Les meilleures méthodes pour empêcher les enregistrements de spam dans WordPress

Les spammeurs deviennent de plus en plus sournois, ce qui permet de contourner rapidement votre site avec de faux commentaires et de fausses inscriptions.

Essayer de déjouer cet afflux sans fin peut sembler un effort futile. Le laisser donne à votre site un aspect désordonné et encombre votre base de données. Le supprimer prend des morceaux de votre temps précieux, de manière répétée.

La meilleure solution? Mettre en place des protections qui les empêchent d'inonder votre site en premier lieu.

Dans cet article, nous allons examiner quelques options simples que vous pouvez mettre en œuvre pour empêcher les enregistrements de spam dans WordPress qui se traduiront par des résultats immédiats, efficaces et continus.

Continuez à lire ou avancez en utilisant ces liens :

• Possibilités de plugins
• Compatible Cloud Flare
  • Gestion des règles de pare-feu dans CF
• WAF Sagesse
  • Les meilleurs hôtes ont WAF(fles)
  • Journal WAF
• Prendre le contrôle

Voyons comment mettre la pression sur les enregistrements de spam WordPress.

Possibilités de plugins

Defender est un plug-in de sécurité WordPress de luxe et gratuit qui protège votre site contre une longue liste d'actes malveillants. Les attaques par force brute, les injections SQL, les scripts intersites (XSS) et plus n'ont aucune chance avec cet arsenal en place.

Il est également extrêmement efficace pour filtrer les spams. En plus d'utiliser Google reCAPTCHA, le verrouillage IP de géolocalisation de Defender vous permet de couper les enregistrements en fonction de l'emplacement et du pays, ce qui est très utile s'il existe une source régionale connue de robots spammeurs.

Pour utiliser la fonctionnalité d'interdiction IP dans Defender :

1. Vous devrez d'abord créer un compte avec MaxMind (c'est gratuit), pour accéder à la base de données GeoLite2 (également gratuite). Une fois votre compte créé et confirmé, générez une clé de licence, puis copiez-la pour l'étape suivante.
2. Depuis le tableau de bord WordPress, accédez à Defender > Firewall > IP Banning , puis faites défiler jusqu'à la section Emplacements .
3. Collez votre clé dans le champ Clé de licence , puis cliquez sur le bouton Télécharger . (Attendez 5 à 10 minutes que votre licence soit complètement activée, sinon vous obtiendrez probablement un message d'erreur de clé de licence non valide .)

Vous pouvez maintenant cliquer sur le champ avec l'icône globale, sous Pays interdits par la liste de blocage ou Pays autorisés par la liste d'autorisation, et sélectionner ceux que vous souhaitez interdire ou autoriser dans les listes déroulantes. (Votre pays d'origine est ajouté à la liste blanche par défaut.)

Il existe encore une autre protection anti-spam supplémentaire intégrée à Defender : User Agent Banning . L'en-tête de demande User-Agent est une chaîne qui est partagée avec un serveur lorsqu'une demande est faite, pour identifier le nom et la version de l'application du navigateur des visiteurs, ainsi que le système d'exploitation et la langue de l'hôte.

Pour activer cette fonctionnalité à partir du tableau de bord WP, ​​accédez à Defender > Firewall > User Agent Banning et cliquez sur le bouton bleu Activer . À partir de là, vous pouvez ajouter des agents utilisateurs à la liste de blocage ou à la liste d' autorisation , en les empêchant ou en leur permettant de manière permanente d'accéder à votre site. (Par défaut, WPMU DEV inclut plusieurs agents utilisateurs malveillants connus dans la liste de blocage.)

Une dernière astuce dans Defender , pour des résultats encore plus efficaces. Faites défiler vers le bas jusqu'à Empty Headers et activez le bouton pour Bloquer les adresses IP avec des en-têtes Referrer et User-Agent vides (il passera du gris au bleu). Il y a encore beaucoup de robots qui utilisent un référent HTTP vide, et ceux-ci sont presque toujours malveillants, c'est donc une bonne idée de l'activer.

Vos logs d'accès sont consultables à tout moment, ici : Defender > Firewall > Logs. Un point de clarification : si le même bot ou agent utilisateur apparaît à la fois dans les listes d'autorisation et de blocage, Autoriser remplacera toujours Bloquer .

Il existe également une version Pro de ce plugin, qui ajoute plus de fonctionnalités, telles que : la marque blanche 2FA et la meilleure assistance en temps réel de sa catégorie.

Forminator est un plugin de création de formulaires WordPress gratuit et facile à utiliser qui protège vos formulaires contre le spam à tout moment avec votre choix de Captcha (ReCAPTCHA ou hCaptcha), ainsi que les intégrations Honeypot et Akismet.

Les spammeurs savent que la page d'inscription WordPress par défaut est /register , c'est donc une cible souvent utilisée. Forminator le sait et met en place des outils intelligents pour empêcher le spam de se propager sur les pages d'inscription.

Activer les protections anti-spam dans Forminator est un jeu d'enfant ; consultez ce didacticiel pour une présentation complète.

Forminator fait bien plus que mettre le holà aux spams d'enregistrement. Il s'agit d'un créateur de formulaires complet (formulaires de contact, formulaires de commande, sondages et questionnaires et options de paiement) qui utilise un constructeur visuel intelligent par glisser-déposer, ce qui facilite la configuration dans WordPress.

Il existe également une version Pro, qui ajoute une fonction de signature électronique, ainsi qu'une assistance premium 24h/24 et 7j/7.

Profile Builder est un autre plugin gratuit qui vous permet de restreindre le contenu en fonction du rôle de l'utilisateur ou du statut de connexion.

Il utilise une prise en charge invisible du reCAPTCHA de Google pour les formulaires par défaut de WordPress et des restrictions de contenu basées sur les rôles d'utilisateur actuels ou le statut de connexion.

Pour personnaliser les champs du formulaire d'inscription :

1. Depuis le tableau de bord WP, ​​accédez à Profile Builder > Form Fields .
2. Dans la ligne Champ la plus élevée, cliquez sur le menu déroulant pour Sélectionner une option ; commencez à taper reCAPTCHA (sous Avancé), puis sélectionnez-le.

1. Choisissez le reCAPTCHA que vous préférez dans le menu déroulant.
2. Entrez vos clés API – Site & Secret.
3. Cochez les options souhaitées sous Afficher sur les formulaires PB et Afficher sur les formulaires WP par défaut .
4. Copiez le shortcode du menu latéral droit qui correspond à votre sélection.
5. Collez le shortcode à l'endroit où vous souhaitez que le formulaire personnalisé s'affiche sur votre site.

Il existe également une version premium, qui offre des champs utilisateur supplémentaires, des redirections personnalisées, des modules complémentaires avancés, ainsi que la possibilité d'exiger l'approbation de l'administrateur pour les nouvelles inscriptions.

Le plug-in d'enregistrement des utilisateurs est gratuit, léger et très réactif. Il offre une protection anti-spam avec Google reCaptcha et Honeypot.

Lorsque vous installez le plug-in d'enregistrement des utilisateurs , il vous offre la possibilité de créer automatiquement une page d'enregistrement personnalisée à l'aide de cette URL : yoursite.com/registration .

Vous pouvez également effectuer l'une des opérations suivantes :

Exiger l'approbation de l'administrateur

1. Accédez à l'onglet Général > Options générales sur le tableau de bord du plug-in.
2. Dans le menu déroulant Connexion de l'utilisateur , sélectionnez Approbation de l'administrateur après l'inscription .

Activer reCAPTCHA

1. Accédez à l'onglet Intégration sur le tableau de bord du plug-in.
2. Entrez vos clés API - clé de site et clé secrète.

Pour activer reCAPTCHA sur un formulaire d'inscription spécifique, vous devrez modifier ce formulaire et l'activer de l'intérieur.

Il existe également une version premium de l'enregistrement des utilisateurs , qui vous permet de vous intégrer à WooCommerce et ajoute la possibilité d'importer des utilisateurs.

Ensuite, nous verrons comment utiliser Cloudflare dans la lutte contre le spam d'enregistrement.

Compatible Cloud Flare

Cloudflare est surtout connu sous le nom de réseau de diffusion de contenu (CDN). Grâce à son vaste réseau de serveurs, Cloudflare aide à accélérer et à protéger les sites Web contre les attaques malveillantes, tout en mettant en cache dans plus de 165 centres de données dans le monde entier pour optimiser les performances de votre site Web.

En coupant les enregistrements basés sur l'emplacement/le pays des sources de bot connues, Cloudflare offre une protection anti-spam sous deux formes : IP Block et Firewall Rules .

Leur fonctionnalité IP Block n'est disponible que dans le cadre du plan Entreprise, qui est livré avec un prix de niveau Entreprise ($$$).

Mais ne vous inquiétez pas; Les règles de pare -feu peuvent être utilisées sur n'importe quel plan. Les règles de pare-feu peuvent bloquer par emplacement, adresse IP, agent utilisateur, etc. Vous avez droit jusqu'à cinq règles de pare-feu actives dans le cadre du plan gratuit, puis progressivement plus à mesure que vous montez dans les niveaux payants.

Quel que soit le type de plan, la création d'un compte est nécessaire pour participer à l'une des fonctionnalités de Cloudflare. Vous devrez également faire pointer vos serveurs DNS existants (aka, Nameservers) vers ceux fournis par Cloudflare. Cela offre une meilleure expérience de navigation à vos utilisateurs, il y a donc une valeur supplémentaire.

Une fois cela fait, vous pouvez commencer à créer vos règles de pare-feu, comme suit.

1. Connectez-vous à votre compte Cloudflare.
2. Sélectionnez l'un de vos sites Web.
3. Dans le menu latéral de gauche, sélectionnez Règles de pare -feu .
4. Depuis la page principale, cliquez sur le bouton bleu Créer une règle de pare-feu .

1. Saisissez un nom dans le champ de texte Nom de la règle .
2. Sous Lorsque les demandes entrantes correspondent… , sélectionnez les options souhaitées dans les menus déroulants correspondants pour Champ , Opérateur et Valeur . Facultatif : ajoutez des paramètres supplémentaires à cette règle en cliquant sur les boutons Et / Ou ; puis sélectionnez les options correspondantes dans la ligne résultante.
3. La ligne suivante affiche l' aperçu de l'expression, qui peut être modifié en cliquant sur le lien Modifier l'expression au-dessus du champ de texte ouvert. (Action non requise.)
4. Dans le menu déroulant sous Alors… , choisissez une option.
5. Cliquez sur le bouton Déployer pour enregistrer la règle.

IMPORTANT : Votre règle n'est pas encore active. Pour ce faire, vous devez revenir à votre liste de règles de pare -feu et activer le bouton (il passe du gris avec un X au vert avec une coche).

Gestion des règles de pare-feu dans CF

À tout moment, vous pouvez modifier une règle (cliquez sur le bouton clé à molette), la supprimer (cliquez sur le bouton X) ou la rendre inactive (basculez le bouton vert avec une coche, en le transformant en gris- avec-un-X).

Vous pouvez également modifier l'ordre des règles en cliquant et en faisant glisser les flèches haut-bas à l'extrême gauche de chaque ligne de règle, ou en cliquant sur le bouton Ordre .

Curieux de savoir quel genre d'activité une règle a eue ? Regardez simplement la colonne Activité au cours des dernières 24 heures sur la page des règles du pare -feu.

Pour ajouter d'autres règles de pare-feu, répétez le processus ci-dessus. Ou cliquez ici pour en savoir plus sur les règles de pare-feu dans Cloudflare.

Une barre latérale rapide sur les CDN… WPMU DEV propose également CDN dans notre hébergement géré, qui s'intègre facilement à Cloudflare (ainsi qu'à nos plugins d'optimisation - Smush & Hummingbird).

Il est important de noter qu'il est préférable de ne pas diffuser de contenu à partir de deux CDN différents, car cela causera certainement des problèmes.

Avec Cloudflare enveloppé, cela nous laisse une solution de plus dans la guerre contre les enregistrements de spam… le tout-puissant WAF.

WAF Sagesse

Un pare-feu d'application Web (WAF) est une couche de sécurité entre les utilisateurs finaux et les applications. Il inspecte le trafic provenant et retournant vers les applications Web, filtrant tous les accès entre elles.

Cela diffère d'un pare-feu standard, qui fournit une barrière entre le trafic réseau externe et interne. Un pare-feu réseau protège un réseau sécurisé contre les accès non autorisés pour prévenir les risques d'attaques et de robots malveillants. Son objectif principal est de séparer une zone sécurisée d'une zone moins sécurisée et de contrôler les communications entre les deux.

En général, un pare-feu est déployé près de la périphérie d'un réseau, ce qui en fait une barrière efficace entre les réseaux connus et fiables et les réseaux inconnus, éventuellement dangereux. Les pare-feu standard sont conçus pour refuser ou autoriser l'accès aux réseaux, ou refuser l'accès à des zones spécifiques (dossiers, sites Web, etc.) sans les informations d'identification appropriées.

Les WAF complètent les pare-feu réseau standard en protégeant l'infrastructure des applications et ses utilisateurs, en se concentrant sur les applications et les serveurs HTTP/HTTPS pour prévenir les menaces telles que l'injection SQL, les attaques DDOS et les attaques de script intersite (XSS).

Les WAF non seulement surveillent passivement l'activité, mais corrigent également de manière proactive les faiblesses des applications Web. Parce qu'ils analysent constamment les vulnérabilités, les WAF observent souvent les faiblesses du réseau et les corrigent, bien avant que l'utilisateur ne s'en aperçoive. Le correctif est une solution à court terme qui donne le temps de résoudre le problème et d'empêcher les brèches potentielles dans le réseau.

Consultez cet article pour une plongée plus approfondie dans les WAF.

Qu'il suffise de dire qu'en matière de filtrage des enregistrements de spam, les WAF brillent.

Les meilleurs hôtes ont WAF(fles)

Si vous avez un hébergeur WordPress de qualité, il y a de fortes chances qu'il ait intégré les WAF dans son écosystème.

Chez WPMUDEV, les WAF sont inclus dans tous nos plans d'hébergement. Ce qui signifie qu'en quelques clics, vous pouvez mettre les problèmes d'enregistrement de spam dans votre rétroviseur.

L'un de nos membres a dit ceci à propos de l'utilisation de notre WAF pour réduire ses enregistrements de spam :

“Après consultation avec le support wpmudev, j'ai changé la page par laquelle les inscriptions de spam étaient faites sur mon site pour qu'elle soit bloquée par WAF, et à ma grande surprise, les bots malveillants ont maintenant pris la fuite ! Fini l'excitation de voir "200 nouvelles visites", "200 nouveaux prospects" pour découvrir qu'il s'agissait d'inscriptions de spam. »

Pour vous montrer à quel point il est facile de verrouiller et de charger cette fonctionnalité, nous allons parcourir rapidement les paramètres WAF via notre tableau de bord tout-en-un, The Hub.

Accédez à The Hub et cliquez sur le site Web que vous souhaitez gérer.

Cliquez sur l'onglet d'en-tête Sécurité , puis sous Pare -feu , cliquez sur l'icône d'engrenage pour WAF hébergé .

Basculez le bouton Protéger le site sur ON (il passera du gris au bleu).

Cela fera apparaître une sélection de listes d' autorisation et de listes de blocage pour les adresses IP , les agents utilisateurs , les URL et les ID de règle désactivés .

Vous pouvez définir autant de paramètres spécifiques que vous le souhaitez ici, puis cliquez sur Enregistrer - ou appuyez simplement sur le bouton gris Fermer pour appliquer nos règles prédéfinies.

Une fois cela fait, vous pouvez voir dans la vue récapitulative que le pare-feu est activé et protège votre site.

Journal WAF

Nous avons une fonctionnalité intégrée intelligente dans notre WAF qui enregistre les ID de règle et les erreurs, appelées (de manière appropriée) - le journal WAF.

Pour afficher le journal, sélectionnez un site, puis accédez à The Hub > Hosting > Logs > WAF Log .

L'origine des attaques, les requêtes bloquées et les règles déclenchées par ces requêtes sont toutes enregistrées ici, fournissant facilement les informations nécessaires pour minimiser les fausses alarmes.

Si vous faites défiler les listes Autoriser et Bloquer jusqu'en bas, vous verrez Désactiver les ID de règle . Entrez n'importe quel ID de règle (à partir du journal) qui cause des problèmes, et boum, il est immédiatement désactivé.

Lorsqu'il est actif, le WPMU DEV WAF engage un champ de force (un ensemble personnalisé de règles) afin que les attaques et le trafic malveillant soient repoussés avant même qu'ils ne puissent frapper.

Prendre le contrôle

Le spam d'inscription sur votre site WordPress peut devenir une nuisance écrasante. Mais vous pouvez l'atténuer ou même le débarrasser complètement de votre site en quelques manœuvres simples.

Une possibilité consiste à ajouter un plugin d'enregistrement WordPress dédié qui nécessite des étapes supplémentaires (comme CAPTCHA) ou l'approbation de l'administrateur pour les nouveaux utilisateurs. Ceux-ci peuvent aider, mais ne sont pas toujours les plus efficaces, car ils semblent permettre un certain fluage au fil du temps. Si votre trafic est léger, cela pourrait vous suffire.

Un autre choix consiste à utiliser Cloudflare et à créer des règles de pare-feu spécifiques à chaque type d'enregistrement de spam (IP ou pays de la source). Le hic ici sera si vous avez un plan payant, car l'adhésion gratuite limite le nombre de ceux que vous pouvez avoir actifs à la fois.

Enfin et surtout, il y a la possibilité d'utiliser un WAF puissant et fiable. Si vous hébergez avec nous, vous avez déjà cet outil puissant dans votre hangar WordPress. (Si vous ne le faites pas, l'inscription est rapide et facile, et vous pouvez nous essayer pendant 30 jours, satisfaction garantie sans condition !)

Un merci à notre membre, Chris Chukwunyere de Gzi, qui a contribué à la graine qui a germé dans cet article.

Remarque : Nous n'acceptons pas les articles provenant de sources externes. Les membres de WPMU DEV, cependant, peuvent apporter des idées et des suggestions de tutoriels et d'articles sur notre blog via le Blog XChange.