I migliori metodi per prevenire le registrazioni di spam in WordPress

Gli spammer stanno diventando sempre più subdoli, rendendo facile il rapido superamento del tuo sito con commenti falsi e iscrizioni fasulle.

Cercare di superare questo afflusso infinito può sembrare uno sforzo inutile. Lasciarlo rende il tuo sito disordinato e ingombra il tuo database. L'eliminazione richiede una parte del tuo tempo prezioso, su base ripetuta.

La migliore soluzione? Mettere in atto protezioni che impediscano loro di inondare il tuo sito in primo luogo.

In questo articolo, esamineremo alcune semplici opzioni che puoi implementare per prevenire le registrazioni di spam in WordPress che si tradurranno in risultati immediati, efficaci e continui.

Continua a leggere o vai avanti usando questi link:

• Possibilità di plugin
• Capace di Cloudflare
  • Gestire le regole del firewall in CF
• WAF saggezza
  • I migliori host hanno WAF (fles)
  • Registro WAF
• Prendere il controllo

Diamo un'occhiata a come ridurre le registrazioni di spam di WordPress.

Possibilità di plugin

Defender è un plug-in di sicurezza WordPress di lusso e gratuito che protegge il tuo sito da una lunga lista di atti dannosi. Attacchi di forza bruta, iniezioni SQL, cross-site scripting (XSS) e altro non hanno alcuna possibilità con questo arsenale in atto.

È anche estremamente efficace nel filtrare lo spam. Oltre a utilizzare Google reCAPTCHA, il blocco IP di geolocalizzazione di Defender ti consente di interrompere le registrazioni in base alla posizione e al paese, molto utile se esiste una fonte regionale nota di spambot.

Per utilizzare la funzione di esclusione IP in Defender:

1. Dovrai prima ottenere un account con MaxMind (è gratuito), per accedere al Database GeoLite2 (anch'esso gratuito). Una volta creato e confermato il tuo account, genera una chiave di licenza, quindi copiala per il passaggio successivo.
2. Dal dashboard di WordPress, vai su Defender > Firewall > IP Banning , quindi scorri verso il basso fino alla sezione Posizioni .
3. Incolla la tua chiave nel campo Chiave di licenza , quindi fai clic sul pulsante Scarica . (Attendi 5-10 minuti per l'attivazione completa della tua licenza, altrimenti probabilmente riceverai un messaggio di errore della chiave di licenza non valida .)

Ora puoi fare clic sul campo con l'icona globale, sotto Block list Paesi esclusi o Paesi consentiti Liste consentiti, e selezionare quelli dai menu a discesa che desideri vietare o consentire. (Il tuo paese di origine viene aggiunto alla lista consentita per impostazione predefinita.)

C'è ancora un'altra protezione antispam aggiuntiva integrata in Defender: User Agent Banning . L'intestazione della richiesta User-Agent è una stringa condivisa con un server quando viene effettuata una richiesta, per identificare il nome e la versione dell'applicazione del browser dei visitatori e il sistema operativo e la lingua dell'host.

Per attivare questa funzione dal WP Dashboard, vai su Defender > Firewall > User Agent Banning e fai clic sul pulsante blu Attiva . Da qui, puoi aggiungere User Agent alla Blocklist o alla Allowlist , impedendo o consentendo loro di accedere al tuo sito in modo permanente. (Per impostazione predefinita, WPMU DEV include diversi programmi utente non validi noti nella blocklist.)

Un ultimo trucco in Defender , per risultati ancora più efficaci. Scorri verso il basso fino a Intestazioni vuote e attiva il pulsante per Blocca indirizzi IP con intestazioni Referrer e User-Agent vuote (passerà dal grigio al blu). Ci sono ancora molti bot che usano referrer HTTP vuoto e questi sono quasi sempre dannosi, quindi è una buona idea abilitarlo.

I tuoi registri di accesso sono visualizzabili in qualsiasi momento, qui: Defender > Firewall > Registri. Un punto di chiarimento: se lo stesso bot o user agent appare sia nell'elenco di autorizzazioni che in quello di blocco, Consenti sovrascriverà sempre Block .

Esiste anche una versione Pro di questo plug-in, che aggiunge più funzionalità, come: etichettatura bianca 2FA e supporto in tempo reale best-in-class.

Forminator è un plug-in per la creazione di moduli WordPress gratuito e facile da usare che protegge i tuoi moduli dallo spam in ogni momento con la tua scelta di Captcha (ReCAPTCHA o hCaptcha), oltre alle integrazioni Honeypot e Akismet.

Gli spammer sanno che la pagina di registrazione predefinita di WordPress è /register , quindi è un obiettivo spesso utilizzato. Forminator lo sa e mette in atto strumenti intelligenti per impedire che lo spam penetri nelle pagine di registrazione.

Abilitare le protezioni antispam in Forminator è un gioco da ragazzi; dai un'occhiata a questo tutorial per una guida completa.

Forminator fa molto di più che mettere il kibosh sullo spam di registrazione. È un creatore di moduli completo (moduli di contatto, moduli d'ordine, sondaggi e quiz e opzioni di pagamento) che utilizza un generatore visivo intelligente di trascinamento della selezione, rendendo l'installazione in WordPress un gioco da ragazzi.

C'è anche una versione Pro, che aggiunge una funzione di firma elettronica, insieme a un supporto premium 24 ore su 24, 7 giorni su 7.

Profile Builder è un altro plug-in gratuito che ti consente di limitare i contenuti in base al ruolo dell'utente o allo stato di accesso.

Utilizza il supporto invisibile per reCAPTCHA di Google per i moduli predefiniti di WordPress e le restrizioni sui contenuti basate sui ruoli degli utenti correnti o sullo stato di accesso.

Per personalizzare i campi del modulo di registrazione:

1. Dal dashboard di WP, vai a Profile Builder > Form Fields .
2. Dalla riga Campo più in alto, fai clic sul menu a discesa per Seleziona un'opzione ; inizia a digitare reCAPTCHA (è in Avanzate), quindi selezionalo.

1. Scegli il reCAPTCHA che preferisci dal menu a tendina.
2. Inserisci le tue chiavi API – Sito e Segreto.
3. Controllare le opzioni desiderate in Visualizza su moduli PB e Visualizza su moduli WP predefiniti .
4. Copia lo shortcode dal menu della barra laterale di destra che corrisponde alla tua selezione.
5. Incolla lo shortcode nel punto in cui desideri visualizzare il modulo personalizzato sul tuo sito.

Esiste anche una versione premium, che offre campi utente aggiuntivi, reindirizzamenti personalizzati, componenti aggiuntivi avanzati e la possibilità di richiedere l'approvazione dell'amministratore per le nuove registrazioni.

Il plug-in di registrazione utente è gratuito, leggero e altamente reattivo. Offre protezione antispam con Google reCaptcha e Honeypot.

Quando installi il plug-in di registrazione utente , ti darà la possibilità di creare automaticamente una pagina di registrazione personalizzata, utilizzando questo URL: yoursite.com/registration .

Potresti anche eseguire una delle seguenti operazioni:

Richiedi l'approvazione dell'amministratore

1. Passare alla scheda Generale > Opzioni generali nella dashboard del plug-in.
2. Dal menu a discesa Accesso utente , seleziona Approvazione amministratore dopo la registrazione .

Abilita reCAPTCHA

1. Passare alla scheda Integrazione nella dashboard del plug-in.
2. Inserisci le tue chiavi API: Site Key e Secret Key.

Per abilitare reCAPTCHA su un modulo di registrazione specifico, dovrai modificare quel modulo e abilitarlo dall'interno.

Esiste anche una versione premium della registrazione utente , che ti consente di integrarti con WooCommerce e aggiunge la possibilità di importare utenti.

Successivamente, esamineremo l'utilizzo di Cloudflare nella lotta contro lo spam di registrazione.

Capace di Cloudflare

Cloudflare è meglio conosciuto come Content Delivery Network (CDN). Attraverso la sua vasta rete di server, Cloudflare aiuta ad accelerare e proteggere i siti Web da attacchi dannosi, memorizzando nella cache oltre 165 data center in tutto il mondo per potenziare le prestazioni del tuo sito Web.

Eliminando le registrazioni basate su località/paese da fonti di bot note, Cloudflare offre protezione antispam in due forme: blocco IP e regole firewall .

La loro funzione di blocco IP è disponibile solo con il piano Enterprise, che viene fornito con un prezzo di livello Enterprise ($$$).

Ma non preoccuparti; Le regole del firewall possono essere utilizzate su qualsiasi piano. Le regole del firewall possono bloccare per posizione, indirizzo IP, user agent e altro. Ti sono consentite fino a cinque regole firewall attive con il piano gratuito, quindi progressivamente di più man mano che sali nei livelli a pagamento.

Indipendentemente dal tipo di piano, è necessario creare un account per partecipare a una qualsiasi delle funzionalità di Cloudflare. Dovrai anche puntare i tuoi server DNS esistenti (ovvero i server dei nomi) a quelli forniti da Cloudflare. Ciò fornisce una migliore esperienza di navigazione per i tuoi utenti, quindi c'è un valore aggiuntivo.

Una volta terminato, puoi arrivare alla creazione delle regole del firewall, come segue.

1. Accedi al tuo account Cloudflare.
2. Seleziona uno dei tuoi siti web.
3. Dal menu della barra laterale sinistra, seleziona Regole firewall .
4. Dalla pagina principale, fai clic sul pulsante blu Crea una regola Firewall .

1. Immettere un nome nel campo di testo Nome regola .
2. Sotto Quando le richieste in entrata corrispondono... , seleziona le opzioni desiderate dai menu a tendina corrispondenti per Campo , Operatore e Valore . Facoltativo : aggiungi parametri aggiuntivi a questa regola facendo clic sui pulsanti E/ O ; quindi selezionare le opzioni corrispondenti nella riga risultante.
3. La riga seguente mostra l' anteprima dell'espressione, che è modificabile facendo clic sul collegamento Modifica espressione sopra il campo di testo aperto. (Azione non richiesta.)
4. Dal menu a discesa in Quindi... , scegli un'opzione.
5. Fare clic sul pulsante Distribuisci per salvare la regola.

IMPORTANTE : la tua regola non è ancora attiva. Per farlo, devi tornare all'elenco delle regole del firewall e attivare il pulsante su ON (va da grigio-con-X a verde-con-segno di spunta).

Gestire le regole del firewall in CF

In qualsiasi momento, puoi modificare una regola (fare clic sul pulsante chiave inglese), eliminarla (fare clic sul pulsante X) o renderla inattiva (attivare il pulsante verde con un segno di spunta, trasformandolo in grigio- con-una-X).

Puoi anche modificare l'ordine delle regole facendo clic e trascinando le frecce su-giù all'estrema sinistra di ciascuna riga di regole o facendo clic sul pulsante Ordina .

Curioso che tipo di attività ha avuto una regola? Basta guardare la colonna Attività delle ultime 24 ore nella pagina delle regole del firewall .

Per aggiungere altre regole Firewall, ripetere la procedura sopra. Oppure, fai clic qui per ulteriori dettagli sulle regole del firewall in Cloudflare.

Una rapida barra laterale su CDN...WPMU DEV offre anche CDN nel nostro hosting gestito, che si integra perfettamente con Cloudflare (così come con i nostri plugin di ottimizzazione: Smush e Hummingbird).

È importante notare che è meglio non pubblicare contenuti da due CDN diversi, poiché sicuramente causerà problemi.

Con Cloudflare avvolto, questo ci lascia con un'altra soluzione nella guerra contro le registrazioni di spam... l'onnipotente WAF.

WAF saggezza

Un Web Application Firewall (WAF) è un livello di sicurezza tra utenti finali e applicazioni. Ispeziona il traffico in arrivo e in ritorno alle applicazioni Web, filtrando tutti gli accessi tra di esse.

Questo è diverso da un firewall standard, che fornisce una barriera tra il traffico di rete esterno e interno. Un firewall di rete protegge una rete protetta da accessi non autorizzati per prevenire il rischio di attacchi e bot dannosi. Il suo obiettivo principale è separare una zona protetta da una zona meno sicura e controllare le comunicazioni tra le due.

In generale, un firewall viene implementato vicino alla periferia di una rete, il che lo rende una barriera efficace tra reti note e affidabili e reti sconosciute, probabilmente non sicure. I firewall standard sono progettati per negare o consentire l'accesso alle reti o negare l'accesso ad aree specifiche (cartelle, siti Web, ecc.) senza le credenziali appropriate.

I WAF integrano i firewall di rete standard proteggendo l'infrastruttura dell'applicazione e i suoi utenti, concentrandosi su applicazioni e server HTTP/HTTPS per prevenire minacce come SQL Injection, attacchi DDOS e attacchi di scripting incrociato (XSS).

I WAF non solo monitorano passivamente l'attività, ma rafforzano anche in modo proattivo i punti deboli nelle applicazioni web. Poiché scansionano costantemente le vulnerabilità, i WAF spesso osservano i punti deboli della rete e li correggono, molto prima che l'utente se ne accorga. La patch è una soluzione a breve termine che fornisce il tempo necessario per risolvere il problema e prevenire potenziali violazioni della rete.

Vedi questo articolo per un'analisi più approfondita dei WAF.

Basti dire che quando si tratta di filtrare le registrazioni di spam, i WAF brillano.

I migliori host hanno WAF (fles)

Se disponi di un host WordPress di qualità, è probabile che abbiano incorporato i WAF nel loro ecosistema.

Qui a WPMUDEV, i WAF sono inclusi in tutti i nostri piani di hosting. Ciò significa che con pochi clic puoi inserire problemi di registrazione dello spam nel tuo specchietto retrovisore.

Uno dei nostri membri ha detto questo sull'utilizzo del nostro WAF per ridurre le sue registrazioni di spam:

“Dopo essermi consultato con il supporto di wpmudev, ho cambiato la pagina attraverso la quale sono state effettuate le registrazioni di spam sul mio sito in modo che venissero bloccate da WAF e, con mia sorpresa, i bot dannosi ora si sono messi alle calcagna! Niente più eccitazione nel vedere "200 nuove visite", "200 nuovi lead" solo per scoprire che si trattava di iscrizioni spam".

Per mostrarti quanto sia facile bloccare e caricare questa funzione, faremo una rapida panoramica delle impostazioni WAF tramite la nostra dashboard all-in-one, The Hub.

Passa a The Hub e fai clic sul sito Web che desideri gestire.

Fare clic sulla scheda dell'intestazione Sicurezza , quindi in Firewall , fare clic sull'icona a forma di ingranaggio per Hosted WAF .

Attiva o disattiva il pulsante Proteggi sito ( va da grigio a blu).

Verrà visualizzata una selezione di elenchi consentiti e bloccati per IP , agenti utente , URL e ID regola disabilitati .

Puoi impostare tutte le impostazioni specifiche che desideri qui, quindi fare clic su Salva o semplicemente premere il pulsante grigio Chiudi per applicare le nostre regole predefinite.

Una volta fatto, puoi vedere nella vista di riepilogo che il firewall è attivato e protegge il tuo sito.

Registro WAF

Abbiamo una funzionalità integrata intelligente nel nostro WAF che registra gli ID delle regole e gli errori, chiamata (in modo abbastanza appropriato) - il registro WAF.

Per visualizzare il registro, seleziona un sito, quindi accedi a The Hub > Hosting > Logs > WAF Log .

Da dove provengono gli attacchi, quali richieste sono state bloccate e quali regole tali richieste sono state attivate, vengono tutti registrati qui, fornendo prontamente le informazioni necessarie per ridurre al minimo i falsi allarmi.

Se scorri fino alla fine degli elenchi Consenti e Blocca, vedrai Disattiva ID regola . Inserisci qualsiasi ID regola (dal registro) che causa problemi e boom: viene immediatamente disabilitato.

Quando è attivo, WPMU DEV WAF attiva un campo di forza (un insieme personalizzato di regole) in modo che gli attacchi e il traffico dannoso vengano respinti prima ancora che possano colpire.

Prendere il controllo

Lo spam di registrazione sul tuo sito WordPress può diventare un fastidio schiacciante. Ma puoi ridurre o addirittura eliminare completamente il tuo sito con poche semplici manovre.

Una possibilità è aggiungere un plug-in di registrazione WordPress dedicato che richiede passaggi aggiuntivi (come CAPTCHA) o l'approvazione dell'amministratore per i nuovi utenti. Questi possono aiutare, ma non sono sempre i più efficienti, poiché sembrano consentire un po' di insinuarsi nel tempo. Se il tuo traffico è leggero, potrebbe bastarti.

Un'altra scelta è utilizzare Cloudflare e creare regole Firewall specifiche per ogni tipo di registrazione dello spam (IP o Paese di origine). Il problema qui sarà se hai un piano a pagamento, poiché l'abbonamento gratuito limita il numero di questi che puoi avere attivo alla volta.

Ultimo ma non meno importante, è la possibilità di utilizzare un WAF forte e affidabile. Se ospiti con noi, hai già questo potente strumento nel tuo capannone WordPress. (Se non lo fai, iscriverti è semplice e veloce e puoi metterci alla prova per 30 giorni, soddisfazione incondizionata!)

Un grido al nostro membro, Chris Chukwunyere di Gzi, che ha contribuito con il seme che è germogliato in questo articolo.

Nota: non accettiamo articoli da fonti esterne. I membri WPMU DEV, tuttavia, possono contribuire con idee e suggerimenti per tutorial e articoli sul nostro blog tramite il Blog XChange.