Как остановить регистрационный спам в WordPress — полное руководство

Опубликовано: 2023-04-19

Представьте себе это:

Вы хотите развивать свой сайт. Вы хотите больше клиентов и доходов.

Итак, вы разрабатываете план по улучшению контента и совершенствованию дизайна.

Вы добавляете больше CTA и позволяете своим пользователям подписываться и регистрироваться на вашем сайте!

Но вдруг вы обнаруживаете, что ваш сайт засыпают спамом, регистрируя пользователей с адресами электронной почты, содержащими inbox.imailfree.cc, mail.imailfree.cc.

Вместо того, чтобы развивать свой бизнес, вы тратите время на очистку от спама каждый день.

Вместо того, чтобы делать это, вы каждое утро очищаете спам-регистрацию пользователя.

Это должно расстраивать.

За последнее десятилетие у нас была возможность помочь клиентам, которые ежедневно справлялись с потоком спам-регистраций WordPress.

Так что не волнуйтесь, какой бы плохой ни была ситуация, мы поможем вам вернуть ваше время. После прочтения этой статьи вы сможете вернуться к развитию своего бизнеса и увеличению доходов.

Вкратце: чтобы остановить регистрационный спам в WordPress, вам нужно принять несколько мер. Сначала установите брандмауэр , внедрите геоблокировку, затем включите reCAPTCHA. Если эти меры не остановят регистрационный спам полностью, попробуйте применить все перечисленные ниже меры.

Прежде чем углубляться в методы предотвращения, если вы хотите понять , почему хакеры вообще рассылают регистрационный спам , перейдите в этот раздел.

А если вы хотите узнать, как регистрационный спам может повлиять на ваш сайт , перейдите в этот раздел.

Как заблокировать регистрационный спам WordPress?

Вот мысль:

Вместо того, чтобы предотвращать регистрационный спам, почему бы не отключить регистрацию.

Вам не нужно включать публичную регистрацию, если вы хотите разрешить доступ к вашему сайту только небольшому количеству людей.

Просто создайте учетные записи пользователей вручную. Убедитесь, что им не предоставлен доступ администратора.

> Отключить регистрацию пользователей

Чтобы отключить спам-регистрацию, перейдите на панель управления WordPress, затем перейдите в «Настройки» > «Основные» .

На странице «Общие настройки» прокрутите вниз до параметра «Членство » и снимите флажок «Любой может зарегистрироваться» .

Отключить регистрацию пользователей, чтобы никто не мог зарегистрироваться

WordPress имеет URL-адрес страницы регистрации по умолчанию, который выглядит так: https://example.com/wp-login.php?action=register.

После отключения регистрационного спама при попытке открыть страницу регистрации появляется следующее сообщение:

«Регистрация пользователя в настоящее время не разрешена».

На экране входа будет написано «Регистрация пользователя не разрешена».

Совет для профессионалов: не забудьте удалить поддельных пользователей, уже зарегистрированных на вашем сайте. Проверяйте электронную почту своих пользователей с помощью следующих инструментов: Hunter , VerifyEmailAddress и Email-Checker . Также проверьте, содержат ли адреса электронной почты такие термины, как inbox.imailfree.cc , mail.imailfree.cc . Если какой-либо из адресов электронной почты является поддельным, удалите их со своего сайта.

Тем не менее, если отключение публичной регистрации невозможно, рассмотрите возможность ограничения того, что пользователи могут делать на вашем веб-сайте.

> Установите правильные роли пользователей

Когда хакеры получают доступ пользователей к вашему веб-сайту, они мало что могут сделать, если они ограничены своими ролями пользователей.

На веб-сайте WordPress существует 6 ролей пользователей. Каждый поставляется с различными возможностями. Администрация имеет полный контроль над сайтом. Редакторам разрешено публиковать сообщения и выполнять некоторые функции на веб-сайте. Участники и авторы могут только изменять или создавать сообщения. Подписчики могут только управлять своими профилями и читать все сообщения и страницы. Ничего больше.

Пока пользователи, регистрирующиеся на вашем веб-сайте, не являются администраторами (или суперадминистраторами в многосайтовой установке) и редакторами, они не могут публиковать вредоносный контент или инициировать вредоносные функции на вашем веб-сайте.

Вы можете узнать больше о ролях пользователей здесь — Роли пользователей и возможности WordPress.

Чтобы назначить роли пользователей участникам, авторам или подписчикам, перейдите на панель инструментов WordPress.

Затем перейдите в «Настройки» > «Основные» . На странице общих настроек найдите параметр «Новая роль пользователя по умолчанию» .

Сделайте подписчика новой ролью пользователя по умолчанию.

В раскрывающемся меню выберите участников, авторов или подписчиков.

Тем не менее, ограничение ролей пользователей не предотвратит регистрацию спама.

Чтобы полностью прекратить регистрационный спам, вам необходимо:

  • Установите брандмауэр
  • Внедрить геоблокировку
  • Реализовать reCAPTCHA-защиту
  • Принудительная активация по электронной почте
  • Изменить URL-адрес регистрации WordPress
  • Принудительная многофакторная регистрация
  • Включить защиту медового горшка
  • Включить одобрение вручную

Вы, вероятно, задаетесь вопросом, нужно ли вам выполнять все меры. Если вы включили все меры, пользователям придется прыгать через несколько обручей. Так что это не рекомендуется.

В зависимости от того, насколько сильно ваш веб-сайт подвергается атаке, вам необходимо будет принять меры, которые мы только что перечислили.

Допустим, вы хотите установить CAPTCHA на странице регистрации. Но если вы получаете сотни спам-регистраций в течение короткого промежутка недели, одной CAPTCHA будет недостаточно. Вам также придется реализовать некоторые другие меры безопасности WordPress.

1. Установите брандмауэр

Брандмауэр — это ваша первая линия защиты от спама.

Если этот параметр включен, любой трафик, поступающий на ваш сайт, сначала проходит через брандмауэр.

Он будет проверять трафик по своему хранилищу вредоносных IP-адресов. Если брандмауэр идентифицирует какой-либо IP-адрес как вредоносный, он немедленно блокируется.

Брандмауэр помогает предотвратить атаки регистрационного спама до того, как он попадет на ваш сайт.

Плюсы:

  • Он автоматизирован и не требует ручных операций.
  • Обеспечивает круглосуточную защиту.
  • Может предлагать сведения о трафике, которые помогут обеспечить дополнительную безопасность вашего сайта.

Минусы:

  • Может не распознать и заблокировать некоторый вредоносный трафик.
  • Может случайно заблокировать законный трафик.

Как реализовать

Вы можете использовать брандмауэр, такой как MalCare. Все, что вам нужно сделать, это зарегистрироваться и установить плагин на свой сайт. Брандмауэр будет включен автоматически.

Установите подключаемый модуль безопасности MalCare, чтобы избежать спама при регистрации пользователей.

MalCare предлагает больше, чем круглосуточную защиту. Вы можете найти информацию о заблокированном трафике, включая страну происхождения, URL-адрес, к которому пытались получить доступ хакеры, их IP-адрес и т. д.

Журнал трафика на MalCare

Такая информация полезна для дальнейшего усиления безопасности вашего веб-сайта. Например, если вы получаете слишком много плохих запросов трафика из определенной страны, вы можете заблокировать всю страну.

2. Внедрите геоблокировку

Геоблокировка означает блокировку доступа всей страны к вашему веб-сайту.

Это предотвратит как вредоносный, так и законный трафик из страны, которую вы заблокировали.

Поэтому вам нужно убедиться, что трафик из этой конкретной страны не представляет для вас ценности.

Плюсы:

  • Значительно снижает вредоносный регистрационный спам.

Минусы:

  • Блокирует легитимный трафик.
  • Хакеры по-прежнему могут использовать VPN и получить доступ к вашему сайту.

Как реализовать

Существуют плагины, которые могут помочь вам реализовать геоблокировку, но если вы используете брандмауэр MalCare, вы можете просмотреть журнал трафика, чтобы узнать, откуда исходит большая часть заблокированного трафика.

Внедрите геоблокировку, чтобы предотвратить регистрацию пользователей из страны.

Затем вы также можете использовать геоблокировку MalCare, чтобы заблокировать эту страну. Вот руководство, которое поможет вам в этом: как внедрить геоблокировку?

3. Внедрите защиту reCAPTCHA

Хакеры создают ботов для регистрации спамеров.

reCAPTCHA — это тест, используемый для различения людей и ботов.

Внедрить защиту от капчи

Сначала эти тесты были текстовыми. Боты развивались и вскоре смогли их решить. Теперь часто можно увидеть reCAPTCHA, где вам нужно установить флажок, чтобы подтвердить, что вы не человек. Затем вам предлагается несколько изображений на выбор.

защита от капчи

Боты не могут видеть изображения и, следовательно, не могут решать reCAPTCHA.

Добавление защиты reCAPTCHA в регистрационную форму защитит от ботов, пытающихся зарегистрироваться на вашем сайте.

Плюсы:

  • Записи о пользователях не создаются в базе данных до тех пор, пока вызов не будет пройден.

Минусы:

  • Вам нужна помощь Google для настройки reCAPTCHA. Если Google решит остановить службу, вам нужно будет искать новые способы предотвращения регистрационного спама.

Как реализовать

1. Скачайте и установите Invisible reCaptcha для WordPress на свой сайт.

2. Затем откройте этот URL-адрес — https://www.google.com/recaptcha/intro/invisible.html?ref=producthunt и войдите в свою учетную запись Google.

3. Зарегистрируйте свой сайт.

Используйте гугл-рекаптчу

4. Google предоставит вам ключ сайта и секретный ключ. Скопируйте их.

Получить ключ сайта Google captcha

5. Перейдите на панель управления WordPress, перейдите в «Настройки» > «Невидимая reCAPTCHA» и введите ключи.

невидимая рекапча

6. Далее с той же страницы заходим в WordPress и выбираем Enable Registration From Protection .

невидимые настройки рекапчи

Вот и все, ребята.

4. Включите защиту Honey Pot

Honey Pot — оригинальный способ защитить регистрационную форму.

Боты предназначены для заполнения всех полей в форме.

В этом методе некоторые поля в форме не могут быть заполнены, потому что они невидимы для пользователя.

В отличие от людей, боты заполняют поля, читая исходный код страницы. Таким образом, они в конечном итоге заполняют невидимые поля.

Используя метод защиты Honey Pot, вы можете легко идентифицировать ботов и оперативно их блокировать.

Плюсы:

  • Самый эффективный способ выявления и блокировки спам-ботов.

Минусы:

  • Невозможно остановить хакеров, которые вручную регистрируются на вашем сайте.
  • Блокирует программное обеспечение для чтения с экрана, которое автоматически заполняет формы.
  • Блокирует пользователей с нарушениями зрения.

Как реализовать

Некоторые пользовательские формы, такие как Formidable Forms, и конструкторы веб-сайтов, такие как Elementor, поставляются со встроенными опциями для Honeypot. Но для доступа к ним нужно быть премиум-подписчиком. Однако существуют специальные плагины, такие как Clean Login, которые помогут вам включить приманку.

1. Загрузите и установите Clean Login на свой веб-сайт WordPress. Защита Honeypot будет включена по умолчанию.

Установите Clean Login, чтобы включить защиту от спама honeypot.

5. Принудительная активация по электронной почте

После стольких прыжков, если кому-то удается зайти так далеко, чтобы зарегистрироваться, то это хороший знак. Пользователь скорее всего не бот. Но это все еще может быть хакер.

Метод проверки электронной почты заключается в отправке пользователям ссылки на адрес электронной почты, который они использовали для регистрации. Открытие ссылки активирует учетную запись пользователя.

Если это поддельный адрес электронной почты, они не смогут активировать учетную запись. Учетная запись будет переведена в режим ожидания, который вы можете удалить вручную.

Плюсы:

  • Проверяет, существует ли адрес электронной почты.

Минусы:

  • Электронные письма могут попасть в папку со спамом и остаться незамеченными.
  • Регистрации пользователей сохраняются в базе данных, даже если они не активированы.

Как реализовать

Существует множество плагинов, которые позволят вам принудительно проверять электронную почту. Некоторые из них представляют собой специальные плагины для форм, такие как Gravity Forms и Formidable Forms, но обычно они поддерживают функции регистрации в премиум-версии.

Если вы уже используете плагин настраиваемых форм, то он, вероятно, предлагает проверку электронной почты.

В качестве альтернативы вы можете использовать плагины, разработанные специально для проверки электронной почты, такие как проверка пользователя.

1. Загрузите и активируйте плагин проверки пользователя.

2. На панели инструментов WordPress выберите Пользователь > Проверка пользователя .

3. На странице «Настройки проверки пользователя» есть параметр « Включить проверку электронной почты» . Выберите Да , чтобы принудительно подтвердить адрес электронной почты.

Включить проверку электронной почты для новых регистрирующихся пользователей

Вы также можете использовать плагин проверки пользователей для принудительного применения reCAPTCHA.

настройки проверки пользователя

6. Изменить URL-адрес регистрации WordPress

Еще одна мера безопасности, которую вы можете предпринять, — это изменить URL-адрес вашей страницы регистрации.

Страница регистрации WordPress по умолчанию находится по адресу https://example.com/wp-login.php?action=register.

Хакеры программируют ботов на поиск этой ссылки. Таким образом, эффективным способом предотвращения регистрации ботов является перемещение страницы по пользовательскому URL-адресу.

Страница регистрации является частью вашей страницы входа. Изменение URL-адреса для входа позволит вам изменить страницу регистрации.

Плюсы:

  • Не позволяет хакерам и ботам найти страницу регистрации.

Минусы:

  • Законные посетители не смогут найти страницу регистрации, если попытаются открыть URL-адрес напрямую. Это отпугнет их от регистрации.

Как реализовать

1. Загрузите и активируйте страницу входа в WPS Hide.

2. Перейдите к своей регистрации WordPress и перейдите в «Настройки» > «WPS Hide Login» .

3. В поле URL-адрес входа введите новый URL-адрес. Убедитесь, что это что-то уникальное, о чем никто не может догадаться.

wps скрыть логин

Скажите, если ваш новый URL-адрес https://example.com/nowornever

Новая страница регистрации будет расположена по адресу https://example.com/nowornever?action=register.

4. В URL-адресе перенаправления введите ошибку, например 404 или 503.

Любой, кто попытается получить доступ к странице входа, используя URL-адрес входа по умолчанию (https://example.com/wp-login.php), будет перенаправлен на этот URL-адрес (https://example.com/404).

7. Обеспечьте многофакторную регистрацию

Внедрение многофакторной регистрации предлагает второй уровень защиты. Например, если у вас установлена ​​CAPTCHA в форме, вы также можете попросить пользователя подтвердить ее с помощью SMS или приложения.

Это означает, что пользователям придется использовать свои смартфоны для регистрации.

Это остановит ботов на их пути. И если хакеры пытаются зарегистрироваться вручную, они могут зарегистрировать только одну учетную запись с одним номером телефона. Это замедлит их деятельность по регистрации спама.

Плюсы:

  • Записи о пользователях не создаются в базе данных, пока они не зарегистрируются.

Минусы:

  • Слишком много шагов для регистрации.
  • Пользователи могут скептически относиться к обмену телефонными номерами.

Как реализовать

1. Загрузите и активируйте плагин MiniOrange OTP Verification на своем веб-сайте.

2. На панели инструментов WordPress перейдите к OTP Verification .

3. Зарегистрируйтесь в MiniOrange.

регистрация

4. Перейдите в раздел «Формы» и выберите «Формы регистрации WordPress по умолчанию» .

tml регистрационная форма

5. Затем установите флажок рядом с Регистрационной формой WordPress по умолчанию / TML. Появится раскрывающийся список. Выберите «Включить проверку телефона » > «Не разрешать пользователям использовать один и тот же номер телефона для нескольких учетных записей» .

Не забудьте выбрать Сохранить настройки .

включить проверку телефона

Вот и все. Пользователи должны будут использовать свой номер телефона для регистрации.

8. Включите ручное одобрение

Вы можете вручную утвердить пользователей, которые регистрируются на вашем сайте WordPress. Нет опции по умолчанию, которая позволяет вам сделать это. Но с помощью плагина вы можете включить одобрение администратора.

Когда кто-то регистрируется на вашем сайте, ему будет показано сообщение о том, что ему нужно дождаться одобрения администратора.

Затем администратор уведомляется о новой регистрации.

Администратор проверяет адрес электронной почты с помощью таких инструментов, как Hunter, VerifyEmailAddress и Email-Checker, чтобы убедиться, что это поддельный идентификатор электронной почты. Они одобряют или запрещают доступ нового пользователя к веб-сайту.

Плюсы:

  • Пользователи, которым удалось обойти другие меры, могут быть заблокированы вручную.

Минусы:

  • Это трудоемкая и утомительная работа.
  • Для веб-сайтов, еженедельно получающих десятки регистраций, невозможно вручную утвердить такое количество регистраций.

Как реализовать

1. Загрузите и активируйте плагин New User Approve. Плагин начнет работать сразу. Любой, кто зарегистрируется на вашем веб-сайте, должен будет дождаться одобрения вручную.

2. Чтобы вручную утвердить новых пользователей, вам нужно перейти в раздел Пользователи > Неутвержденные .

Включить ручное одобрение вновь зарегистрированных пользователей

Что хакеры получают от регистрационного спама WordPress

Вы слышали о террористических группах, взламывающих правительственные веб-сайты США и взламывающих телефоны знаменитостей.

Трудно представить, что хакеры могут получить, взломав ваш сайт.

Есть ряд причин, по которым хакеры атакуют ваш сайт, даже если они ничего не знают о вас и о том, за что вы выступаете.

Это не личное, это бизнес.

Хакеры заинтересованы в получении пользователем доступа к вашему сайту для выполнения следующих операций:

  • Продавайте поддельные таблетки, порнографию, мошенничество и вредоносное ПО для получения дохода.
  • Создавайте обратные ссылки на свои собственные веб-сайты или сайты клиентов.
  • Разрушьте свои усилия по SEO.
  • Украсть информацию о пользователях, такую ​​как адреса электронной почты, информацию о кредитных картах и ​​медицинские записи.
  • Храните нелегальные пиратские фильмы, телепередачи и программное обеспечение.

Тем не менее, получение пользователем доступа к вашему веб-сайту само по себе не позволит хакерам выполнять эти операции.

Им необходимо иметь доступ администратора для выполнения некоторых операций, таких как хранение файлов. Для других вредоносных операций, таких как разрушение ваших усилий по SEO, им просто нужен доступ редактора.

Доступ к нашему веб-сайту в сочетании с уязвимостями в плагине и темах может привести к серьезным нарушениям безопасности. Например, в прошлом уязвимость Contact Form 7 позволяла подписчикам получить доступ администратора.

  • Получив более высокий доступ, они могут перенаправить ваших посетителей на вредоносные веб-сайты.
  • Они могут опубликовать сообщение со спамными ключевыми словами на японском языке, чтобы запустить ваше SEO.
  • Они могут спамить ваши страницы названиями незаконных наркотиков, что мы называем хакерской атакой.

взломать японское ключевое слово

Даже пользователи с ограниченным доступом, такие как редактор, могут модерировать комментарии. Они могут одобрять вредоносные комментарии, которые могут поставить под угрозу вашу базу данных. Чтобы узнать больше, ознакомьтесь с этой публикацией WordPress SQL Injection, которую мы составили.

Излишне говорить, что влияние такого взлома на ваш сайт будет ужасным.

Влияние регистрационного спама WordPress на ваш сайт

Хакеры пытаются получить доступ к вашему веб-сайту либо для использования ваших ресурсов, либо для создания хаоса. Вот как они вредят вашему сайту:

  • Регистрации пользователей хранятся в базе данных. Сотни регистрационных спамов могут переполнить вашу базу данных, что замедлит работу вашего сайта .
  • Ваш рейтинг в поисковых системах может пострадать , если пользователи будут размещать спам и перенаправлять посетителей на другие сайты.
  • Говоря о перенаправлении, ваши посетители перенаправляются на сайты, продающие запрещенные наркотики, и сайты для взрослых. В некоторых случаях они вынуждены загружать программное обеспечение на свой локальный компьютер. Это плохо для вашей репутации .
  • Если они получат доступ к информации от других пользователей, такой как данные кредитной карты и медицинские записи, они могут продать ее в Интернете, и вы будете нести ответственность за утечку данных .

черный список гугл

  • Когда хостинг-провайдеры и поисковые системы узнают, что ваш сайт взломан, они приостанавливают работу вашего сайта, отмечают его как вводящий в заблуждение и соответственно заносят в черный список .
  • Очистка взломанного веб-сайта будет дорогостоящим делом.

Ясно, что к спаму при регистрации новых пользователей WordPress нельзя относиться легкомысленно.

Что дальше?

Мы уверены, что с помощью нашего руководства вы сможете предотвратить спам при регистрации пользователей WordPress.

Но само по себе блокирование регистрационного спама не помешает хакерам взломать ваш сайт.

Чтобы обеспечить полную безопасность вашего веб-сайта, вам необходимо установить плагин безопасности WordPress, такой как MalCare. Он установит брандмауэр между вашим сайтом и входящим трафиком. Это защитит вашу страницу входа в систему от атак грубой силы.

Он будет ежедневно сканировать ваш веб-сайт и поможет вам мгновенно очистить его, если он взломан.

Вы можете принять меры по защите сайта и создать резервные копии для веб-сайтов WordPress.

Попробуйте наш плагин безопасности MalCare !