajuta să realizați acest lucru – Cum să implementați geo-blocarea?

3. Implementați protecția reCAPTCHA

Hackerii proiectează roboți pentru a efectua înregistrări ale utilizatorilor spam.

reCAPTCHA este un test folosit pentru a deosebi oamenii și roboții.

Implementați protecția Captcha

La început, aceste teste au fost bazate pe text. Boții au evoluat și au putut în curând să le rezolve. Acum este obișnuit să vezi un reCAPTCHA în care trebuie să bifezi o casetă pentru a confirma că nu ești om. Apoi vi se servesc câteva imagini din care să alegeți.

protecție captcha

Boții nu pot vedea imagini și, prin urmare, nu pot rezolva reCAPTCHA.

Adăugarea protecției reCAPTCHA la formularul de înregistrare va evita roboții care încearcă să se înregistreze pe site-ul dvs.

Pro:

  • Înregistrările utilizatorilor nu sunt create în baza de date decât dacă provocarea este trecută.

Contra:

  • Aveți nevoie de ajutorul Google pentru a configura reCAPTCHA. Dacă Google decide să oprească serviciul, va trebui să căutați noi modalități de a preveni spam-ul de înregistrare.

Cum se implementează

1. Descărcați și instalați Invisible reCaptcha pentru WordPress pe site-ul dvs. web.

2. Apoi deschideți această adresă URL – https://www.google.com/recaptcha/intro/invisible.html?ref=producthunt și conectați-vă la contul dvs. Google.

3. Înregistrați-vă site-ul.

Folosește google recaptcha

4. Google vă va oferi o cheie de site și o cheie secretă. Copiați-le.

Obțineți cheia de site captcha Google

5. Accesați tabloul de bord WordPress și navigați la Setare > ReCAPTCHA invizibil și introduceți cheile.

recaptcha invizibil

6. Apoi, din aceeași pagină, accesați WordPress și selectați Activare înregistrare din protecție .

setări invizibile recaptcha

Asta e, oameni buni.

4. Activați Honey Pot Protection

Honey Pot este o modalitate ingenioasă de a proteja formularul de înregistrare.

Boții sunt proiectați să completeze toate câmpurile dintr-un formular.

În această metodă, unele câmpuri din formular nu pot fi completate deoarece sunt invizibile pentru utilizator.

Spre deosebire de oameni, boții completează câmpurile citind codul sursă al paginii. Așa că ajung să umple câmpurile invizibile.

Folosind metoda de protecție a vasului cu miere puteți identifica cu ușurință roboții și îi puteți bloca prompt.

Pro:

  • Cel mai eficient mod de a identifica și bloca spamboții.

Contra:

  • Nu pot opri hackerii care se înregistrează manual pe site-ul tău.
  • Blochează software-ul de citire a ecranului care completează automat formularele.
  • Blochează utilizatorii cu deficiențe de vedere.

Cum se implementează

Unele formulare personalizate, cum ar fi Formidable Forms și creatorii de site-uri web precum Elementor, vin cu opțiuni încorporate pentru Honeypot. Dar trebuie să fii abonat premium pentru a le accesa. Cu toate acestea, există pluginuri dedicate, cum ar fi Clean Login, care vă vor ajuta să activați honeypot.

1. Descărcați și instalați Clean Login pe site-ul dvs. WordPress. Protecția Honeypot va fi activată în mod implicit.

Instalați autentificare curată pentru a activa protecția antispam honeypot

5. Implementați activarea prin e-mail

După ce a sărit atâtea cercuri, dacă cineva reușește să vină atât de departe să se înregistreze, atunci e semn bun. Cel mai probabil, utilizatorul nu este un bot. Dar poate fi totuși un hacker.

Metoda de verificare a e-mailului constă în trimiterea utilizatorilor a unui link în adresa de e-mail pe care au folosit-o pentru a se înregistra. Deschiderea linkului va activa contul de utilizator.

Dacă este o adresă de e-mail falsă, ei nu pot activa contul. Contul va fi plasat în modul în așteptare pe care îl puteți șterge manual.

Pro:

  • Verifică dacă adresa de e-mail există.

Contra:

  • E-mailurile pot ajunge în dosarul de spam și pot rămâne nevăzute.
  • Înregistrările utilizatorilor sunt stocate în baza de date chiar dacă nu sunt activate.

Cum se implementează

Există multe plugin-uri care vă vor permite să impuneți verificările prin e-mail. Unele sunt plugin-uri de formulare dedicate, care le plac Gravity Forms și Formidable Forms, dar de obicei acceptă funcții de înregistrare în versiunea premium.

Dacă utilizați deja un plugin de formular personalizat, atunci probabil că oferă verificări de e-mail.

Alternativ, puteți utiliza pluginuri concepute special pentru verificări de e-mail, cum ar fi Verificarea utilizatorului.

1. Descărcați și activați pluginul de verificare a utilizatorului.

2. Pe tabloul de bord WordPress, accesați Utilizator > Verificare utilizator .

3. În pagina Setări de verificare a utilizatorului, există o opțiune numită Activare verificare e-mail . Selectați Da pentru a impune verificarea e-mailului.

Activați verificarea e-mailului pentru utilizatorii care se înregistrează recent

Puteți utiliza pluginul de verificare a utilizatorului pentru a aplica și reCAPTCHA.

setările de verificare a utilizatorului

6. Schimbați URL-ul de înregistrare WordPress

O altă măsură de securitate pe care o puteți lua este să schimbați adresa URL a paginii de înregistrare.

Pagina implicită de înregistrare WordPress se află la https://example.com/wp-login.php?action=register

Hackerii programează roboți pentru a căuta acest link. Deci, o modalitate afectată de a împiedica înregistrarea roboților este mutarea paginii la o adresă URL personalizată.

Pagina de înregistrare face parte din pagina dvs. de autentificare. Schimbarea adresei URL de conectare vă va permite să schimbați pagina de înregistrare.

Pro:

  • Împiedică hackerii și roboții să găsească pagina de înregistrare.

Contra:

  • Vizitatorii legitimi nu vor putea găsi pagina de înregistrare dacă au încercat să deschidă adresa URL direct. Îi va descuraja să se înregistreze.

Cum se implementează

1. Descărcați și activați pagina WPS Hide Login.

2. Accesați înregistrarea WordPress și navigați la Setări > WPS Ascundere autentificare .

3. În opțiunea URL de conectare , introduceți noua adresă URL. Asigurați-vă că este ceva unic pe care nimeni nu îl poate ghici.

wps ascunde autentificarea

Spuneți dacă noua dvs. adresă URL este https://example.com/nowornever

Noua pagină de înregistrare va fi localizată la https://example.com/nowornever?action=register

4. În URL-ul de redirecționare , introduceți o eroare precum 404 sau 503.

Oricine încearcă să acceseze pagina de conectare folosind adresa URL implicită de conectare (https://example.com/wp-login.php) va fi redirecționat către această adresă URL (https://example.com/404).

7. Aplicați înregistrarea cu mai mulți factori

Implementarea înregistrării multifactoriale oferă un al doilea nivel de protecție. De exemplu, dacă aveți CAPTCHA instalat pe formular, puteți solicita utilizatorului să valideze și prin SMS sau aplicație.

Aceasta înseamnă că utilizatorii vor trebui să-și folosească smartphone-urile pentru a se înregistra.

Va opri roboții pe calea lor. Și dacă hackerii încearcă să se înregistreze manual, ei pot înregistra un singur cont cu un număr de telefon. Acest lucru le va încetini activitățile de înregistrare spam.

Pro:

  • Înregistrările utilizatorilor nu sunt create în baza de date decât dacă se înregistrează.

Contra:

  • Prea mulți pași pentru înregistrare.
  • Utilizatorii pot fi sceptici cu privire la partajarea numerelor de telefon.

Cum se implementează

1. Descărcați și activați pluginul MiniOrange OTP Verification pe site-ul dvs. web.

2. Pe tabloul de bord WordPress, navigați la Verificare OTP .

3. Înregistrați-vă la MiniOrange.

înregistrare miniorange

4. Accesați Formulare și selectați Formulare de înregistrare implicite WordPress .

formular de înregistrare tml

5. Apoi, bifați caseta de lângă Formular de înregistrare implicit / TML WordPress. Va apărea un meniu derulant. Selectați Activați verificările telefonului > Nu permiteți utilizatorilor să folosească același număr de telefon pentru mai multe conturi .

Nu uitați să selectați Salvare setări .

activați verificarea telefonică

Asta este. Utilizatorii vor trebui să-și folosească numărul de telefon pentru a se înregistra.

8. Activați aprobarea manuală

Puteți aproba manual utilizatorii care se înregistrează pe site-ul dvs. WordPress. Nu există nicio opțiune implicită care să vă permită să faceți acest lucru. Dar cu ajutorul unui plugin, puteți activa aprobarea administratorului.

Când cineva se înregistrează pe site-ul dvs., i se va afișa un mesaj care spune că trebuie să aștepte aprobarea de la administrator.

Administratorul este apoi notificat despre noua înscriere.

Administratorul verifică adresa de e-mail cu instrumente precum Hunter, VerifyEmailAddress și Email-Checker pentru a vedea dacă este un ID de e-mail fals. Aceștia aprobă sau refuză accesul noului utilizator la site.

Pro:

  • Utilizatorii care au reușit să depășească alte măsuri pot fi blocați cu aprobare manuală.

Contra:

  • Este o muncă obositoare și consumatoare de timp.
  • Pentru site-urile web care primesc zeci de înregistrări săptămânal, este imposibil să aprobi manual atât de multe înregistrări.

Cum se implementează

1. Descărcați și activați pluginul Aprobare utilizator nou. Pluginul va începe să funcționeze imediat. Oricine se înregistrează pe site-ul dvs. web va trebui să aștepte aprobarea manuală.

2. Pentru a aproba manual noi utilizatori, trebuie să accesați Utilizatori > Neaprobat .

Activați aprobarea manuală a utilizatorilor nou înregistrați

Ce câștigă hackerii din spamurile de înregistrare WordPress

Ați auzit de grupuri teroriste care piratau site-urile web ale guvernului SUA și telefoanele celebrităților sunt invadate.

Este greu să te gândești la ce pot câștiga hackerii prin piratarea site-ului tău.

Există o serie de motive pentru care hackerii îți vor ataca site-ul, chiar dacă nu știu nimic despre tine sau despre ceea ce reprezintă.

Nu este personal, este afaceri.

Hackerii sunt interesați să obțină accesul utilizatorilor la site-ul dvs. pentru a efectua următoarele operațiuni:

  • Furnizați pastile false, porno, escrocherii și programe malware pentru venituri.
  • Creați backlink-uri către propriile site-uri web sau site-uri clienți.
  • Distrugeți-vă eforturile de SEO.
  • Furați informații despre utilizatori, cum ar fi adrese de e-mail, informații despre cardul de credit și dosare medicale.
  • Stocați filme, emisiuni TV și software piratate ilegale.

Acestea fiind spuse, obținerea accesului utilizatorilor la site-ul dvs. nu va permite hackerilor să efectueze aceste operațiuni.

Ei trebuie să aibă acces de administrator pentru a efectua unele dintre operațiuni precum stocarea fișierelor. Pentru alte operațiuni rău intenționate, cum ar fi distrugerea efortului SEO, au nevoie doar de acces la editor.

Accesul la site-ul nostru web împreună cu vulnerabilitățile din plugin și teme pot duce la încălcări majore de securitate. De exemplu, în trecut, vulnerabilitatea Formularului de contact 7 permitea abonaților să obțină acces de administrator.

  • Odată ce obțin un acces mai mare, vă pot redirecționa vizitatorii către site-uri web rău intenționate.
  • Ei pot publica o postare cu cuvinte cheie japoneze spam pentru a vă rula SEO.
  • Ei vă pot trimite spam paginilor cu nume de droguri ilegale în ceea ce numim hack-ul farmaceutic.

hack de cuvinte cheie japoneze

Chiar și utilizatorii cu acces limitat, cum ar fi un editor, pot modera comentariile. Ei pot aproba comentarii rău intenționate care vă vor compromite baza de date. Pentru a afla mai multe, consultați această postare WordPress SQL Injection pe care am creat-o.

Inutil să spun că impactul unui astfel de hack asupra site-ului tău web va fi urât.

Impactul spam-urilor de înregistrare WordPress pe site-ul dvs. web

Hackerii încearcă să acceseze site-ul dvs. fie pentru a vă folosi resursele, fie pentru a provoca haos. Iată cum vă dăunează site-ului:

  • Înregistrările utilizatorilor sunt stocate în baza de date. Sute de mesaje spam de înregistrare vă pot mări baza de date, ceea ce va face site-ul dvs. lent .
  • Clasamentul motoarelor dvs. de căutare poate fi afectat dacă utilizatorii postează conținut spam și redirecționează vizitatorii către site-uri diferite.
  • Vorbind despre redirecționare, vizitatorii dvs. sunt trimiși către site-uri web care vând droguri ilegale și site-uri pentru adulți. În unele cazuri, aceștia sunt forțați să descarce software pe computerul lor local. Acest lucru este rău pentru reputația ta .
  • Dacă obțin acces la informații de la alți utilizatori, cum ar fi detaliile cardului de credit și dosarele medicale, le pot vinde online și veți fi tras la răspundere pentru o încălcare a datelor .

lista neagra google

  • Atunci când serviciile de găzduire și motoarele de căutare află că site-ul tău este piratat, îți suspendă site-ul, îl marchează ca înșelător și, respectiv, îl pun pe lista neagră .
  • Curățarea unui site web piratat va fi o afacere costisitoare.

În mod clar, mesajele spam de înregistrare a noilor utilizatori WordPress nu trebuie luate cu ușurință.

Ce urmează?

Cu ajutorul ghidului nostru, suntem încrezători că veți putea preveni spamurile de înregistrare a utilizatorilor WordPress.

Dar numai blocarea spam-urilor înregistrărilor nu va împiedica hackerii să încerce să pătrundă în site-ul dvs.

Pentru a asigura securitatea completă a site-ului dvs., trebuie să instalați un plugin de securitate WordPress precum MalCare. Acesta va plasa un firewall între site-ul dvs. web și traficul de intrare. Acesta vă va proteja pagina de autentificare de atacurile de forță brută.

Acesta vă va scana site-ul web în fiecare zi și vă va ajuta să vă curățați site-ul instantaneu dacă este piratat.

Puteți lua măsuri de întărire a site-ului și backup-uri pentru site-urile WordPress.

Încercați pluginul nostru de securitate MalCare !