Лучшие методы предотвращения спам-регистраций в WordPress

Спамеры все время становятся все более коварными, поэтому ваш сайт легко может быть быстро преодолен с помощью фальшивых комментариев и фиктивных регистраций.

Попытка перехитрить этот бесконечный поток может показаться тщетной. Если его оставить, ваш сайт будет выглядеть грязным, а ваша база данных будет загромождена. Повторное удаление требует кусков вашего драгоценного времени.

Лучшее решение? Установка средств защиты, которые в первую очередь предотвращают затопление вашего сайта.

В этой статье мы рассмотрим несколько простых вариантов, которые вы можете реализовать для предотвращения регистрации спама в WordPress, что приведет к немедленным, эффективным и постоянным результатам.

Продолжить чтение или перейти вперед по этим ссылкам:

• Возможности плагина
• Cloudflare способный
  • Управление правилами брандмауэра в CF
• WAF Мудрость
  • У лучших хостов есть WAF(файлы)
  • Журнал WAF
• Взятие под контроль

Давайте посмотрим, как бороться со спам-регистрацией WordPress.

Возможности плагина

Defender — это роскошный и бесплатный плагин безопасности WordPress, который защищает ваш сайт от огромного списка вредоносных действий. Атаки грубой силы, SQL-инъекции, межсайтовый скриптинг (XSS) и многое другое не имеют шансов с этим арсеналом.

Он также чрезвычайно эффективен при фильтрации спама. В дополнение к использованию Google reCAPTCHA блокировка IP-адреса при геолокации Defender позволяет отключать регистрации в зависимости от местоположения и страны — очень полезно, если есть известный региональный источник спам-ботов.

Чтобы использовать функцию блокировки IP-адресов в Защитнике:

1. Сначала вам нужно получить учетную запись в MaxMind (это бесплатно), чтобы получить доступ к базе данных GeoLite2 (также бесплатно). После создания и подтверждения вашей учетной записи сгенерируйте лицензионный ключ, а затем скопируйте его для следующего шага.
2. На панели инструментов WordPress перейдите к Защитнику > Брандмауэр > Блокировка IP -адресов, затем прокрутите вниз до раздела « Местоположения ».
3. Вставьте свой ключ в поле « Лицензионный ключ », затем нажмите кнопку « Загрузить ». (Подождите 5-10 минут, пока ваша лицензия полностью активируется, иначе вы, скорее всего, получите сообщение об ошибке с недопустимым лицензионным ключом .)

Теперь вы можете щелкнуть поле с глобальным значком в разделе « Запрещенные страны из черного списка» или « Разрешенные страны из белого списка» и выбрать из раскрывающихся списков те страны, которые вы хотите запретить или разрешить. (Ваша родная страна добавляется в белый список по умолчанию.)

В Defender встроена еще одна дополнительная защита от спама: User Agent Banning . Заголовок запроса User-Agent — это строка, которая передается серверу при выполнении запроса, чтобы идентифицировать имя и версию приложения браузера посетителей, а также операционную систему и язык хоста.

Чтобы активировать эту функцию с панели инструментов WP, перейдите в « Защитник» > «Брандмауэр» > «Запрет агента пользователя » и нажмите синюю кнопку « Активировать ». Отсюда вы можете добавить пользовательских агентов в черный или белый список , навсегда запретив или разрешив им доступ к вашему сайту. (По умолчанию WPMU DEV включает в черный список несколько известных вредоносных пользовательских агентов.)

Еще одна хитрость в Defender для еще более эффективных результатов. Прокрутите вниз до пункта « Пустые заголовки » и включите кнопку « Блокировать IP-адреса» с пустыми заголовками Referrer и User-Agent (она изменится с серого на синий). По-прежнему существует множество ботов, использующих пустой HTTP-реферер, и они почти всегда вредоносны, поэтому рекомендуется включить его.

Ваши журналы доступа можно просмотреть в любое время, здесь: Защитник > Брандмауэр > Журналы. Уточнение: если один и тот же бот или пользовательский агент появляется как в списках разрешенных, так и в списках блокировки, параметр « Разрешить » всегда имеет приоритет над параметром « Блокировка ».

Существует также Pro-версия этого плагина, в которой добавлены дополнительные функции, такие как двухфакторная аутентификация с белой маркировкой и лучшая в своем классе поддержка в режиме реального времени.

Forminator — это бесплатный и простой в использовании плагин для создания форм WordPress, который всегда защищает ваши формы от спама с помощью Captcha (ReCAPTCHA или hCaptcha), а также интеграции с Honeypot и Akismet.

Спамеры знают, что страница регистрации WordPress по умолчанию — /register , так что это часто используемая цель. Forminator знает об этом и использует умные инструменты для предотвращения спама на страницах регистрации.

Включить защиту от спама в Forminator очень просто; ознакомьтесь с этим руководством для полного ознакомления.

Forminator делает гораздо больше, чем уничтожает регистрационный спам. Это комплексный инструмент для создания форм (контактные формы, формы заказов, опросы и викторины, а также варианты оплаты), который использует интеллектуальный визуальный конструктор с перетаскиванием, что упрощает настройку в WordPress.

Существует также версия Pro, которая добавляет функцию электронной подписи, а также круглосуточную поддержку премиум-класса.

Profile Builder — еще один бесплатный плагин, который позволяет вам ограничивать контент в зависимости от роли пользователя или статуса входа в систему.

Он использует невидимую поддержку для стандартных форм Google reCAPTCHA для WordPress и ограничения контента на основе текущих ролей пользователя или статуса входа в систему.

Чтобы настроить поля регистрационной формы:

1. На панели инструментов WP перейдите в «Конструктор профилей » > « Поля формы» .
2. В самой верхней строке поля щелкните раскрывающийся список для выбора параметра ; начните вводить reCAPTCHA (она находится в разделе « Дополнительно»), затем выберите ее.

1. Выберите reCAPTCHA , которую вы предпочитаете, из выпадающего меню.
2. Введите ключи API — Site & Secret.
3. Отметьте нужные параметры в разделе « Отображение в формах PB» и « Отображение в формах WP по умолчанию» .
4. Скопируйте шорткод из меню правой боковой панели, соответствующий вашему выбору.
5. Вставьте шорткод туда, где вы хотите, чтобы пользовательская форма отображалась на вашем сайте.

Существует также премиум-версия, которая предлагает дополнительные пользовательские поля, настраиваемые перенаправления, расширенные надстройки, а также возможность запрашивать одобрение администратора для новых регистраций.

Плагин User Registration является бесплатным, легким и очень отзывчивым. Он предлагает защиту от спама с помощью Google reCaptcha и Honeypot.

Когда вы устанавливаете плагин User Registration , он дает вам возможность автоматически создать пользовательскую страницу регистрации, используя этот URL-адрес: yoursite.com/registration .

Вы также можете выполнить одно из следующих действий:

Требовать одобрения администратора

1. Перейдите на вкладку « Общие» > «Общие параметры » на панели инструментов плагина.
2. В раскрывающемся меню «Вход пользователя » выберите « Утверждение администратором после регистрации ».

Включить reCAPTCHA

1. Перейдите на вкладку « Интеграция » на панели инструментов плагина.
2. Введите ключи API — ключ сайта и секретный ключ.

Чтобы включить reCAPTCHA в определенной регистрационной форме, вам нужно будет отредактировать эту форму и включить ее изнутри.

Также существует премиум-версия User Registration , которая позволяет интегрироваться с WooCommerce и добавляет возможность импортировать пользователей.

Далее мы рассмотрим использование Cloudflare в борьбе со спамом при регистрации.

Cloudflare способный

Cloudflare наиболее известен как сеть доставки контента (CDN). Благодаря своей обширной сети серверов Cloudflare помогает ускорить работу веб-сайтов и защитить их от вредоносных атак, а также кэширует данные в более чем 165 центрах обработки данных по всему миру, чтобы повысить производительность вашего веб-сайта.

Отключая регистрацию по местоположению/стране от известных источников ботов, Cloudflare предлагает защиту от спама в двух формах: блокировка IP-адресов и правила брандмауэра .

Их функция блокировки IP-адресов доступна только в рамках плана Enterprise, который поставляется по цене уровня Enterprise ($$$).

Но не беспокойтесь; Правила брандмауэра можно использовать на любом плане. Правила брандмауэра могут блокировать по местоположению, IP-адресу, пользовательскому агенту и т. д. Вам разрешено использовать до пяти активных правил брандмауэра в рамках бесплатного плана, а затем постепенно увеличивать их по мере перехода на платные уровни.

Независимо от типа плана, для использования любых функций Cloudflare необходимо создать учетную запись. Вам также нужно будет указать ваши существующие DNS-серверы (иначе именные серверы) на те, которые предоставляет Cloudflare. Это обеспечивает лучший опыт просмотра для ваших пользователей, поэтому есть дополнительная ценность.

После этого вы можете перейти к созданию правил брандмауэра следующим образом.

1. Войдите в свою учетную запись Cloudflare.
2. Выберите один из ваших веб-сайтов.
3. В меню левой боковой панели выберите « Правила брандмауэра» .
4. На главной странице нажмите синюю кнопку « Создать правило брандмауэра ».

1. Введите имя в текстовое поле Имя правила .
2. Внизу При совпадении входящих запросов… выберите нужные параметры в соответствующих раскрывающихся меню для Поле , Оператор и Значение . Необязательно : добавьте к этому правилу дополнительные параметры, нажав кнопки И/ Или ; затем выберите соответствующие параметры в результирующей строке.
3. В следующей строке показан предварительный просмотр выражения, который можно изменить, щелкнув ссылку « Изменить выражение » над открытым текстовым полем. (Действие не требуется.)
4. В раскрывающемся меню в разделе « Затем… » выберите вариант.
5. Нажмите кнопку Развернуть , чтобы сохранить правило.

ВАЖНО! Ваше правило еще не активно. Чтобы сделать это, вы должны вернуться к списку правил брандмауэра и включить кнопку (она меняется с серой с X на зеленую с галочкой).

Управление правилами брандмауэра в CF

В любой момент вы можете Редактировать правило (нажмите кнопку с гаечным ключом), Удалить его (нажмите кнопку X) или сделать его неактивным (переключите зеленую кнопку с галочкой, превратив ее в серую). с X).

Вы также можете изменить порядок правил, щелкнув и перетащив стрелки вверх-вниз в крайнем левом углу каждой строки правила, или нажав кнопку Порядок .

Любопытно, какую активность имело какое-либо правило? Просто просмотрите столбец « Активность за последние 24 часа » на странице правил брандмауэра .

Чтобы добавить дополнительные правила брандмауэра, повторите описанный выше процесс. Или щелкните здесь, чтобы узнать больше о правилах брандмауэра в Cloudflare.

Быстрая боковая панель CDN… WPMU DEV также предлагает CDN на нашем управляемом хостинге, который легко интегрируется с Cloudflare (а также с нашими плагинами для оптимизации — Smush и Hummingbird).

Важно отметить, что лучше не обслуживать контент из двух разных CDN, так как это обязательно вызовет проблемы.

С Cloudflare у нас остается еще одно решение в войне против регистрации спама… всемогущий WAF.

WAF Мудрость

Брандмауэр веб-приложений (WAF) — это уровень безопасности между конечными пользователями и приложениями. Он проверяет трафик, исходящий от веб-приложений и возвращающийся к ним, фильтруя все обращения между ними.

Это отличается от стандартного брандмауэра, который обеспечивает барьер между внешним и внутренним сетевым трафиком. Сетевой брандмауэр защищает защищенную сеть от несанкционированного доступа, чтобы предотвратить риск атак и вредоносных ботов. Его основная цель — отделить защищенную зону от менее защищенной и контролировать связь между ними.

Как правило, брандмауэр развертывается на границе сети, что делает его эффективным барьером между известными, надежными сетями и неизвестными, возможно, небезопасными. Стандартные брандмауэры предназначены для запрета или разрешения доступа к сетям или отказа в доступе к определенным областям (папкам, веб-сайтам и т. д.) без соответствующих учетных данных.

WAF дополняют стандартные сетевые брандмауэры, защищая инфраструктуру приложений и их пользователей, уделяя особое внимание приложениям и серверам HTTP/HTTPS для предотвращения таких угроз, как внедрение SQL-кода, DDOS-атаки и атаки с использованием межсайтовых сценариев (XSS).

WAF не только пассивно отслеживают активность, но и активно устраняют слабые места в веб-приложениях. Поскольку они постоянно сканируют уязвимости, WAF часто выявляют слабые места в сети и исправляют их задолго до того, как пользователь это заметит. Патч представляет собой краткосрочное решение, которое дает время для устранения проблемы и предотвращения потенциальных нарушений в сети.

См. эту статью для более глубокого погружения в WAF.

Достаточно сказать, что когда дело доходит до фильтрации регистрации спама, WAF блестят.

У лучших хостов есть WAF(файлы)

Если у вас есть качественный хостинг WordPress, велика вероятность, что они включили WAF в свою экосистему.

Здесь, в WPMUDEV, WAF включены во все наши планы хостинга. Это означает, что с помощью нескольких щелчков мыши вы можете избавиться от проблем с регистрацией спама в зеркале заднего вида.

Один из наших членов сказал об использовании нашего WAF для сокращения спам-регистраций:

«Посоветовавшись со службой поддержки wpmudev, я изменил страницу, через которую производилась спам-регистрация на моем сайте, на блокировку WAF, и, к моему удивлению, вредоносные боты бросились наутек! Больше не нужно волноваться, видя «200 новых посещений», «200 новых потенциальных клиентов» только для того, чтобы обнаружить, что это подписки на спам».

Чтобы показать вам, как легко заблокировать и загрузить эту функцию, мы быстро пройдемся по настройкам WAF с помощью нашей универсальной панели инструментов The Hub.

Перейдите в The Hub и щелкните веб-сайт, которым хотите управлять.

Перейдите на вкладку заголовка « Безопасность », затем в разделе « Брандмауэр » щелкните значок шестеренки для Hosted WAF .

Переключите кнопку « Защитить сайт » в положение « Вкл .» (она изменит свой цвет с серого на синий).

Это вызовет выбор списков разрешенных и заблокированных для IP -адресов, пользовательских агентов , URL -адресов и отключенных идентификаторов правил .

Здесь вы можете установить любое количество конкретных настроек, а затем нажать « Сохранить » или просто нажать серую кнопку « Закрыть », чтобы применить наши предустановленные правила.

После этого вы увидите в сводном представлении, что брандмауэр активирован и защищает ваш сайт.

Журнал WAF

У нас есть интеллектуальная встроенная функция в нашем WAF, которая записывает идентификаторы правил и ошибки, называемая (достаточно уместно) — журнал WAF.

Чтобы просмотреть журнал, выберите сайт, затем перейдите к The Hub > Хостинг > Журналы > Журнал WAF .

Откуда исходят атаки, какие запросы были заблокированы и какие правила запускают эти запросы — все это записывается здесь, легко предоставляя информацию, необходимую для минимизации ложных тревог.

Если вы прокрутите вниз списки разрешенных и заблокированных, вы увидите Отключить идентификаторы правил . Введите любой идентификатор правила (из журнала), который вызывает проблемы, и бум — оно немедленно отключается.

В активном состоянии WPMU DEV WAF задействует силовое поле (настраиваемый набор правил), поэтому атаки и вредоносный трафик отражаются еще до того, как они успевают нанести удар.

Взятие под контроль

Регистрационный спам на вашем сайте WordPress может сильно раздражать. Но вы можете уменьшить или даже полностью избавить свой сайт от него с помощью нескольких простых маневров.

Одной из возможностей является добавление специального плагина регистрации WordPress, который требует дополнительных шагов (например, CAPTCHA) или одобрения администратором для новых пользователей. Они могут помочь, но не всегда являются самыми эффективными, так как они, похоже, со временем немного проползают. Если ваш трафик невелик, этого может быть достаточно для вас.

Другой вариант — использование Cloudflare и создание правил брандмауэра, специфичных для каждого типа регистрации спама (IP-адрес или страна источника). Подвох здесь будет, если у вас есть платный план, поскольку бесплатное членство ограничивает их количество, которое вы можете активировать одновременно.

Последнее, но не менее важное, это возможность использования сильного и надежного WAF. Если вы размещаете у нас, то у вас уже есть этот мощный инструмент в вашем сарае WordPress. (Если вы этого не сделаете — зарегистрируйтесь быстро и легко, и вы можете попробовать нас в течение 30 дней, безусловное удовлетворение гарантировано!)

Спасибо нашему участнику Крису Чуквуньере из Gzi, который внес семя, проросшее в эту статью.

Примечание. Мы не принимаем статьи из внешних источников. Однако члены WPMU DEV могут вносить идеи и предложения для руководств и статей в нашем блоге через Blog XChange.