Najlepsze metody zapobiegania rejestracji spamu w WordPress
Opublikowany: 2022-02-21Spamerzy stają się coraz bardziej podstępni, co ułatwia szybkie pokonanie Twojej witryny fałszywymi komentarzami i fałszywymi rejestracjami.
Próba wymanewrowania tego niekończącego się napływu może wydawać się daremnym wysiłkiem. Pozostawienie go sprawia, że witryna wygląda bałagan i zaśmieca bazę danych. Usunięcie go zabiera część cennego czasu w sposób powtarzalny.
Najlepszym rozwiązaniem? Przede wszystkim wprowadzenie zabezpieczeń, które zapobiegają zalaniu witryny.
W tym artykule przyjrzymy się kilku prostym opcjom, które możesz wdrożyć, aby zapobiec rejestrowaniu spamu w WordPressie, które przyniosą natychmiastowe, skuteczne i ciągłe wyniki.
Kontynuuj czytanie lub przejdź dalej, korzystając z tych linków:
- Możliwości wtyczek
- Możliwość Cloudflare
- Zarządzanie regułami zapory w CF
- Mądrość WAF
- Najlepsi gospodarze mają WAF(fles)
- Dziennik WAF
- Przejąć kontrolę
Przyjrzyjmy się, jak wycisnąć nacisk na rejestracje spamu WordPress.
Możliwości wtyczek

Defender to luksusowa i bezpłatna wtyczka bezpieczeństwa WordPress, która chroni Twoją witrynę przed listą szkodliwych działań. Ataki brute force, zastrzyki SQL, cross-site scripting (XSS) i nie tylko nie mają szans z tą zbrojownią.
Jest również niezwykle skuteczny w filtrowaniu spamu. Oprócz korzystania z Google reCAPTCHA, Defender's Geolocation IP Lockout umożliwia odcięcie rejestracji w oparciu o lokalizację i kraj — jest to bardzo przydatne, jeśli istnieje znane regionalne źródło spambotów.
Aby użyć funkcji blokowania adresów IP w Defender:
- Najpierw musisz założyć konto w MaxMind (to nic nie kosztuje), aby uzyskać dostęp do bazy danych GeoLite2 (również za darmo). Po utworzeniu i potwierdzeniu konta wygeneruj klucz licencyjny, a następnie skopiuj go do następnego kroku.
- Z pulpitu nawigacyjnego WordPress przejdź do Defender > Firewall > IP Banning , a następnie przewiń w dół do sekcji Locations .
- Wklej klucz w polu Klucz licencyjny , a następnie kliknij przycisk Pobierz . (Poczekaj 5-10 minut na pełną aktywację licencji, w przeciwnym razie prawdopodobnie zostanie wyświetlony komunikat o błędzie nieprawidłowego klucza licencyjnego ).
Teraz możesz kliknąć pole z globalną ikoną pod listą zablokowanych krajów lub kraje dozwolone na liście dozwolonych i wybrać te z list rozwijanych, które chcesz zablokować lub zezwolić. (Twój kraj zamieszkania jest domyślnie dodany do listy dozwolonych ).

Istnieje jeszcze jedna dodatkowa ochrona przed spamem wbudowana w Defender: User Agent Banning . Nagłówek żądania User-Agent to ciąg, który jest udostępniany serwerowi po wysłaniu żądania, aby zidentyfikować nazwę i wersję aplikacji przeglądarki odwiedzających oraz system operacyjny i język hosta.
Aby aktywować tę funkcję z pulpitu nawigacyjnego WP, przejdź do opcji Defender> Firewall> User Agent Baning i kliknij niebieski przycisk Aktywuj . Z tego miejsca możesz dodać agentów użytkownika do listy zablokowanych lub listy dozwolonych , na stałe uniemożliwiając im dostęp do Twojej witryny lub zezwalając na nie. (Domyślnie WPMU DEV zawiera kilka znanych złych agentów użytkownika na liście bloków).
Ostatnia sztuczka w Defenderze dla jeszcze lepszych wyników. Przewiń w dół do Puste nagłówki i włącz przycisk Blokuj adresy IP z pustymi nagłówkami Referrer i User-Agent (z szarego na niebieski). Nadal istnieje wiele botów, które używają pustego odnośnika HTTP, a te prawie zawsze są złośliwe, więc warto je włączyć.

Twoje dzienniki dostępu są widoczne w dowolnym momencie, tutaj: Defender > Zapora > Dzienniki. Wyjaśnienie: jeśli ten sam bot lub klient użytkownika pojawi się zarówno na liście dozwolonych, jak i zablokowanych, opcja Allow zawsze zastąpi Block .
Dostępna jest również wersja Pro tej wtyczki, która dodaje więcej funkcji, takich jak: białe etykietowanie 2FA i najlepsza w swojej klasie obsługa w czasie rzeczywistym.

Forminator to darmowa, łatwa w użyciu wtyczka do tworzenia formularzy WordPress, która przez cały czas chroni Twoje formularze przed spamem dzięki wybranemu przez Ciebie Captcha (ReCAPTCHA lub hCaptcha), a także integracji Honeypot i Akismet.
Spamerzy wiedzą, że domyślną stroną rejestracji WordPressa jest /register , więc jest to często używany cel. Forminator wie o tym i wdraża inteligentne narzędzia, aby zapobiec przedostawaniu się spamu na strony rejestracyjne.
Włączenie ochrony przed spamem w Forminatorze to pestka; zapoznaj się z tym samouczkiem, aby uzyskać pełny przewodnik.
Forminator robi znacznie więcej niż tylko umieszczanie kiboszu na spamie rejestracyjnym. Jest to wszechstronny kreator formularzy (formularze kontaktowe, formularze zamówień, ankiety i quizy oraz opcje płatności), który wykorzystuje inteligentny wizualny kreator przeciągnij i upuść, dzięki czemu konfiguracja w WordPressie jest prosta.
Dostępna jest również wersja Pro, która dodaje funkcję podpisu elektronicznego, a także wsparcie premium, 24/7.

Profile Builder to kolejna darmowa wtyczka, która pozwala ograniczyć zawartość w oparciu o rolę użytkownika lub status zalogowania.
Wykorzystuje niewidoczną obsługę reCAPTCHA Google dla domyślnych formularzy WordPress oraz ograniczenia treści na podstawie bieżących ról użytkownika lub statusu zalogowania.
Aby dostosować pola formularza rejestracyjnego:
- Z pulpitu nawigacyjnego WP przejdź do Konstruktora profili > Pola formularza .
- W najwyższym wierszu Pole kliknij listę rozwijaną Wybierz opcję ; zacznij pisać reCAPTCHA (znajduje się w sekcji Zaawansowane), a następnie wybierz ją.

- Wybierz preferowany reCAPTCHA z menu rozwijanego.
- Wprowadź swoje klucze API – Site & Secret.
- Sprawdź żądane opcje w obszarze Wyświetl na formularzach PB i Wyświetl na domyślnych formularzach WP .
- Skopiuj krótki kod z prawego menu paska bocznego, które odpowiada Twojemu wyborowi.
- Wklej krótki kod w miejscu, w którym chcesz, aby niestandardowy formularz był wyświetlany w Twojej witrynie.

Wtyczka User Registration jest bezpłatna, lekka i bardzo responsywna. Oferuje ochronę przed spamem dzięki Google reCaptcha i Honeypot.
Po zainstalowaniu wtyczki User Registration otrzymasz opcję automatycznego utworzenia niestandardowej strony rejestracji, korzystając z tego adresu URL: twojawitryna.com/registration .
Możesz także wykonać jedną z następujących czynności:
Wymagaj zgody administratora
- Przejdź do zakładki Ogólne > Opcje ogólne na pulpicie nawigacyjnym wtyczki.
- Z menu rozwijanego Logowanie użytkownika wybierz Zatwierdzenie przez administratora po rejestracji .

Włącz reCAPTCHA
- Przejdź do zakładki Integracja w panelu wtyczki.
- Wprowadź swoje klucze API — klucz witryny i klucz tajny.

Aby włączyć reCAPTCHA w określonym formularzu rejestracyjnym, musisz edytować ten formularz i włączyć go od wewnątrz.
Dostępna jest również wersja premium rejestracji użytkownika , która umożliwia integrację z WooCommerce i dodaje możliwość importowania użytkowników.
Następnie przyjrzymy się użyciu Cloudflare w walce ze spamem rejestracyjnym.
Możliwość Cloudflare
Cloudflare jest najlepiej znany jako sieć dostarczania treści (CDN). Dzięki ogromnej sieci serwerów Cloudflare pomaga przyspieszyć i chronić strony internetowe przed złośliwymi atakami, jednocześnie buforując ponad 165 centrów danych na całym świecie, aby zwiększyć wydajność Twojej witryny.
Odcinając rejestracje oparte na lokalizacji/kraju od znanych źródeł botów, Cloudflare oferuje ochronę przed spamem w dwóch formach: blokowanie adresów IP i reguły zapory ogniowej .
Ich funkcja IP Block jest dostępna tylko w ramach planu Enterprise, który ma cenę na poziomie Enterprise ($$).
Ale nie martw się; Reguły zapory mogą być używane na dowolnym planie. Reguły zapory mogą być blokowane według lokalizacji, adresu IP, agenta użytkownika i nie tylko. W ramach bezpłatnego abonamentu możesz mieć do pięciu aktywnych reguł zapory, a następnie stopniowo więcej, w miarę zwiększania się na płatnych poziomach.
Niezależnie od rodzaju planu, utworzenie konta jest wymagane, aby móc korzystać z dowolnej funkcji Cloudflare. Będziesz także musiał wskazać swoje istniejące serwery DNS (inaczej serwery nazw) na te dostarczone przez Cloudflare. Zapewnia to lepsze wrażenia podczas przeglądania dla użytkowników, więc jest to dodatkowa wartość.

Po zakończeniu możesz przejść do tworzenia reguł zapory w następujący sposób.
- Zaloguj się do swojego konta Cloudflare.
- Wybierz jedną ze swoich witryn.
- Z menu po lewej stronie paska bocznego wybierz Reguły zapory .
- Na stronie głównej kliknij niebieski przycisk Utwórz regułę zapory .

- Wprowadź nazwę w polu tekstowym Nazwa reguły .
- Poniżej Gdy przychodzące żądania są zgodne… , wybierz żądane opcje z odpowiednich menu rozwijanych dla pola , operatora i wartości . Opcjonalnie : dodaj dodatkowe parametry do tej reguły, klikając przyciski I / Lub ; następnie wybierz odpowiednie opcje w wynikowym wierszu.
- Poniższy wiersz przedstawia podgląd wyrażenia, który można edytować, klikając łącze Edytuj wyrażenie nad otwartym polem tekstowym. (Działanie nie jest wymagane.)
- Z menu rozwijanego w obszarze Następnie… wybierz opcję.
- Kliknij przycisk Wdróż , aby zapisać regułę.

WAŻNE : Twoja reguła nie jest jeszcze aktywna. Aby tak się stało, musisz wrócić do listy reguł zapory i włączyć przycisk (przechodzi z szarego-z-X do zielonego-ze-znacznikiem).
Zarządzanie regułami zapory w CF
W dowolnym momencie możesz edytować regułę (kliknij przycisk klucza), usunąć ją (kliknij przycisk X) lub uczynić ją nieaktywną (przełącz zielony przycisk z zaznaczeniem, zmieniając go na szary- z-X).
Możesz także zmienić kolejność reguł, klikając i przeciągając strzałki w górę w dół po lewej stronie każdego wiersza reguł lub klikając przycisk Kolejność .

Ciekawi Cię, jakie działanie miała jakakolwiek reguła? Wystarczy spojrzeć na kolumnę Aktywność w ciągu ostatnich 24 godzin na stronie Reguły zapory .
Aby dodać więcej reguł zapory, powtórz powyższy proces. Lub kliknij tutaj, aby uzyskać więcej szczegółów na temat reguł zapory w Cloudflare.
Szybki pasek boczny na CDN… WPMU DEV oferuje również CDN w naszym zarządzanym hostingu, który płynnie integruje się z Cloudflare (a także z naszymi wtyczkami optymalizacyjnymi — Smush & Hummingbird).
Należy pamiętać, że najlepiej nie udostępniać treści z dwóch różnych sieci CDN, ponieważ z pewnością spowoduje to problemy.
Dzięki opakowaniu Cloudflare mamy jeszcze jedno rozwiązanie w walce z rejestracją spamu… wszechpotężny WAF.
Mądrość WAF
Web Application Firewall (WAF) to warstwa bezpieczeństwa między użytkownikami końcowymi a aplikacjami. Sprawdza ruch przychodzący i powracający do aplikacji internetowych, filtrując wszelki dostęp między nimi.
Różni się to od standardowej zapory, która stanowi barierę między zewnętrznym i wewnętrznym ruchem sieciowym. Zapora sieciowa chroni zabezpieczoną sieć przed nieautoryzowanym dostępem, zapobiegając ryzyku ataków i złośliwych botów. Jego głównym celem jest oddzielenie strefy zabezpieczonej od strefy mniej bezpiecznej i kontrolowanie komunikacji między nimi.
Ogólnie rzecz biorąc, zapora jest wdrażana w pobliżu krawędzi sieci, co czyni ją skuteczną barierą między znanymi, zaufanymi sieciami a nieznanymi, prawdopodobnie niebezpiecznymi. Standardowe zapory są zaprojektowane tak, aby odmawiać lub zezwalać na dostęp do sieci lub odmawiać dostępu do określonych obszarów (folderów, witryn internetowych itp.) bez odpowiednich poświadczeń.
WAF uzupełniają standardowe zapory sieciowe, chroniąc infrastrukturę aplikacji i jej użytkowników, koncentrując się na aplikacjach i serwerach HTTP/HTTPS, aby zapobiegać zagrożeniom, takim jak wstrzykiwanie SQL, ataki DDOS i ataki typu cross-site scripting (XSS).
WAF nie tylko pasywnie monitorują aktywność, ale także proaktywnie wspierają słabe punkty w aplikacjach internetowych. Ponieważ nieustannie skanują luki w zabezpieczeniach, WAF często dostrzegają słabości w sieci i łatają je na długo zanim użytkownik zauważy. Poprawka to rozwiązanie krótkoterminowe, które zapewnia czas na naprawienie problemu i zapobieganie potencjalnym naruszeniom w sieci.
Zobacz ten artykuł, aby dowiedzieć się więcej o plikach WAF.
Wystarczy powiedzieć, że jeśli chodzi o filtrowanie rejestracji spamu, WAF-y błyszczą.
Najlepsi gospodarze mają WAF(fles)
Jeśli masz wysokiej jakości hosta WordPress, istnieje duże prawdopodobieństwo, że włączyli on pliki WAF do swojego ekosystemu.
W WPMUDEV pliki WAF są zawarte we wszystkich naszych planach hostingowych. Co oznacza, że za pomocą kilku kliknięć możesz umieścić problemy związane z rejestracją spamu w swoim lusterku wstecznym.
Jeden z naszych członków miał to do powiedzenia na temat użycia naszego WAF do zmniejszenia jego rejestracji spamu:
„Po konsultacji z pomocą techniczną wpmudev zmieniłem stronę, na której dokonywano rejestracji spamu w mojej witrynie, aby była blokowana przez WAF i ku mojemu zdziwieniu złośliwe boty depczą po piętach! Koniec z ekscytacją widząc „200 nowych wizyt”, „200 nowych potencjalnych klientów” tylko po to, by odkryć, że to rejestracje spamu”.
Aby pokazać, jak łatwo jest zablokować i załadować tę funkcję, przeprowadzimy szybki przegląd ustawień WAF za pośrednictwem naszego kompleksowego pulpitu nawigacyjnego The Hub.
Przejdź do The Hub i kliknij witrynę, którą chcesz zarządzać.
Kliknij kartę nagłówka Security , a następnie w obszarze Firewall kliknij ikonę koła zębatego Hosted WAF .

Przełącz przycisk Chroń witrynę na WŁĄCZONY (z szarego na niebieski).

Spowoduje to wyświetlenie listy dozwolonych i zablokowanych list adresów IP , agentów użytkownika , adresów URL i wyłączonych identyfikatorów reguł .

Możesz tutaj ustawić tyle konkretnych ustawień, ile chcesz, a następnie kliknąć Zapisz — lub po prostu nacisnąć szary przycisk Zamknij , aby zastosować nasze predefiniowane reguły.

Po zakończeniu możesz zobaczyć w widoku podsumowania, że zapora jest aktywna i chroni Twoją witrynę.

Dziennik WAF
W naszym WAF mamy inteligentną wbudowaną funkcję, która rejestruje identyfikatory reguł i błędy, zwaną (odpowiednio) – dziennikiem WAF.
Aby wyświetlić dziennik, wybierz witrynę, a następnie przejdź do Centrum > Hosting > Dzienniki > Dziennik WAF .

Skąd pochodzą ataki, jakie żądania zostały zablokowane i jakie reguły wywołały te żądania, są tutaj rejestrowane, łatwo dostarczając informacji potrzebnych do zminimalizowania fałszywych alarmów.
Jeśli przewiniesz na dół list dozwolonych i zablokowanych, zobaczysz opcję Wyłącz identyfikatory reguł . Wprowadź dowolny identyfikator reguły (z dziennika), który powoduje problemy, i bum — jest natychmiast wyłączany.

Gdy jest aktywny, WPMU DEV WAF angażuje pole siłowe (niestandardowy zestaw reguł), więc ataki i złośliwy ruch są odpierane, zanim zdążą trafić.
Przejąć kontrolę
Spam rejestracyjny w Twojej witrynie WordPress może stać się przytłaczającą irytacją. Ale możesz zmniejszyć lub nawet całkowicie pozbyć się tej witryny za pomocą kilku prostych manewrów.
Jedną z możliwości jest dodanie dedykowanej wtyczki rejestracyjnej WordPress, która wymaga dodatkowych kroków (np. CAPTCHA) lub zatwierdzenia przez administratora dla nowych użytkowników. Mogą one pomóc, ale nie zawsze są najbardziej wydajne, ponieważ z biegiem czasu wydają się pozwalać na pełzanie. Jeśli ruch jest niewielki, może ci to wystarczyć.
Innym wyborem jest użycie Cloudflare i utworzenie reguł zapory ogniowej specyficznych dla każdego typu rejestracji spamu (adres IP lub kraj źródła). Haczyk będzie polegał na tym, że masz płatny plan, ponieważ bezpłatne członkostwo ogranicza liczbę tych, które możesz mieć jednocześnie aktywne.
Wreszcie, co nie mniej ważne, jest opcja użycia mocnego i niezawodnego WAF. Jeśli jesteś gospodarzem u nas, masz już to potężne narzędzie w swojej szopie WordPress. (Jeśli tego nie zrobisz – rejestracja jest szybka i łatwa, możesz wypróbować nas przez 30 dni, satysfakcja bezwarunkowo gwarantowana!)
Pozdrowienia dla naszego członka, Chrisa Chukwunyere z Gzi, który wniósł ziarno, które wykiełkowało w tym artykule.
Uwaga: nie przyjmujemy artykułów ze źródeł zewnętrznych. Członkowie WPMU DEV mogą jednak wnosić pomysły i sugestie dotyczące samouczków i artykułów na naszym blogu za pośrednictwem Blog XChange.