Os melhores métodos para evitar registros de spam no WordPress

Os spammers estão ficando cada vez mais sorrateiros, tornando mais fácil para o seu site ser rapidamente superado com comentários falsos e inscrições falsas.

Tentar superar esse influxo sem fim pode parecer um esforço inútil. Deixá-lo faz com que seu site pareça confuso e desordena seu banco de dados. Apagá-lo leva partes do seu valioso tempo, repetidamente.

A melhor solução? Colocando proteções no lugar que os impedem de inundar seu site em primeiro lugar.

Neste artigo, veremos algumas opções fáceis que você pode implementar para evitar registros de spam no WordPress que resultarão em resultados imediatos, eficazes e contínuos.

Continue lendo ou vá em frente usando estes links:

• Possibilidades de plug-in
• Compatível com Cloudflare
  • Gerenciando regras de firewall no CF
• Sabedoria WAF
  • Os melhores anfitriões têm WAF(fles)
  • Registro WAF
• Tomando o controle

Vamos dar uma olhada em como colocar o aperto nos registros de spam do WordPress.

Possibilidades de plug-in

Defender é um plugin de segurança WordPress de luxo e gratuito que protege seu site de uma lista de atos maliciosos. Ataques de força bruta, injeções de SQL, scripts entre sites (XSS) e muito mais não têm chance com esse arsenal.

Também é extremamente eficaz na filtragem de spam. Além de usar o Google reCAPTCHA, o Bloqueio de IP de geolocalização do Defender permite que você corte os registros com base na localização e no país - muito útil se houver uma fonte regional conhecida de spambots.

Para usar o recurso de proibição de IP no Defender:

1. Primeiro você precisa obter uma conta no MaxMind (é grátis), para ter acesso ao banco de dados GeoLite2 (também gratuito). Depois que sua conta for criada e confirmada, gere uma chave de licença e copie-a para a próxima etapa.
2. No painel do WordPress, navegue até Defender > Firewall > IP Banning e role para baixo até a seção Locations .
3. Cole sua chave no campo Chave de licença e clique no botão Download . (Aguarde de 5 a 10 minutos para que sua licença seja totalmente ativada, ou você provavelmente receberá uma mensagem de erro de chave de licença inválida .)

Agora você pode clicar no campo com o ícone global, abaixo de países proibidos na lista de bloqueio ou países permitidos na lista de permissões, e selecionar aqueles que deseja banir ou permitir nas listas suspensas. (Seu país de origem é adicionado à lista de permissões por padrão.)

Há ainda outra proteção adicional contra spam incorporada ao Defender: User Agent Banning . O cabeçalho de solicitação do User-Agent é uma string compartilhada com um servidor quando uma solicitação é feita, para identificar o nome e a versão do aplicativo do navegador dos visitantes e o sistema operacional e o idioma do host.

Para ativar esse recurso no WP Dashboard, vá para Defender > Firewall > User Agent Banning e clique no botão azul Ativar . A partir daqui, você pode adicionar User Agents à Blocklist ou Allowlist , impedindo ou permitindo permanentemente o acesso ao seu site. (Por padrão, o WPMU DEV inclui vários agentes de usuário ruins conhecidos na lista de bloqueio.)

Um último truque no Defender , para resultados ainda mais eficazes. Role para baixo até Empty Headers e ative o botão para Block IP address with vazio Referrer e User-Agent headers (passará de cinza para azul). Ainda existem muitos bots que usam referenciador HTTP vazio, e quase sempre são maliciosos, então é uma boa ideia habilitá-lo.

Seus logs de acesso podem ser visualizados a qualquer momento, aqui: Defender > Firewall > Logs. Um ponto de esclarecimento: se o mesmo bot ou agente do usuário aparecer nas listas de permissão e bloqueio, Allow sempre substituirá Block .

Há também uma versão Pro deste plugin, que adiciona mais recursos, como: white label 2FA e o melhor suporte em tempo real da categoria.

O Forminator é um plug-in de criação de formulários WordPress gratuito e fácil de usar que protege seus formulários contra spam o tempo todo com sua escolha de Captcha (ReCAPTCHA ou hCaptcha), além de integrações Honeypot e Akismet.

Os spammers sabem que a página de registro padrão do WordPress é /register , por isso é um alvo muito usado. O Forminator sabe disso e implementa ferramentas inteligentes para evitar que o spam se espalhe nas páginas de registro.

Ativar proteções contra spam no Forminator é muito fácil; confira este tutorial para um passo a passo completo.

O Forminator faz muito mais do que acabar com o spam de registro. É um criador de formulários abrangente (formulários de contato, formulários de pedido, pesquisas e questionários e opções de pagamento) que usa um construtor visual inteligente de arrastar e soltar, tornando a configuração no WordPress muito fácil.

Há também uma versão Pro, que adiciona um recurso de assinatura eletrônica, além de suporte premium 24 horas por dia, 7 dias por semana.

O Profile Builder é outro plugin gratuito que permite restringir o conteúdo com base na função do usuário ou no status de login.

Ele usa suporte invisível para os formulários padrão do Google reCAPTCHA para WordPress e restrições de conteúdo com base nas funções atuais do usuário ou no status de login.

Para personalizar os campos do formulário de registro:

1. No painel do WP, navegue até Profile Builder > Form Fields .
2. Na linha Campo superior, clique no menu suspenso para Selecionar uma opção ; comece a digitar reCAPTCHA (está em Avançado) e selecione-o.

1. Escolha o reCAPTCHA de sua preferência no menu suspenso.
2. Insira suas chaves de API – Site e Segredo.
3. Verifique as opções desejadas em Exibir em formulários PB e Exibir em formulários WP padrão .
4. Copie o código de acesso do menu da barra lateral direita que corresponde à sua seleção.
5. Cole o código de acesso onde você deseja que o formulário personalizado seja exibido em seu site.

Há também uma versão premium, que oferece campos de usuário extras, redirecionamentos personalizados, complementos avançados, bem como a capacidade de exigir a aprovação do administrador para novos registros.

O plugin User Registration é gratuito, leve e altamente responsivo. Oferece proteção contra spam com Google reCaptcha e Honeypot.

Quando você instala o plug-in de registro do usuário , ele oferece a opção de criar automaticamente uma página de registro personalizada, usando este URL: yoursite.com/registration .

Você também pode fazer um dos seguintes:

Exigir aprovação do administrador

1. Navegue até a guia Geral > Opções gerais no painel do plug-in.
2. No menu suspenso Login do usuário , selecione Aprovação do administrador após o registro .

Ativar reCAPTCHA

1. Navegue até a guia Integração no painel do plug-in.
2. Insira suas chaves de API – Chave do Site e Chave Secreta.

Para habilitar o reCAPTCHA em um formulário de registro específico, você precisará editar esse formulário e habilitá-lo de dentro.

Também existe uma versão premium do User Registration , que permite a integração com o WooCommerce e adiciona a capacidade de importar usuários.

A seguir, veremos como usar o Cloudflare na luta contra o spam de registro.

Compatível com Cloudflare

A Cloudflare é mais conhecida como Content Delivery Network (CDN). Por meio de sua enorme rede de servidores, a Cloudflare ajuda a acelerar e proteger sites contra ataques maliciosos, enquanto armazena em cache em mais de 165 data centers em todo o mundo para turbinar o desempenho do seu site.

Ao cortar os registros baseados em local/país de fontes de bot conhecidas, a Cloudflare oferece proteção contra spam em duas formas: Bloqueio de IP e Regras de firewall .

O recurso IP Block está disponível apenas no plano Enterprise, que vem com um preço de nível Enterprise ($$$).

Mas não se preocupe; As regras de firewall podem ser usadas em qualquer plano. As regras de firewall podem bloquear por local, endereço IP, agente do usuário e muito mais. Você tem permissão para até cinco regras de firewall ativas no plano gratuito e, progressivamente, mais à medida que sobe nos níveis pagos.

Independentemente do tipo de plano, é necessário criar uma conta para participar de qualquer um dos recursos da Cloudflare. Você também precisará apontar seus servidores DNS existentes (também conhecidos como Nameservers) para os fornecidos pela Cloudflare. Isso proporciona uma melhor experiência de navegação para seus usuários, portanto, há um valor adicional.

Uma vez feito, você pode começar a criar suas regras de firewall, da seguinte maneira.

1. Faça login na sua conta Cloudflare.
2. Selecione um de seus sites.
3. No menu da barra lateral esquerda, selecione Regras de firewall .
4. Na página principal, clique no botão azul Criar uma regra de firewall .

1. Insira um nome no campo de texto Nome da regra .
2. Abaixo de Quando as solicitações recebidas corresponderem... , selecione as opções desejadas nos menus suspensos correspondentes para Campo , Operador e Valor . Opcional : adicione parâmetros adicionais a esta regra clicando nos botões E / Ou ; em seguida, selecione as opções correspondentes na linha resultante.
3. A linha a seguir mostra a Visualização da Expressão, que pode ser editada clicando no link Editar expressão acima do campo de texto aberto. (Ação não necessária.)
4. No menu suspenso em Então… , escolha uma opção.
5. Clique no botão Deploy para salvar a regra.

IMPORTANTE : sua regra ainda não está ativa. Para fazer isso, você deve retornar à sua lista de Regras de Firewall e ativar o botão (ele vai de cinza com um X para verde com uma marca de seleção).

Gerenciando regras de firewall no CF

A qualquer momento, você pode editar uma regra (clique no botão de chave inglesa), excluí -la (clique no botão X) ou torná-la inativa (alternar o botão verde com uma marca de seleção, transformando-o em cinza- com-um-X).

Você também pode alterar a ordem das regras clicando e arrastando as setas para cima e para baixo na extremidade esquerda de cada linha de regra ou clicando no botão Ordenação .

Curioso que tipo de atividade alguma regra teve? Basta olhar para a coluna Atividade nas últimas 24 horas na página de regras do Firewall .

Para adicionar mais regras de firewall, repita o processo acima. Ou clique aqui para obter mais detalhes sobre as regras de firewall na Cloudflare.

Uma barra lateral rápida sobre CDNs…WPMU DEV também oferece CDN em nossa hospedagem gerenciada, que se integra perfeitamente com Cloudflare (assim como nossos plugins de otimização—Smush & Hummingbird).

É importante observar que é melhor não veicular conteúdo de duas CDNs diferentes, pois isso certamente causará problemas.

Com o Cloudflare finalizado, isso nos deixa com mais uma solução na guerra contra os registros de spam… o todo-poderoso WAF.

Sabedoria WAF

Um Web Application Firewall (WAF) é uma camada de segurança entre usuários finais e aplicativos. Ele inspeciona o tráfego vindo e retornando aos aplicativos web, filtrando todo o acesso entre eles.

Isso difere de um firewall padrão, que fornece uma barreira entre o tráfego de rede externo e interno. Um firewall de rede protege uma rede segura contra acesso não autorizado para evitar o risco de ataques e bots mal-intencionados. Seu objetivo principal é separar uma zona segura de uma zona menos segura e controlar as comunicações entre as duas.

Em geral, um firewall é implantado próximo à borda de uma rede, tornando-o uma barreira eficaz entre redes conhecidas e confiáveis ​​e redes desconhecidas, possivelmente inseguras. Os firewalls padrão são projetados para negar ou permitir o acesso a redes ou negar o acesso a áreas específicas (pastas, sites, etc.) sem as credenciais apropriadas.

Os WAFs complementam os firewalls de rede padrão, protegendo a infraestrutura de aplicativos e seus usuários, concentrando-se em aplicativos e servidores HTTP/HTTPS para evitar ameaças como SQL Injection, ataques DDOS e ataques de script entre sites (XSS).

Os WAFs não apenas monitoram passivamente a atividade, mas também reforçam proativamente os pontos fracos nos aplicativos da web. Como eles verificam constantemente as vulnerabilidades, os WAFs geralmente observam os pontos fracos da rede e os corrigem, muito antes que o usuário perceba. O patch é uma resolução de curto prazo que fornece tempo para corrigir o problema e evitar possíveis violações na rede.

Veja este artigo para um mergulho mais profundo em WAFs.

Basta dizer que quando se trata de filtrar registros de spam, os WAFs brilham.

Os melhores anfitriões têm WAF(fles)

Se você tem um host WordPress de qualidade, é bem provável que eles tenham incorporado WAFs em seu ecossistema.

Aqui no WPMUDEV, os WAFs estão incluídos em todos os nossos planos de hospedagem. O que significa que com alguns cliques, você pode colocar problemas de registro de spam no seu espelho retrovisor.

Um de nossos membros disse o seguinte sobre usar nosso WAF para reduzir seus registros de spam:

“Depois de consultar o suporte do wpmudev, alterei a página através da qual os registros de spam foram feitos no meu site para ser bloqueado pelo WAF e, para minha surpresa, os bots maliciosos agora estão em seu encalço! Não há mais emoção vendo “200 novas visitas”, “200 novos leads” apenas para descobrir que eram inscrições de spam.”

Para mostrar como é fácil bloquear e carregar esse recurso, faremos uma rápida explicação das configurações do WAF por meio de nosso painel tudo-em-um, The Hub.

Navegue até The Hub e clique no site que deseja gerenciar.

Clique na guia Cabeçalho de segurança e, em Firewall , clique no ícone de engrenagem para WAF hospedado .

Alterne o botão Proteger Site para LIGADO (passará de cinza para azul).

Isso exibirá uma seleção de Listas de Permissões e Listas de Bloqueio para IPs , Agentes de Usuário , URLs e IDs de Regra Desativada .

Você pode definir quantas configurações específicas quiser aqui e clicar em Salvar – ou simplesmente clicar no botão cinza Fechar para aplicar nossas regras predefinidas.

Uma vez feito, você pode ver na visualização de resumo que o firewall está ativado e protegendo seu site.

Registro WAF

Temos um recurso integrado inteligente em nosso WAF que registra IDs de regras e erros, chamado (apropriadamente) – o WAF Log.

Para visualizar o log, selecione um site e navegue até The Hub > Hosting > Logs > WAF Log .

De onde vêm os ataques, quais solicitações foram bloqueadas e quais regras essas solicitações foram acionadas, todos são registrados aqui, fornecendo prontamente as informações necessárias para minimizar alarmes falsos.

Se você rolar até o final das listas Permitir e Bloquear, verá Desativar IDs de regra . Insira qualquer ID de regra (do log) que esteja causando problemas e boom—ela é imediatamente desabilitada.

Quando ativo, o WPMU DEV WAF aciona um campo de força (um conjunto personalizado de regras) para que os ataques e o tráfego malicioso sejam repelidos antes mesmo de serem atingidos.

Tomando o controle

O spam de registro em seu site WordPress pode se tornar um grande aborrecimento. Mas você pode diminuir ou até mesmo livrar completamente seu site dele com algumas manobras simples.

Uma possibilidade é adicionar um plugin de registro WordPress dedicado que requer etapas adicionais (como CAPTCHA) ou aprovação do administrador para novos usuários. Eles podem ajudar, mas nem sempre são os mais eficientes, pois parecem permitir que alguns deslizes ao longo do tempo. Se o seu tráfego for leve, pode ser suficiente para você.

Outra opção é usar a Cloudflare e criar regras de firewall específicas para cada tipo de registro de spam (IP ou país de origem). O problema aqui será se você tiver um plano pago, pois a associação gratuita limita o número deles que você pode ter ativos por vez.

Por último, mas não menos importante, é a opção de usar um WAF forte e confiável. Se você hospeda conosco, então você já tem essa ferramenta poderosa em seu galpão do WordPress. (Se você não fizer isso - a inscrição é rápida e fácil, e você pode experimentar por 30 dias, satisfação incondicionalmente garantida!)

Um salve para nosso membro, Chris Chukwunyere de Gzi, que contribuiu com a semente que germinou neste artigo.

Nota: Não aceitamos artigos de fontes externas. Os membros do WPMU DEV, no entanto, podem contribuir com ideias e sugestões para tutoriais e artigos em nosso blog através do Blog XChange.