Cele mai bune metode pentru prevenirea înregistrărilor spam în WordPress

Publicat: 2022-02-21

Spammerii devin tot timpul mai furioși, astfel încât site-ul dvs. poate fi depășit rapid cu comentarii false și înscrieri false.

Încercarea de a depăși acest aflux fără sfârșit poate fi un efort zadarnic. Lăsând-o, site-ul tău să pară dezordonat și îți aglomera baza de date. Ștergerea acestuia necesită o parte din timpul dumneavoastră prețios, în mod repetat.

Cea mai bună soluție? Punerea în aplicare a unor protecții care să le împiedice să vă inunde site-ul în primul rând.

În acest articol, vom analiza câteva opțiuni ușoare pe care le puteți implementa pentru a preveni înregistrările spam în WordPress, care vor avea ca rezultat rezultate imediate, eficiente și continue.

Continuați să citiți sau treceți înainte folosind aceste link-uri:

  • Posibilități de plugin
  • Capabil Cloudflare
    • Gestionarea regulilor firewall în CF
  • Înțelepciunea WAF
    • Cele mai bune gazde au WAF (fișe)
    • Jurnal WAF
  • A prelua controlul

Să aruncăm o privire la cum să puneți presiune pe înregistrările de spam WordPress.

Posibilități de plugin

Pluginul Defender
Pluginul Defender

Defender este un plugin de securitate WordPress de lux și gratuit care vă protejează site-ul de o listă completă de acte rău intenționate. Atacurile cu forță brută, injecțiile SQL, cross-site scripting (XSS) și multe altele nu au nicio șansă cu acest arsenal.

De asemenea, este extrem de eficient la filtrarea spamului. Pe lângă utilizarea Google reCAPTCHA, funcția de blocare IP pentru locație geografică de la Defender vă permite să întrerupeți înregistrările în funcție de locație și țară - foarte util dacă există o sursă regională cunoscută de spamboți.

Pentru a utiliza funcția IP Banning în Defender:

  1. Mai întâi va trebui să obțineți un cont la MaxMind (este gratuit), pentru a obține acces la baza de date GeoLite2 (de asemenea gratuit). Odată ce contul dvs. este creat și confirmat, generați o cheie de licență, apoi copiați-o pentru următorul pas.
  2. Din Tabloul de bord WordPress, navigați la Defender > Firewall > IP Banning , apoi derulați în jos la secțiunea Locații .
  3. Lipiți cheia în câmpul Cheie de licență , apoi faceți clic pe butonul Descărcare . (Așteptați 5-10 minute pentru ca licența să se activeze complet, altfel veți primi probabil un mesaj de eroare a cheii de licență nevalidă .)

Acum puteți să faceți clic pe câmpul cu pictograma globală, sub Țările interzise din lista blocate sau Țările permise pe lista permisă și să le selectați din meniurile derulante pe care doriți să le interziceți sau să le permiteți. (Țara dvs. de origine este adăugată la lista permisă în mod implicit.)

interzicerea IP
Interdicția IP este o metodă rapidă și eficientă de a bloca sursele cunoscute de spam.

În Defender există încă o altă protecție suplimentară împotriva spamului: interzicerea agentului utilizator . Antetul cererii User-Agent este un șir care este partajat cu un server atunci când se face o solicitare, pentru a identifica vizitatorii numele și versiunea aplicației browserului, precum și sistemul de operare gazdă și limba.

Pentru a activa această caracteristică din WP Dashboard, mergeți la Defender > Firewall > User Agent Banning și faceți clic pe butonul albastru Activare . De aici, puteți adăuga agenți de utilizator la Lista de blocare sau Lista permisă , împiedicându-le permanent sau permițându-le accesul la site-ul dvs. (În mod implicit, WPMU DEV include mai mulți agenți cunoscuți de utilizator rău în lista de blocare.)

Un ultim truc în Defender , pentru rezultate și mai eficiente. Derulați în jos până la Anteturi goale și comutați butonul pentru Blocare adrese IP cu anteturi goale Referrer și User-Agent (va trece de la gri la albastru). Există încă o mulțime de roboți care utilizează referitor HTTP gol, iar aceștia sunt aproape întotdeauna rău intenționați, așa că este o idee bună să-l activați.

Interzicerea agentului utilizator Defender
Listele de permise și blocare ale User Agent din Defender sunt aliați puternici în lupta împotriva spam-ului.

Jurnalele dvs. de acces pot fi vizualizate în orice moment, aici: Defender > Firewall > Jurnale. Un punct de clarificare: dacă același bot sau agent utilizator apare atât în ​​listele de permise, cât și în lista de blocare, Allow va înlocui întotdeauna Blocarea .

Există, de asemenea, o versiune Pro a acestui plugin, care adaugă mai multe funcții, cum ar fi: etichetare albă 2FA și cel mai bun suport în timp real din clasă.

Pluginul Forminator
Pluginul Forminator

Forminator este un plugin gratuit, ușor de utilizat pentru generarea de formulare WordPress, care vă protejează formularele de spam în orice moment cu ajutorul opțiunii de Captcha (ReCAPTCHA sau hCaptcha), plus integrări Honeypot și Akismet.

Spammerii știu că pagina implicită de înregistrare WordPress este /register , deci este o țintă des folosită. Forminator știe acest lucru și pune la dispoziție instrumente inteligente pentru a preveni răspândirea spam-ului pe paginile de înregistrare.

Activarea protecțiilor anti-spam în Forminator este ușor; Consultați acest tutorial pentru o prezentare completă.

Forminator face mult mai mult decât să pună kibosh pe spam de înregistrare. Este un creator cuprinzător de formulare (formulare de contact, formulare de comandă, sondaje și chestionare și opțiuni de plată) care utilizează un generator vizual inteligent de glisare și plasare, făcând configurarea în WordPress simplă.

Există, de asemenea, o versiune Pro, care adaugă o funcție de semnătură electronică, împreună cu suport premium 24/7.

Plugin pentru generator de profil
Plugin pentru generator de profil

Profile Builder este un alt plugin gratuit care vă permite să restricționați conținutul în funcție de rolul utilizatorului sau de starea de autentificare.

Utilizează suport invizibil pentru reCAPTCHA de la Google pentru formularele implicite WordPress și restricții de conținut bazate pe rolurile actuale ale utilizatorului sau pe starea de autentificare.

Pentru a personaliza câmpurile formularului de înregistrare:

  1. Din tabloul de bord WP, ​​navigați la Profile Builder > Form Fields .
  2. Din rândul Câmp de sus, faceți clic pe meniul drop-down pentru Selectați o opțiune ; începeți să tastați reCAPTCHA (este sub Avansat), apoi selectați-l.
Setări pentru generatorul de profiluri
Folosind căutarea pentru a accesa setările reCAPTCHA din câmpurile de formular ale Profile Builder.
  1. Alegeți reCAPTCHA pe care îl preferați din meniul drop-down.
  2. Introduceți cheile APISite & Secret.
  3. Verificați opțiunile dorite sub Afișare pe formulare PB și Afișare pe formulare WP implicite .
  4. Copiați codul scurt din meniul din bara laterală din dreapta, care corespunde selecției dvs.
  5. Lipiți shortcode-ul unde doriți să fie afișat formularul personalizat pe site-ul dvs.

Setări pentru generatorul de profil 2
Am ales aici PB & Default WP Register, așa că am folosi shortcode [wppb-register] .
Există și o versiune premium, care oferă câmpuri suplimentare de utilizator, redirecționări personalizate, suplimente avansate, precum și posibilitatea de a solicita aprobarea administratorului pentru noile înregistrări.

Plugin de înregistrare a utilizatorului
Plugin de înregistrare a utilizatorului

Pluginul de înregistrare a utilizatorilor este gratuit, ușor și foarte receptiv. Oferă protecție împotriva spamului cu Google reCaptcha și Honeypot.

Când instalați pluginul Înregistrare utilizator , acesta vă va oferi opțiunea de a crea automat o pagină de înregistrare personalizată, folosind această adresă URL: yoursite.com/registration .

De asemenea, puteți face una dintre următoarele:

Necesită aprobarea administratorului

  1. Navigați la fila General > Opțiuni generale din tabloul de bord plugin.
  2. Din meniul derulant Autentificare utilizator , selectați Aprobare administrator după înregistrare .
Alegerea opțiunii pentru aprobarea administratorului după înregistrare.
Alegerea opțiunii pentru aprobarea de administrator după înregistrare .

Activați reCAPTCHA

  1. Navigați la fila Integrare din tabloul de bord plugin.
  2. Introduceți cheile API – Cheia site-ului și Cheia secretă.
Site-ul și API-urile cheii secrete sunt necesare pentru a utiliza reCAPTCHA în pluginul de înregistrare a utilizatorilor.
Site-ul și API-urile cheii secrete sunt necesare pentru a utiliza reCAPTCHA în pluginul de înregistrare a utilizatorilor .

Pentru a activa reCAPTCHA pe un anumit formular de înregistrare, va trebui să editați acel formular și să-l activați din interior.

Există și o versiune premium a Înregistrării utilizatorilor , care vă permite să vă integrați cu WooCommerce și adaugă posibilitatea de a importa utilizatori.

În continuare, vom analiza utilizarea Cloudflare în lupta împotriva spam-ului de înregistrare.

Capabil Cloudflare

Cloudflare este cel mai bine cunoscut ca o rețea de livrare de conținut (CDN). Prin intermediul rețelei sale masive de servere, Cloudflare ajută la accelerarea și protejarea site-urilor web împotriva atacurilor rău intenționate, în timp ce păstrează în cache peste 165 de centre de date din întreaga lume pentru a supraîncărca performanța site-ului dvs.

Prin oprirea înregistrărilor bazate pe locație/țară de la surse bot cunoscute, Cloudflare oferă protecție împotriva spamului în două forme: IP Block și Firewall Rules .

Funcția lor IP Block este disponibilă numai în cadrul planului Enterprise, care vine cu un preț la nivel Enterprise ($$$).

Dar nu vă faceți griji; Regulile firewall pot fi folosite pe orice plan. Regulile firewall pot bloca în funcție de locație, adresă IP, agent de utilizator și multe altele. Aveți voie până la cinci reguli de firewall active în cadrul planului gratuit, apoi treptat mai multe pe măsură ce urcați în nivelurile plătite.

Indiferent de tipul de plan, este necesară crearea unui cont pentru a participa la oricare dintre funcțiile Cloudflare. De asemenea, va trebui să direcționați serverele DNS existente (alias, Nameservere) către cele furnizate de Cloudflare. Acest lucru oferă o experiență de navigare mai bună pentru utilizatorii dvs., deci există o valoare suplimentară.

Odată terminat, puteți ajunge la crearea regulilor dvs. de firewall, după cum urmează.

  1. Conectați-vă la contul dvs. Cloudflare.
  2. Selectați unul dintre site-urile dvs. web.
  3. Din meniul din bara laterală din stânga, selectați Reguli pentru firewall .
  4. Din pagina principală, faceți clic pe butonul albastru Creați o regulă de firewall .
Reguli pentru firewall Cloudflare
Planul gratuit Cloudflare vă permite să aveți până la cinci reguli de firewall active.
  1. Introduceți un nume în câmpul de text Nume regulă .
  2. Dedesubt Când cererile primite se potrivesc... , selectați opțiunile dorite din meniurile drop-down corespunzătoare pentru Câmp , Operator și Valoare . Opțional : adăugați parametri suplimentari la această regulă făcând clic pe butoanele Și / Sau ; apoi selectați opțiunile corespunzătoare în rândul rezultat.
  3. Rândul următor arată Exprimarea Expresiei, care poate fi editată făcând clic pe linkul Editați expresia de deasupra câmpului de text deschis. (Acțiunea nu este necesară.)
  4. Din meniul derulant de sub Apoi... , alegeți o opțiune.
  5. Faceți clic pe butonul Implementare pentru a salva regula.
Regulile pentru firewall Cloudflare 2
Crearea unei reguli în setările Firewall-ului Cloudflare.

IMPORTANT : regula ta nu este încă activă. Pentru a face acest lucru, trebuie să vă întoarceți la lista Firewall Rules și să comutați butonul ON (trece de la gri-cu-un-X la verde-cu-o-bifă).

Gestionarea regulilor firewall în CF

În orice moment, puteți să editați o regulă (faceți clic pe butonul cheie), să o ștergeți (dați clic pe butonul X) sau să o faceți inactivă (comutați butonul verde cu bifă, transformându-l în gri- cu-un-X).

De asemenea, puteți schimba ordinea regulilor fie făcând clic și trăgând săgețile sus-jos din extrema stângă a fiecărui rând de reguli, fie făcând clic pe butonul Ordonare .

Regulile pentru firewall Cloudflare 3
Pagina de rezumat a regulilor firewall-ului în Cloudflare.

Curios ce fel de activitate a avut vreo regulă? Pur și simplu, priviți coloana Activitate ultimele 24 de ore din pagina Reguli de firewall .

Pentru a adăuga mai multe reguli de firewall, repetați procesul de mai sus. Sau, faceți clic aici pentru mai multe detalii despre regulile Firewall în Cloudflare.

O bară laterală rapidă pe CDN-ul... WPMU DEV oferă și CDN în găzduirea noastră gestionată, care se integrează fără probleme cu Cloudflare (precum și cu pluginurile noastre de optimizare — Smush & Hummingbird).

Este important să rețineți că cel mai bine este să nu difuzați conținut de la două CDN-uri diferite, deoarece cu siguranță va cauza probleme.

Cu Cloudflare împachetat, asta ne lasă cu încă o soluție în războiul împotriva înregistrărilor spam... atotputernicul WAF.

Înțelepciunea WAF

Un Web Application Firewall (WAF) este un strat de securitate între utilizatorii finali și aplicații. Acesta inspectează traficul care vine de la și se întoarce la aplicațiile web, filtrează toate accesele dintre ele.

Acesta diferă de un firewall standard, care oferă o barieră între traficul de rețea extern și cel intern. Un firewall de rețea protejează o rețea securizată împotriva accesului neautorizat, pentru a preveni riscul atacurilor și al boților rău intenționați. Obiectivul său principal este de a separa o zonă securizată de o zonă mai puțin sigură și de a controla comunicațiile dintre cele două.

În general, un firewall este implementat lângă marginea unei rețele, ceea ce îl face o barieră eficientă între rețelele cunoscute, de încredere și cele necunoscute, posibil nesigure. Firewall-urile standard sunt concepute pentru a refuza sau a permite accesul la rețele sau pentru a interzice accesul la anumite zone (dosare, site-uri web etc.) fără acreditările corespunzătoare.

WAF-urile completează firewall-urile de rețea standard prin protejarea infrastructurii aplicației și a utilizatorilor acesteia, concentrându-se pe aplicațiile și serverele HTTP/HTTPS pentru a preveni amenințări precum SQL Injection, atacurile DDOS și atacurile cu scripturi încrucișate (XSS).

WAF-urile nu numai că monitorizează pasiv activitatea, ci și proactiv slăbiciunile aplicațiilor web. Deoarece scanează în mod constant vulnerabilitățile, WAF-urile observă adesea punctele slabe din rețea și le corectează, cu mult înainte ca utilizatorul să observe. Patch-ul este o rezoluție pe termen scurt care oferă timp pentru a remedia problema și a preveni potențialele încălcări în rețea.

Consultați acest articol pentru o scufundare mai profundă în WAF.

Este suficient să spunem că atunci când vine vorba de filtrarea înregistrărilor spam, WAF-urile strălucesc.

Cele mai bune gazde au WAF (fișe)

Dacă aveți o gazdă WordPress de calitate, sunt șanse mari ca acestea să fi încorporat WAF-uri în ecosistemul lor.

Aici, la WPMUDEV, WAF-urile sunt incluse în toate planurile noastre de găzduire. Ceea ce înseamnă că, cu câteva clicuri, puteți pune probleme de înregistrare a spamului în oglinda retrovizoare.

Unul dintre membrii noștri a spus asta despre utilizarea WAF-ului nostru pentru a reduce numărul de înregistrări de spam:

„După ce m-am consultat cu suportul wpmudev, am schimbat pagina prin care se făceau înregistrări de spam pe site-ul meu pentru a fi blocată de WAF și, spre surprinderea mea, roboții rău intenționați au luat-o la cale! Gata cu entuziasmul de a vedea „200 de vizite noi”, „200 de clienți potențiali noi” doar pentru a descoperi că au fost înscrieri de tip spam.”

Pentru a vă arăta cât de ușor este să blocați și să încărcați această funcție, vom face o scurtă prezentare a setărilor WAF prin intermediul tabloului nostru de bord all-in-one, The Hub.

Navigați la The Hub și faceți clic pe site-ul web pe care doriți să îl gestionați.

Faceți clic pe fila antet Securitate , apoi sub Firewall , faceți clic pe pictograma roată pentru Hosted WAF .

Setări pentru WAF prin fila de securitate a Hub-ului.
Setări pentru WAF prin fila de securitate a Hub-ului.

Comutați butonul Protejați site -ul la ON (va trece de la gri la albastru).

Comutatorul cu un singur clic vă protejează site-ul cu WAF.
Comutatorul cu un singur clic vă protejează site-ul cu WAF.

Aceasta va afișa o selecție de liste de permise și liste de blocare pentru IP-uri , agenți de utilizator , adrese URL și ID-uri de reguli dezactivate .

WAF personaliza regulile
Puteți personaliza regulile după cum doriți, cu opțiunile din WAF.

Puteți seta oricâte setări specifice doriți aici, apoi faceți clic pe Salvare – sau pur și simplu apăsați butonul gri Închidere pentru a aplica regulile noastre predefinite.

Setări de salvare WAF
Specificați setările înainte de a apăsa pe Salvare sau aplicați regulile predefinite cu Închidere.

Odată terminat, puteți vedea în vizualizarea rezumat că firewall-ul este activat și vă protejează site-ul.

Rezumat WAF -- activat
WAF este activ și de serviciu!

Jurnal WAF

Avem o funcție inteligentă încorporată în WAF-ul nostru care înregistrează ID-urile regulilor și erorile, numite (în mod suficient) - Jurnalul WAF.

Pentru a vizualiza jurnalul, selectați un site, apoi navigați la Hub > Găzduire > Jurnale > Jurnal WAF .

Jurnalul WAF dezvăluie totul
Jurnalul WAF dezvăluie totul celor care îl caută.

De unde provin atacurile, ce solicitări au fost blocate și ce reguli au declanșat aceste solicitări, toate sunt înregistrate aici, oferind cu ușurință informațiile necesare pentru a minimiza alarmele false.

Dacă derulați până în partea de jos a listelor Permiteți și blocați, veți vedea Dezactivați codurile regulilor . Introduceți orice ID de regulă (din jurnal) care cauzează probleme și boom - este dezactivat imediat.

Id-uri de regulă dezactivate
Opriți atacurile problematice introducându-le în câmpul Disabled Rule Ids .

Când este activ, WPMU DEV WAF activează un câmp de forță (un set personalizat de reguli), astfel încât atacurile și traficul rău intenționat sunt respinse înainte de a putea atinge.

A prelua controlul

Spamul de înregistrare pe site-ul dvs. WordPress poate deveni o supărare copleșitoare. Dar vă puteți reduce sau chiar scăpa complet de site-ul dvs. cu câteva manevre simple.

O posibilitate este adăugarea unui plugin dedicat de înregistrare WordPress care necesită pași suplimentari (cum ar fi CAPTCHA) sau aprobarea de către administrator pentru noii utilizatori. Acestea pot ajuta, dar nu sunt întotdeauna cele mai eficiente, deoarece par să permită o anumită trecere în timp. Dacă traficul tău este ușor, ar putea fi suficient pentru tine.

O altă alegere este utilizarea Cloudflare și crearea regulilor de firewall specifice fiecărui tip de înregistrare spam (IP sau țara sursei). Captura aici va fi dacă aveți un plan plătit, deoarece abonamentul gratuit limitează numărul acestora pe care le puteți avea activ la un moment dat.

Nu în ultimul rând, este opțiunea de a folosi un WAF puternic și de încredere. Dacă găzduiești la noi, atunci ai deja acest instrument puternic în magazia ta WordPress. (Dacă nu, înscrierea este rapidă și ușoară și ne puteți încerca timp de 30 de zile, satisfacție garantată necondiționat!)

Un strigăt membrului nostru, Chris Chukwunyere de la Gzi, care a contribuit cu sămânța care a germinat în acest articol.

Notă: nu acceptăm articole din surse externe. Membrii WPMU DEV, totuși, pot contribui cu idei și sugestii pentru tutoriale și articole pe blogul nostru prin Blog XChange.

Spamul în comentarii a fost vreodată o problemă pentru tine? Dacă da, ce metodă(e) funcționează cel mai bine pentru a scăpa de site-urile dvs.? Anunțați-ne în comentariile de mai jos.