如何阻止 WordPress 註冊垃圾郵件 - 完整指南

已發表: 2023-04-19

想像一下:

你想發展你的網站。 您想要更多的客戶和收入。

因此,您制定了一個計劃來改進您的內容並完善您的設計。

您添加更多 CTA 並使您的用戶能夠在您的網站上訂閱和註冊!

但是您突然發現您的站點被垃圾郵件用戶註冊轟炸,這些用戶註冊的電子郵件地址包含 inbox.imailfree.cc、mail.imailfree.cc。

您每天都在花時間清理大量垃圾郵件,而不是發展您的業務。

您沒有這樣做,而是每天早上都在清理垃圾用戶註冊。

那一定很令人沮喪。

在過去的十年中,我們有機會幫助每天管理大量垃圾郵件 WordPress 註冊的客戶。

所以不用擔心,無論情況多麼糟糕,我們都會幫助您收回時間。 閱讀本文後,您可以重新專注於發展業務和創造更多收入。

TL;DR:要阻止 WordPress 註冊垃圾郵件,您需要採取一些措施。 首先,安裝防火牆實施地理封鎖,然後啟用 reCAPTCHA。 如果這些措施不能完全阻止註冊垃圾郵件,請嘗試實施下面列出的所有措施。

在深入了解預防方法之前,如果您想了解黑客為什麼首先進行註冊垃圾郵件,請跳至本節。

如果您想了解註冊垃圾郵件如何影響您的網站,請轉到此部分。

如何阻止 WordPress 註冊垃圾郵件?

這是一個想法:

為什麼不禁用註冊而不是防止註冊垃圾郵件。

如果您只想允許少數人訪問您的站點,則無需啟用公共註冊

只需手動創建用戶帳戶。 確保他們沒有獲得管理員訪問權限。

> 禁用用戶註冊

要禁用垃圾郵件註冊,請轉到您的 WordPress 儀表板,然後導航至設置 > 常規

“常規設置”頁面中,向下滾動到“會員資格”選項並取消選中“任何人都可以註冊”框。

禁用用戶註冊以避免任何人註冊

WordPress 有一個默認的註冊頁面 URL,如下所示:https://example.com/wp-login.php?action=register

禁用註冊垃圾郵件後,嘗試打開註冊頁面會拋出以下消息:

“現在不允許用戶註冊。”

登錄屏幕會顯示“不允許用戶註冊”

專業提示:不要忘記刪除已在您網站上註冊的虛假用戶。 借助以下工具檢查他們的用戶電子郵件: Hunter VerifyEmailAddressEmail-Checker 還要檢查電子郵件地址是否包含 inbox.imailfree.cc 、 mail.imailfree.cc 等條款 如果任何電子郵件地址是假的,請將其從您的站點中刪除。

也就是說,如果禁用公共註冊不是一個選項,那麼請考慮限制用戶可以在您的網站上執行的操作。

> 設置適當的用戶角色

當黑客獲得您網站的用戶訪問權限時,如果他們受到用戶角色的限制,他們將無能為力。

在 WordPress 網站中,有 6 個用戶角色。 每個都有不同的功能。 管理員可以完全控製網站。 允許編輯在網站上發布帖子並執行一些功能。 貢獻者和作者只能修改或創建帖子。 訂閱者只能管理他們的個人資料並閱讀所有帖子和頁面。 沒有其他的。

只要在您的網站上註冊的用戶不是管理員(或多站點安裝中的超級管理員)和編輯,他們就不能在您的網站上發布有害內容或啟動惡意功能。

您可以從此處閱讀有關用戶角色的更多信息 – WordPress 用戶角色和能力。

要將用戶角色設置為貢獻者或作者或訂閱者,請轉到您的 WordPress 儀表板。

然後導航到“設置”>“常規” 。 在常規設置頁面中,查找選項New User Default Role

使訂閱者成為新用戶默認角色。

從下拉菜單中選擇貢獻者或作者或訂閱者。

也就是說,限制用戶角色不會阻止垃圾郵件註冊。

要完全停止註冊垃圾郵件,您必須:

  • 安裝防火牆
  • 實施地理封鎖
  • 實施 reCAPTCHA 保護
  • 強制激活電子郵件
  • 更改 WordPress 註冊 URL
  • 強制執行多因素註冊
  • 啟用蜜罐保護
  • 啟用手動批准

您可能想知道是否需要實施所有措施。 如果您確實啟用了所有措施,用戶將不得不跳過幾個環節。 所以不推薦這樣做。

根據您的網站受到攻擊的嚴重程度,您將需要實施我們剛剛列出的措施。

假設您想在註冊頁面上安裝驗證碼。 但是,如果您在短短一周內收到數百個垃圾郵件註冊,僅靠 CAPTCHA 是不夠的。 您還必須實施其他一些 WordPress 安全措施。

1.安裝防火牆

防火牆是抵禦垃圾郵件的第一道防線。

啟用後,任何進入您網站的流量都會首先通過防火牆。

它會根據其惡意 IP 地址庫檢查流量。 如果防火牆將任何 IP 地址識別為惡意 IP 地址,則會立即將其阻止。

防火牆有助於防止註冊垃圾郵件攻擊到達您的網站之前。

優點:

  • 它是自動化的,不需要手動操作。
  • 提供全天候保護。
  • 可能會提供有助於進一步保護您的站點的流量詳細信息。

缺點:

  • 可能無法識別和阻止某些惡意流量。
  • 可能會意外阻止合法流量。

如何實施

您可以使用像 MalCare 這樣的防火牆。 您需要做的就是在您的網站上註冊並安裝插件。 防火牆將自動啟用。

安裝 MalCare 安全插件以避免用戶註冊垃圾郵件

MalCare 提供的不僅僅是全天候保護。 您可以找到有關被阻止的流量的信息,包括原產國、黑客試圖訪問的 URL、他們的 IP 地址等。

MalCare 上的流量日誌

此類信息有助於進一步加強您網站的安全性。 例如,如果您收到來自特定國家/地區的過多不良流量請求,您可以阻止整個國家/地區。

2.實施地理封鎖

地理封鎖是指阻止整個國家訪問您的網站。

這將防止來自您阻止的國家/地區的惡意和合法流量。

因此,您需要確保來自該特定國家/地區的流量對您沒有價值。

優點:

  • 顯著減少惡意註冊垃圾郵件。

缺點:

  • 阻止合法流量。
  • 黑客仍然可以使用 VPN 訪問您的站點。

如何實施

有一些插件可以幫助您實施地理封鎖,但如果您使用 MalCare 的防火牆,您可以查看流量​​日誌以找出大部分被阻止流量的來源。

實施地理封鎖以防止來自某個國家/地區的用戶註冊。

然後,您還可以利用 MalCare 地理封鎖來封鎖該國家/地區。 這裡有一個指南可以幫助您實現這一目標——如何實施地理封鎖?

3. 實施 reCAPTCHA 保護

黑客設計機器人來執行垃圾用戶註冊。

reCAPTCHA 是一種用於區分人類和機器人的測試。

實施驗證碼保護

起初,這些測試是基於文本的。 機器人進化並很快能夠解決它們。 現在經常會看到 reCAPTCHA,您需要在其中勾選一個框以確認您不是人類。 然後你會得到幾張圖片供你選擇。

驗證碼保護

機器人無法看到圖像,因此無法解決 reCAPTCHA。

向註冊表單添加 reCAPTCHA 保護將抵禦試圖在您的網站上註冊的機器人。

優點:

  • 除非挑戰通過,否則不會在數據庫中創建用戶記錄。

缺點:

  • 您需要 Google 的幫助來設置 reCAPTCHA。 如果 Google 決定停止該服務,您將需要尋找新的方法來防止註冊垃圾郵件。

如何實施

1. 在您的網站上下載並安裝適用於 WordPress 的 Invisible reCaptcha。

2. 然後打開此 URL – https://www.google.com/recaptcha/intro/invisible.html?ref=producthunt 並登錄您的 Google 帳戶。

3. 註冊您的站點。

使用谷歌驗證碼

4. Google 會給你一個 Site Key 和一個 Secret Key。 複製它們。

獲取谷歌驗證碼站點密鑰

5. 轉到您的 WordPress 儀表板並導航至設置 > 不可見 reCAPTCHA並輸入密鑰。

無形的recaptcha

6. 接下來,從同一頁面轉到WordPress,然後選擇Enable Registration From Protection

不可見的 recaptcha 設置

就是這樣,伙計們。

4.啟用蜜罐保護

Honey Pot 是一種保護註冊表單的巧妙方法。

機器人旨在填寫表單上的所有字段。

在此方法中,表單中的某些字段無法填寫,因為它們對用戶不可見。

與人類不同,機器人通過閱讀頁面的源代碼來填充字段。 所以他們最終填補了看不見的領域。

使用蜜罐防護方法,您可以輕鬆識別殭屍程序並及時阻止它們。

優點:

  • 識別和阻止垃圾郵件機器人的最有效方法。

缺點:

  • 無法阻止在您的網站上手動註冊的黑客。
  • 阻止自動填寫表格的屏幕閱讀軟件。
  • 阻止有視力障礙的用戶。

如何實施

一些自定義表單(如 Formidable Forms)和網站構建器(如 Elementor)帶有內置的蜜罐選項。 但是您需要成為高級訂閱者才能訪問它們。 但是,有專用插件(如 Clean Login)可以幫助您啟用蜜罐。

1. 下載 Clean Login 並將其安裝到您的 WordPress 網站中。 默認情況下將啟用蜜罐保護。

安裝 Clean Login 以啟用蜜罐反垃圾郵件保護

5.強制激活電子郵件

在跳了這麼多圈之後,如果有人設法跑這麼遠來註冊,那是個好兆頭。 用戶很可能不是機器人。 但它仍然可以是黑客。

電子郵件驗證方法包括向用戶發送他們用於註冊的電子郵件地址中的鏈接。 打開鏈接將激活用戶帳戶。

如果是假的電子郵件地址,他們將無法激活該帳戶。 該帳戶將處於掛起模式,您可以手動將其刪除。

優點:

  • 驗證電子郵件地址是否存在。

缺點:

  • 電子郵件可能會進入垃圾郵件文件夾,並且可能會被隱藏。
  • 即使未激活,用戶註冊也會存儲在數據庫中。

如何實施

有許多插件可以讓您強制執行電子郵件驗證。 有些是專用的表單插件,例如 Gravity Forms 和 Formidable Forms,但它們通常支持高級版本的註冊功能。

如果您已經在使用自定義表單插件,那麼它可能會提供電子郵件驗證。

或者,您可以使用專門為電子郵件驗證設計的插件,例如用戶驗證。

1. 下載並激活用戶驗證插件。

2. 在您的 WordPress 儀表板上,轉到用戶 > 用戶驗證

3. 在用戶驗證設置頁面,有一個名為啟用電子郵件驗證的選項。 選擇強制執行電子郵件驗證。

為新註冊用戶啟用郵箱驗證

您也可以使用用戶驗證插件來執行 reCAPTCHA。

用戶驗證設置

6. 更改 WordPress 註冊 URL

您可以採取的另一項安全措施是更改註冊頁面的 URL。

默認的 WordPress 註冊頁面位於 https://example.com/wp-login.php?action=register

黑客編程機器人來尋找這個鏈接。 因此,防止機器人註冊的一種有效方法是將頁面移動到自定義 URL。

註冊頁面是您登錄頁面的一部分。 更改登錄 URL 將使您更改註冊頁面。

優點:

  • 防止黑客和機器人找到註冊頁面。

缺點:

  • 合法訪問者如果嘗試直接打開該 URL,將無法找到註冊頁面。 這會阻止他們註冊。

如何實施

1. 下載並激活 WPS 隱藏登錄頁面。

2. 轉到您的 WordPress 註冊並導航至設置 > WPS 隱藏登錄

3. 在登錄 URL選項中,輸入新的 URL。 確保它是獨一無二的,沒有人能猜到。

wps隱藏登錄

假設您的新網址是 https://example.com/nowornever

新的註冊頁面將位於 https://example.com/nowornever?action=register

4. 在重定向 URL中,輸入 404 或 503 等錯誤。

任何嘗試使用默認登錄 URL (https://example.com/wp-login.php) 訪問登錄頁面的人都將被重定向到此 URL (https://example.com/404)。

7. 強制多因素註冊

實施多因素註冊提供了第二層保護。 例如,如果您在表單上安裝了驗證碼,您也可以讓用戶通過短信或應用程序進行驗證。

這意味著用戶將不得不使用他們的智能手機進行註冊。

它會阻止機器人上路。 如果黑客試圖手動註冊,他們只能用一個電話號碼註冊一個帳戶。 這將減慢他們的垃圾郵件註冊活動。

親:

  • 除非註冊,否則不會在數據庫中創建用戶記錄。

缺點:

  • 註冊步驟太多。
  • 用戶可能對共享電話號碼持懷疑態度。

如何實施

1. 在您的網站上下載並激活 MiniOrange OTP 驗證插件。

2. 在您的 WordPress 儀表板上,導航至OTP 驗證

3. 註冊 MiniOrange。

註冊小橙

4. 轉到表格並選擇WordPress 默認註冊表格

註冊表格

5. 接下來,選中 WordPress Default / TML Registration Form 旁邊的框。 將出現一個下拉列表。 選擇啟用電話驗證>不允許用戶為多個帳戶使用相同的電話號碼

不要忘記選擇保存設置

啟用電話驗證

就是這樣。 用戶必須使用他們的電話號碼進行註冊。

8.啟用手動批准

您可以手動批准在您的 WordPress 網站上註冊的用戶。 沒有默認選項可讓您執行此操作。 但是藉助插件,您可以啟用管理員批准。

當有人在您的網站上註冊時,他們會看到一條消息,說明他們需要等待管理員的批准。

然後管理員會收到有關新註冊的通知。

管理員使用 Hunter、VerifyEmailAddress 和 Email-Checker 等工具檢查電子郵件地址,看它是否是假電子郵件 ID。 他們批准或拒絕新用戶訪問該網站。

優點:

  • 可以通過手動批准阻止已設法通過其他措施的用戶。

缺點:

  • 這是一項耗時且乏味的工作。
  • 對於每週接收數十個註冊的網站,不可能手動批准這麼多註冊。

如何實施

1. 下載並激活新用戶批准插件。 該插件將立即開始工作。 任何在您的網站上註冊的人都必須等待人工批准。

2. 要手動批准新用戶,您需要轉到用戶 > 未批准

啟用手動批准新註冊用戶

黑客從 WordPress 註冊垃圾郵件中獲得了什麼

你聽說過恐怖組織入侵美國政府網站和名人電話。

很難想像黑客通過入侵您的網站可以獲得什麼。

黑客攻擊您的網站的原因有很多,即使他們對您一無所知,也不了解您的立場。

這不是個人的,這是生意。

黑客有興趣讓用戶訪問您的網站以執行以下操作:

  • 販賣假藥、色情片、詐騙和惡意軟件以獲取收入。
  • 建立到他們自己的網站或客戶網站的反向鏈接。
  • 毀了你的 SEO 努力。
  • 竊取用戶信息,如電子郵件地址、信用卡信息和醫療記錄。
  • 存儲非法盜版電影、電視節目和軟件。

也就是說,僅僅獲得用戶對您網站的訪問權並不能使黑客實施這些操作。

他們需要擁有管理員權限才能執行某些操作,例如存儲文件。 對於破壞您的 SEO 工作等其他惡意操作,他們只需要編輯器訪問權限。

訪問我們的網站以及插件和主題中的漏洞可能會導致重大安全漏洞。 例如,過去 Contact Form 7 漏洞允許訂閱者獲得管理員訪問權限。

  • 一旦他們獲得更高的訪問權限,他們就可以將您的訪問者重定向到惡意網站。
  • 他們可以發布帶有垃圾日語關鍵字的帖子來運行您的 SEO。
  • 他們可以在您的網頁上使用非法藥物的名稱向您的網頁發送垃圾郵件,我們稱之為製藥黑客。

日語關鍵字黑客

即使像編輯這樣訪問權限有限的用戶也可以審核評論。 他們可以批准會危及您的數據庫的惡意評論。 要了解更多信息,請查看我們整理的這篇 WordPress SQL 注入帖子。

不用說,這種黑客攻擊對您的網站的影響將是醜陋的。

WordPress 註冊垃圾郵件對您網站的影響

黑客試圖訪問您的網站以利用您的資源或造成混亂。 以下是它們如何損害您的網站:

  • 用戶註冊存儲在數據庫中。 數以百計的註冊垃圾郵件會擴充您的數據庫,從而使您的網站變慢
  • 如果用戶發布垃圾內容並將訪問者重定向到不同的站點,您的搜索引擎排名可能會受到影響
  • 說到重定向,您的訪問者被發送到銷售非法藥物的網站和成人網站。 在某些情況下,他們被迫將軟件下載到本地計算機上。 這對您的聲譽不利
  • 如果他們可以訪問其他用戶的信息,例如信用卡詳細信息和醫療記錄,他們可以在線出售這些信息,您將對數據洩露承擔責任

谷歌黑名單

  • 當託管服務和搜索引擎發現您的網站被黑客入侵時,他們會暫停您的網站,將其標記為具有欺騙性並分別將其列入黑名單
  • 清理被黑網站將是一件昂貴的事情。

顯然,不應掉以輕心對待 WordPress 新用戶註冊垃圾郵件。

接下來是什麼?

在我們指南的幫助下,我們相信您將能夠防止 WordPress 用戶註冊垃圾郵件。

但是僅僅阻止註冊垃圾郵件並不能阻止黑客試圖侵入您的網站。

為了確保您網站的完全安全,您需要安裝一個 WordPress 安全插件,例如 MalCare。 它會在您的網站和傳入流量之間放置防火牆。 它將保護您的登錄頁面免受暴力攻擊。

它會每天掃描您的網站,並在網站被黑時幫助您立即清理網站。

您可以對 WordPress 網站採取站點加固措施和備份。

試用我們的MalCare 安全插件