如何阻止 WordPress 注册垃圾邮件 - 完整指南

已发表: 2023-04-19

想象一下:

你想发展你的网站。 您想要更多的客户和收入。

因此,您制定了一个计划来改进您的内容并完善您的设计。

您添加更多 CTA 并使您的用户能够在您的网站上订阅和注册!

但是您突然发现您的站点被垃圾邮件用户注册轰炸,这些用户注册的电子邮件地址包含 inbox.imailfree.cc、mail.imailfree.cc。

您每天都在花时间清理大量垃圾邮件,而不是发展您的业务。

您没有这样做,而是每天早上都在清理垃圾用户注册。

那一定很令人沮丧。

在过去的十年中,我们有机会帮助每天管理大量垃圾邮件 WordPress 注册的客户。

所以不用担心,无论情况多么糟糕,我们都会帮助您收回时间。 阅读本文后,您可以重新专注于发展业务和创造更多收入。

TL;DR:要阻止 WordPress 注册垃圾邮件,您需要采取一些措施。 首先,安装防火墙实施地理封锁,然后启用 reCAPTCHA。 如果这些措施不能完全阻止注册垃圾邮件,请尝试实施下面列出的所有措施。

在深入了解预防方法之前,如果您想了解黑客为什么首先进行注册垃圾邮件,请跳至本节。

如果您想了解注册垃圾邮件如何影响您的网站,请转到此部分。

如何阻止 WordPress 注册垃圾邮件?

这是一个想法:

为什么不禁用注册而不是防止注册垃圾邮件。

如果您只想允许少数人访问您的站点,则无需启用公共注册

只需手动创建用户帐户。 确保他们没有获得管理员访问权限。

> 禁用用户注册

要禁用垃圾邮件注册,请转到您的 WordPress 仪表板,然后导航至设置 > 常规

“常规设置”页面中,向下滚动到“会员资格”选项并取消选中“任何人都可以注册”框。

禁用用户注册以避免任何人注册

WordPress 有一个默认的注册页面 URL,如下所示:https://example.com/wp-login.php?action=register

禁用注册垃圾邮件后,尝试打开注册页面会抛出以下消息:

“现在不允许用户注册。”

登录屏幕会显示“不允许用户注册”

专业提示:不要忘记删除已在您网站上注册的虚假用户。 借助以下工具检查他们的用户电子邮件: Hunter VerifyEmailAddressEmail-Checker 还要检查电子邮件地址是否包含 inbox.imailfree.cc 、 mail.imailfree.cc 等条款 如果任何电子邮件地址是假的,请将其从您的站点中删除。

也就是说,如果禁用公共注册不是一个选项,那么请考虑限制用户可以在您的网站上执行的操作。

> 设置适当的用户角色

当黑客获得您网站的用户访问权限时,如果他们受到用户角色的限制,他们将无能为力。

在 WordPress 网站中,有 6 个用户角色。 每个都有不同的功能。 管理员可以完全控制网站。 允许编辑在网站上发布帖子并执行一些功能。 贡献者和作者只能修改或创建帖子。 订阅者只能管理他们的个人资料并阅读所有帖子和页面。 没有其他的。

只要在您的网站上注册的用户不是管理员(或多站点安装中的超级管理员)和编辑,他们就不能在您的网站上发布有害内容或启动恶意功能。

您可以从此处阅读有关用户角色的更多信息 – WordPress 用户角色和能力。

要将用户角色设置为贡献者或作者或订阅者,请转到您的 WordPress 仪表板。

然后导航到“设置”>“常规” 。 在常规设置页面中,查找选项New User Default Role

使订阅者成为新用户默认角色。

从下拉菜单中选择贡献者或作者或订阅者。

也就是说,限制用户角色不会阻止垃圾邮件注册。

要完全停止注册垃圾邮件,您必须:

  • 安装防火墙
  • 实施地理封锁
  • 实施 reCAPTCHA 保护
  • 强制激活电子邮件
  • 更改 WordPress 注册 URL
  • 强制执行多因素注册
  • 启用蜜罐保护
  • 启用手动批准

您可能想知道是否需要实施所有措施。 如果您确实启用了所有措施,用户将不得不跳过几个环节。 所以不推荐这样做。

根据您的网站受到攻击的严重程度,您将需要实施我们刚刚列出的措施。

假设您想在注册页面上安装验证码。 但是,如果您在短短一周内收到数百个垃圾邮件注册,仅靠 CAPTCHA 是不够的。 您还必须实施其他一些 WordPress 安全措施。

1.安装防火墙

防火墙是抵御垃圾邮件的第一道防线。

启用后,任何进入您网站的流量都会首先通过防火墙。

它会根据其恶意 IP 地址库检查流量。 如果防火墙将任何 IP 地址识别为恶意 IP 地址,则会立即将其阻止。

防火墙有助于防止注册垃圾邮件攻击到达您的网站之前。

优点:

  • 它是自动化的,不需要手动操作。
  • 提供全天候保护。
  • 可能会提供有助于进一步保护您的站点的流量详细信息。

缺点:

  • 可能无法识别和阻止某些恶意流量。
  • 可能会意外阻止合法流量。

如何实施

您可以使用像 MalCare 这样的防火墙。 您需要做的就是在您的网站上注册并安装插件。 防火墙将自动启用。

安装 MalCare 安全插件以避免用户注册垃圾邮件

MalCare 提供的不仅仅是全天候保护。 您可以找到有关被阻止的流量的信息,包括原产国、黑客试图访问的 URL、他们的 IP 地址等。

MalCare 上的流量日志

此类信息有助于进一步加强您网站的安全性。 例如,如果您收到来自特定国家/地区的过多不良流量请求,您可以阻止整个国家/地区。

2.实施地理封锁

地理封锁是指阻止整个国家访问您的网站。

这将防止来自您阻止的国家/地区的恶意和合法流量。

因此,您需要确保来自该特定国家/地区的流量对您没有价值。

优点:

  • 显着减少恶意注册垃圾邮件。

缺点:

  • 阻止合法流量。
  • 黑客仍然可以使用 VPN 访问您的网站。

如何实施

有一些插件可以帮助您实施地理封锁,但如果您使用 MalCare 的防火墙,您可以查看流量​​日志以找出大部分被阻止流量的来源。

实施地理封锁以防止来自某个国家/地区的用户注册。

然后,您还可以利用 MalCare 地理封锁来封锁该国家/地区。 这里有一个指南可以帮助您实现这一目标——如何实施​​地理封锁?

3. 实施 reCAPTCHA 保护

黑客设计机器人来执行垃圾用户注册。

reCAPTCHA 是一种用于区分人类和机器人的测试。

实施验证码保护

起初,这些测试是基于文本的。 机器人进化并很快能够解决它们。 现在经常会看到 reCAPTCHA,您需要在其中勾选一个框以确认您不是人类。 然后你会得到几张图片供你选择。

验证码保护

机器人无法看到图像,因此无法解决 reCAPTCHA。

向注册表单添加 reCAPTCHA 保护将抵御试图在您的网站上注册的机器人。

优点:

  • 除非挑战通过,否则不会在数据库中创建用户记录。

缺点:

  • 您需要 Google 的帮助来设置 reCAPTCHA。 如果 Google 决定停止该服务,您将需要寻找新的方法来防止注册垃圾邮件。

如何实施

1. 在您的网站上下载并安装适用于 WordPress 的 Invisible reCaptcha。

2. 然后打开此 URL – https://www.google.com/recaptcha/intro/invisible.html?ref=producthunt 并登录您的 Google 帐户。

3. 注册您的站点。

使用谷歌验证码

4. Google 会给你一个 Site Key 和一个 Secret Key。 复制它们。

获取谷歌验证码站点密钥

5. 转到您的 WordPress 仪表板并导航至设置 > 不可见 reCAPTCHA并输入密钥。

无形的recaptcha

6. 接下来,从同一页面转到WordPress,然后选择Enable Registration From Protection

不可见的 recaptcha 设置

就是这样,伙计们。

4.启用蜜罐保护

Honey Pot 是一种保护注册表单的巧妙方法。

机器人旨在填写表单上的所有字段。

在此方法中,表单中的某些字段无法填写,因为它们对用户不可见。

与人类不同,机器人通过阅读页面的源代码来填充字段。 所以他们最终填补了看不见的领域。

使用蜜罐防护方法,您可以轻松识别僵尸程序并及时阻止它们。

优点:

  • 识别和阻止垃圾邮件机器人的最有效方法。

缺点:

  • 无法阻止在您的网站上手动注册的黑客。
  • 阻止自动填写表格的屏幕阅读软件。
  • 阻止有视力障碍的用户。

如何实施

一些自定义表单(如 Formidable Forms)和网站构建器(如 Elementor)带有内置的蜜罐选项。 但是您需要成为高级订阅者才能访问它们。 但是,有专用插件(如 Clean Login)可以帮助您启用蜜罐。

1. 下载 Clean Login 并将其安装到您的 WordPress 网站中。 默认情况下将启用蜜罐保护。

安装 Clean Login 以启用蜜罐反垃圾邮件保护

5.强制激活电子邮件

在跳了这么多圈之后,如果有人设法跑这么远来注册,那是个好兆头。 用户很可能不是机器人。 但它仍然可以是黑客。

电子邮件验证方法包括向用户发送他们用于注册的电子邮件地址中的链接。 打开链接将激活用户帐户。

如果是假的电子邮件地址,他们将无法激活该帐户。 该帐户将处于挂起模式,您可以手动将其删除。

优点:

  • 验证电子邮件地址是否存在。

缺点:

  • 电子邮件可能会进入垃圾邮件文件夹,并且可能会被隐藏。
  • 即使未激活,用户注册也会存储在数据库中。

如何实施

有许多插件可以让您强制执行电子邮件验证。 有些是专用的表单插件,例如 Gravity Forms 和 Formidable Forms,但它们通常支持高级版本的注册功能。

如果您已经在使用自定义表单插件,那么它可能会提供电子邮件验证。

或者,您可以使用专门为电子邮件验证设计的插件,例如用户验证。

1. 下载并激活用户验证插件。

2. 在您的 WordPress 仪表板上,转到用户 > 用户验证

3. 在用户验证设置页面,有一个名为启用电子邮件验证的选项。 选择强制执行电子邮件验证。

为新注册用户启用邮箱验证

您也可以使用用户验证插件来执行 reCAPTCHA。

用户验证设置

6. 更改 WordPress 注册 URL

您可以采取的另一项安全措施是更改注册页面的 URL。

默认的 WordPress 注册页面位于 https://example.com/wp-login.php?action=register

黑客编程机器人来寻找这个链接。 因此,防止机器人注册的一种有效方法是将页面移动到自定义 URL。

注册页面是您登录页面的一部分。 更改登录 URL 将使您更改注册页面。

优点:

  • 防止黑客和机器人找到注册页面。

缺点:

  • 合法访问者如果尝试直接打开该 URL,将无法找到注册页面。 这会阻止他们注册。

如何实施

1. 下载并激活 WPS 隐藏登录页面。

2. 转到您的 WordPress 注册并导航至设置 > WPS 隐藏登录

3. 在登录 URL选项中,输入新的 URL。 确保它是独一无二的,没有人能猜到。

wps隐藏登录

假设您的新网址是 https://example.com/nowornever

新的注册页面将位于 https://example.com/nowornever?action=register

4. 在重定向 URL中,输入 404 或 503 等错误。

任何尝试使用默认登录 URL (https://example.com/wp-login.php) 访问登录页面的人都将被重定向到此 URL (https://example.com/404)。

7. 强制多因素注册

实施多因素注册提供了第二层保护。 例如,如果您在表单上安装了验证码,您也可以让用户通过短信或应用程序进行验证。

这意味着用户将不得不使用他们的智能手机进行注册。

它会阻止机器人上路。 如果黑客试图手动注册,他们只能用一个电话号码注册一个帐户。 这将减慢他们的垃圾邮件注册活动。

亲:

  • 除非注册,否则不会在数据库中创建用户记录。

缺点:

  • 注册步骤太多。
  • 用户可能对共享电话号码持怀疑态度。

如何实施

1. 在您的网站上下载并激活 MiniOrange OTP 验证插件。

2. 在您的 WordPress 仪表板上,导航至OTP 验证

3. 注册 MiniOrange。

注册小橙

4. 转到表格并选择WordPress 默认注册表格

注册表格

5. 接下来,选中 WordPress Default / TML Registration Form 旁边的框。 将出现一个下拉列表。 选择启用电话验证>不允许用户为多个帐户使用相同的电话号码

不要忘记选择保存设置

启用电话验证

就是这样。 用户必须使用他们的电话号码进行注册。

8.启用手动批准

您可以手动批准在您的 WordPress 网站上注册的用户。 没有默认选项可让您执行此操作。 但是借助插件,您可以启用管理员批准。

当有人在您的网站上注册时,他们会看到一条消息,说明他们需要等待管理员的批准。

然后管理员会收到有关新注册的通知。

管理员使用 Hunter、VerifyEmailAddress 和 Email-Checker 等工具检查电子邮件地址,看它是否是假电子邮件 ID。 他们批准或拒绝新用户访问该网站。

优点:

  • 可以通过手动批准阻止已设法通过其他措施的用户。

缺点:

  • 这是一项耗时且乏味的工作。
  • 对于每周接收数十个注册的网站,不可能手动批准这么多注册。

如何实施

1. 下载并激活新用户批准插件。 该插件将立即开始工作。 任何在您的网站上注册的人都必须等待人工批准。

2. 要手动批准新用户,您需要转到用户 > 未批准

启用手动批准新注册用户

黑客从 WordPress 注册垃圾邮件中获得了什么

你听说过恐怖组织入侵美国政府网站和名人电话。

很难想象黑客通过入侵您的网站可以获得什么。

黑客攻击您的网站的原因有很多,即使他们对您一无所知,也不了解您的立场。

这不是个人的,这是生意。

黑客有兴趣让用户访问您的网站以执行以下操作:

  • 贩卖假药、色情片、诈骗和恶意软件以获取收入。
  • 建立到他们自己的网站或客户网站的反向链接。
  • 毁了你的 SEO 努力。
  • 窃取用户信息,如电子邮件地址、信用卡信息和医疗记录。
  • 存储非法盗版电影、电视节目和软件。

也就是说,仅仅获得用户对您网站的访问权并不能使黑客实施这些操作。

他们需要拥有管理员权限才能执行某些操作,例如存储文件。 对于破坏您的 SEO 工作等其他恶意操作,他们只需要编辑器访问权限。

访问我们的网站以及插件和主题中的漏洞可能会导致重大安全漏洞。 例如,过去 Contact Form 7 漏洞允许订阅者获得管理员访问权限。

  • 一旦他们获得更高的访问权限,他们就可以将您的访问者重定向到恶意网站。
  • 他们可以发布带有垃圾日语关键字的帖子来运行您的 SEO。
  • 他们可以在您的网页上使用非法药物的名称向您的网页发送垃圾邮件,我们称之为制药黑客。

日语关键字黑客

即使像编辑这样访问权限有限的用户也可以审核评论。 他们可以批准会危及您的数据库的恶意评论。 要了解更多信息,请查看我们整理的这篇 WordPress SQL 注入帖子。

不用说,这种黑客攻击对您的网站的影响将是丑陋的。

WordPress 注册垃圾邮件对您网站的影响

黑客试图访问您的网站以利用您的资源或造成混乱。 以下是它们如何损害您的网站:

  • 用户注册存储在数据库中。 数以百计的注册垃圾邮件会扩充您的数据库,从而使您的网站变慢
  • 如果用户发布垃圾内容并将访问者重定向到不同的站点,您的搜索引擎排名可能会受到影响
  • 说到重定向,您的访问者被发送到销售非法药物的网站和成人网站。 在某些情况下,他们被迫将软件下载到本地计算机上。 这对您的声誉不利
  • 如果他们可以访问其他用户的信息,例如信用卡详细信息和医疗记录,他们可以在线出售这些信息,您将对数据泄露承担责任

谷歌黑名单

  • 当托管服务和搜索引擎发现您的网站被黑客入侵时,他们会暂停您的网站,将其标记为具有欺骗性并分别将其列入黑名单
  • 清理被黑网站将是一件昂贵的事情。

显然,不应掉以轻心对待 WordPress 新用户注册垃圾邮件。

接下来是什么?

在我们指南的帮助下,我们相信您将能够防止 WordPress 用户注册垃圾邮件。

但是仅仅阻止注册垃圾邮件并不能阻止黑客试图侵入您的网站。

为了确保您网站的完全安全,您需要安装一个 WordPress 安全插件,例如 MalCare。 它会在您的网站和传入流量之间放置防火墙。 它将保护您的登录页面免受暴力攻击。

它会每天扫描您的网站,并在网站被黑时帮助您立即清理网站。

您可以对 WordPress 网站采取站点加固措施和备份。

试用我们的MalCare 安全插件