在 WordPress 中防止垃圾邮件注册的最佳方法

垃圾邮件发送者越来越狡猾，使您的网站很容易被虚假评论和虚假注册迅速克服。

试图战胜这种永无止境的涌入可能会让人觉得是徒劳的。 离开它会使您的网站看起来很混乱，并使您的数据库混乱。 反复删除它会占用您大量宝贵的时间。

最好的解决方案？ 采取保护措施，防止它们首先淹没您的网站。

在本文中，我们将介绍一些您可以实施的简单选项，以防止在 WordPress 中注册垃圾邮件，从而产生即时、有效和持续的结果。

继续阅读，或使用以下链接跳转：

• 插件可能性
• 支持 Cloudflare
  • 在 CF 中管理防火墙规则
• WAF智慧
  • 最好的主机有WAF（文件）
  • WAF 日志
• 控制

让我们看看如何限制 WordPress 垃圾邮件注册。

插件可能性

Defender 是一款豪华且免费的 WordPress 安全插件，可保护您的网站免受恶意行为的侵害。 暴力攻击、SQL 注入、跨站点脚本 (XSS) 等在这个军械库到位后就没有机会了。

它在过滤垃圾邮件方面也非常有效。 除了使用 Google reCAPTCHA 之外，Defender 的地理定位 IP 锁定功能还允许您根据位置和国家/地区切断注册——如果存在已知的垃圾邮件程序的区域来源，这将非常有用。

要在 Defender 中使用 IP 禁止功能：

1. 您首先需要获得一个 MaxMind 帐户（它是免费的），才能访问GeoLite2 数据库（也是免费的）。 创建并确认您的帐户后，生成许可证密钥，然后将其复制以进行下一步。
2. 在 WordPress 仪表板中，导航到Defender > Firewall > IP Banning ，然后向下滚动到Locations部分。
3. 将您的密钥粘贴到许可证密钥字段中，然后单击下载按钮。（等待 5-10 分钟让您的许可证完全激活，否则您可能会收到无效的许可证密钥错误消息。）

现在，您可以单击 Blocklist Banned countries或Allowlist Allowed countries 下面带有全局图标的字段，然后从下拉列表中选择您想要禁止或允许的那些。 （默认情况下，您的祖国会添加到允许列表中。）

Defender 中还内置了另一个额外的垃圾邮件保护：用户代理禁止。 User-Agent 请求标头它是一个字符串，在发出请求时与服务器共享，用于识别访问者浏览器应用程序名称和版本，以及主机操作系统和语言。

要从 WP 仪表板激活此功能，请前往Defender > Firewall > User Agent Banning ，然后单击蓝色的激活按钮。 从这里，您可以将用户代理添加到阻止列表或允许列表，永久阻止或允许他们访问您的站点。 （默认情况下，WPMU DEV 在阻止列表中包含几个已知的不良用户代理。）

Defender中的最后一招，以获得更有效的结果。 向下滚动到Empty Headers ，然后打开Block IP 地址的按钮，其中包含空的 Referrer 和 User-Agent 标头（它将从灰色变为蓝色）。 仍然有很多机器人使用空的 HTTP 引荐来源网址，而且这些几乎都是恶意的，所以启用它是个好主意。

您的访问日志可在此处随时查看： Defender > 防火墙 > 日志。 澄清一点：如果相同的机器人或用户代理同时出现在允许列表和阻止列表中，则Allow将始终覆盖Block 。

此插件还有一个 Pro 版本，它增加了更多功能，例如：白标 2FA，以及一流的实时支持。

Forminator 是一个免费、易于使用的 WordPress 表单构建器插件，它可以通过您选择的验证码（ReCAPTCHA 或 hCaptcha）以及蜜罐和 Akismet 集成来保护您的表单始终免受垃圾邮件的侵害。

垃圾邮件发送者知道默认的 WordPress 注册页面是/register ，因此它是一个经常使用的目标。 Forminator 知道这一点，并使用了智能工具来防止垃圾邮件在注册页面上大量涌入。

在 Forminator 中启用垃圾邮件保护是一件轻而易举的事； 查看本教程以获得完整的演练。

Forminator 所做的不仅仅是将 kibosh 放在注册垃圾邮件上。 它是一个全面的表单创建器（联系表单、订单表单、投票和测验以及支付选项），它使用智能拖放可视化构建器，让 WordPress 中的设置变得轻而易举。

还有一个 Pro 版本，它添加了电子签名功能，以及高级 24/7 支持。

Profile Builder 是另一个免费插件，可让您根据用户角色或登录状态限制内容。

它使用对 WordPress 默认表单的 Google reCAPTCHA 的隐形支持，以及基于当前用户角色或登录状态的内容限制。

要自定义注册表单字段：

1. 从 WP 仪表板，导航到Profile Builder > Form Fields 。
2. 从最上面的字段行中，单击选择一个选项的下拉菜单； 开始输入reCAPTCHA （它在Advanced 下），然后选择它。

1. 从下拉菜单中选择您喜欢的reCAPTCHA 。
2. 输入您的API 密钥-站点和秘密。
3. 选中Display on PB forms和Display on default WP forms下所需的选项。
4. 从与您的选择相对应的右侧栏菜单中复制简码。
5. 将短代码粘贴到您希望在您的网站上显示自定义表单的位置。

还有一个高级版本，它提供额外的用户字段、自定义重定向、高级插件，以及要求管理员批准新注册的能力。

用户注册插件是免费的、轻量级的且响应迅速。 它通过 Google reCaptcha和Honeypot 提供垃圾邮件保护。

当您安装用户注册插件时，它将为您提供自动创建自定义注册页面的选项，使用此 URL： yoursite.com/registration 。

您还可以执行以下操作之一：

需要管理员批准

1. 导航到插件仪表板上的常规 >​​ 常规选项选项卡。
2. 从用户登录下拉菜单中，选择注册后管理员批准。

启用 reCAPTCHA

1. 导航到插件仪表板上的集成选项卡。
2. 输入您的 API 密钥 -站点密钥和密钥。

要在特定注册表单上启用 reCAPTCHA，您需要编辑该表单并从内部启用它。

还有一个高级版本的用户注册，它可以让您与 WooCommerce 集成，并添加导入用户的能力。

接下来，我们将研究使用 Cloudflare 打击注册垃圾邮件。

支持 Cloudflare

Cloudflare 最出名的是内容交付网络 (CDN)。 通过其庞大的服务器网络，Cloudflare 有助于加速和保护网站免受恶意攻击，同时在全球 165 多个数据中心进行缓存，以增强您网站的性能。

通过切断来自已知机器人来源的基于位置/国家的注册，Cloudflare 以两种形式提供垃圾邮件保护： IP 阻止和防火墙规则。

他们的IP Block功能仅在企业计划下可用，该计划附带企业级 ($$$) 价格。

但不要担心； 防火墙规则可用于任何计划。 防火墙规则可以按位置、IP 地址、用户代理等进行阻止。 在免费计划下，您最多可以使用五个有效的防火墙规则，然后随着您在付费层级中的增加而逐渐增加。

无论计划类型如何，都需要创建一个帐户才能使用 Cloudflare 的任何功能。 您还需要将现有的 DNS 服务器（又名名称服务器）指向 Cloudflare 提供的服务器。 这为您的用户提供了更好的浏览体验，因此具有附加价值。

完成后，您可以创建防火墙规则，如下所示。

1. 登录到您的 Cloudflare 帐户。
2. 选择您的网站之一。
3. 从左侧边栏菜单中，选择防火墙规则。
4. 在主页上，单击蓝色的创建防火墙规则按钮。

1. 在规则名称文本字段中输入名称。
2. 在当传入请求匹配...下方时，从Field 、 Operator和Value的相应下拉菜单中选择所需的选项。 可选：通过单击和/或按钮向此规则添加其他参数； 然后在结果行中选择相应的选项。
3. 下一行显示了表达式预览，可通过单击打开的文本字段上方的编辑表达式链接进行编辑。 （无需操作。）
4. 从Then...下的下拉菜单中，选择一个选项。
5. 单击部署按钮以保存规则。

重要提示：您的规则尚未激活。 为此，您必须返回防火墙规则列表，然后将按钮切换为 ON（它从带有 X 的灰色变为带有复选标记的绿色）。

在 CF 中管理防火墙规则

您可以随时编辑规则（单击扳手按钮）、删除规则（单击 X 按钮）或使其处于非活动状态（切换带有复选标记的绿色按钮，将其变为灰色 -带-an-X）。

您还可以通过单击并拖动每个规则行最左侧的上下箭头或单击“排序”按钮来更改规则的顺序。

好奇任何规则都有什么样的活动？ 只需查看防火墙规则页面上的最近 24 小时活动列。

要添加更多防火墙规则，请重复上述过程。 或者，单击此处了解有关 Cloudflare 中防火墙规则的更多细节。

CDN 的快速侧边栏...WPMU DEV 还在我们的托管主机中提供 CDN，它与 Cloudflare（以及我们的优化插件 Smush 和 Hummingbird）顺利集成。

请务必注意，最好不要提供来自两个不同 CDN 的内容，因为这肯定会导致问题。

包裹 Cloudflare 后，我们在打击垃圾邮件注册的战争中又多了一个解决方案……全能的 WAF。

WAF智慧

Web 应用程序防火墙 (WAF) 是最终用户和应用程序之间的安全层。 它检查来自和返回 Web 应用程序的流量，过滤它们之间的所有访问。

这与标准防火墙不同，标准防火墙在外部和内部网络流量之间提供了屏障。 网络防火墙保护安全网络免受未经授权的访问，以防止攻击和恶意机器人的风险。 其主要目标是将安全区域与不太安全的区域分开，并控制两者之间的通信。

通常，防火墙部署在网络边缘附近，使其成为已知、受信任的网络和未知的、可能不安全的网络之间的有效屏障。 标准防火墙旨在拒绝或允许访问网络，或拒绝在没有适当凭据的情况下访问特定区域（文件夹、网站等）。

WAF 通过保护应用程序基础设施及其用户来补充标准网络防火墙，重点关注 HTTP/HTTPS 应用程序和服务器，以防止 SQL 注入、DDOS 攻击和跨站点脚本攻击 (XSS) 等威胁。

WAF 不仅被动地监控活动，还主动地弥补 Web 应用程序中的弱点。 由于他们不断扫描漏洞，WAF 经常在用户注意到之前就观察到网络中的弱点并对其进行修补。 该补丁是一种短期解决方案，可提供时间来解决问题并防止网络中的潜在漏洞。

请参阅本文以深入了解 WAF。

可以说，在过滤垃圾邮件注册时，WAF 大放异彩。

最好的主机有WAF（文件）

如果您拥有优质的 WordPress 主机，那么他们很有可能将 WAF 整合到他们的生态系统中。

在 WPMUDEV，WAF 包含在我们所有的托管计划中。 这意味着只需单击几下，您就可以将垃圾邮件注册问题放在后视镜中。

我们的一位成员对使用我们的 WAF 减少他的垃圾邮件注册有这样的看法：

“在咨询了 wpmudev 支持后，我将在我的网站上进行垃圾邮件注册的页面更改为被 WAF 阻止，令我惊讶的是，恶意机器人现在已经跟上！ 看到“200 条新访问”、“200 条新线索”却发现它们是垃圾邮件注册，再也不会感到兴奋了。”

为了向您展示锁定和加载此功能是多么容易，我们将通过我们的一体化仪表板 The Hub 快速浏览 WAF 设置。

导航到 The Hub ，然后单击您要管理的网站。

单击Security标题选项卡，然后在Firewall下，单击Hosted WAF的齿轮图标。

将“保护站点”按钮切换为“开”（它将从灰色变为蓝色）。

这将显示IP 、用户代理、 URL和禁用规则 ID的允许列表和阻止列表选择。

您可以在此处设置任意数量的特定设置，然后单击保存- 或直接点击灰色的关闭按钮以应用我们预定义的规则。

完成后，您可以在摘要视图中看到防火墙已激活并保护您的站点。

WAF 日志

我们的 WAF 中有一个智能内置功能，用于记录规则 ID 和错误，称为（足够恰当）—— WAF 日志。

要查看日志，请选择一个站点，然后导航到The Hub > Hosting > Logs > WAF Log 。

攻击来自哪里，哪些请求被阻止，以及这些请求触发了哪些规则，都记录在这里，很容易提供最大限度地减少误报所需的信息。

如果您滚动到允许和阻止列表的底部，您将看到禁用规则 ID 。 输入任何导致问题的规则 ID（来自日志），然后繁荣——它立即被禁用。

激活时，WPMU DEV WAF 会参与一个力场（一组自定义规则），因此攻击和恶意流量在它们甚至可以击中之前就被击退。

控制

您的 WordPress 网站上的注册垃圾邮件可能会成为压倒性的烦恼。 但是您可以通过一些简单的操作来减少甚至完全摆脱您的网站。

一种可能性是添加一个专用的 WordPress 注册插件，该插件需要额外的步骤（如 CAPTCHA）或新用户的管理员批准。 这些可以提供帮助，但并不总是最有效的，因为随着时间的推移，它们似乎允许一些蠕变。 如果您的交通量不大，那对您来说就足够了。

另一种选择是使用 Cloudflare，并针对每种垃圾邮件注册类型（IP 或来源国家/地区）创建防火墙规则。 如果您有付费计划，这里的问题是，因为免费会员资格限制了您一次可以激活的计划数量。

最后但同样重要的是，可以选择使用强大且可靠的 WAF。 如果您与我们一起托管，那么您已经在您的 WordPress 棚中拥有了这个强大的工具。 （如果您不这样做 - 注册既快捷又简单，您可以试用我们 30 天，无条件保证满意！）

向我们的成员大喊一声，来自 Gzi 的 Chris Chukwunyere，他贡献了萌芽到本文中的种子。

注意：我们不接受来自外部来源的文章。 但是，WPMU DEV 成员可以通过 Blog XChange 为我们博客上的教程和文章提供想法和建议。