在 WordPress 中防止垃圾郵件註冊的最佳方法

垃圾郵件發送者越來越狡猾，使您的網站很容易被虛假評論和虛假註冊迅速克服。

試圖戰勝這種永無止境的湧入可能會讓人覺得是徒勞的。 離開它會使您的網站看起來很混亂，並使您的數據庫混亂。 反复刪除它會佔用您大量寶貴的時間。

最好的解決方案？ 採取保護措施，防止它們首先淹沒您的網站。

在本文中，我們將介紹一些您可以實施的簡單選項，以防止在 WordPress 中註冊垃圾郵件，從而產生即時、有效和持續的結果。

繼續閱讀，或使用以下鏈接跳轉：

• 插件可能性
• 支持 Cloudflare
  • 在 CF 中管理防火牆規則
• WAF智慧
  • 最好的主機有WAF（文件）
  • WAF 日誌
• 控制

讓我們看看如何限制 WordPress 垃圾郵件註冊。

插件可能性

Defender 是一款豪華且免費的 WordPress 安全插件，可保護您的網站免受惡意行為的侵害。 暴力攻擊、SQL 注入、跨站點腳本 (XSS) 等在這個軍械庫到位後就沒有機會了。

它在過濾垃圾郵件方面也非常有效。 除了使用 Google reCAPTCHA 之外，Defender 的地理定位 IP 鎖定功能還允許您根據位置和國家/地區切斷註冊——如果存在已知的垃圾郵件程序的區域來源，這將非常有用。

要在 Defender 中使用 IP 禁止功能：

1. 您首先需要獲得一個 MaxMind 帳戶（它是免費的），才能訪問GeoLite2 數據庫（也是免費的）。 創建並確認您的帳戶後，生成許可證密鑰，然後將其複制以進行下一步。
2. 在 WordPress 儀表板中，導航到Defender > Firewall > IP Banning ，然後向下滾動到Locations部分。
3. 將您的密鑰粘貼到許可證密鑰字段中，然後單擊下載按鈕。（等待 5-10 分鐘讓您的​​許可證完全激活，否則您可能會收到無效的許可證密鑰錯誤消息。）

現在，您可以單擊 Blocklist Banned countries或Allowlist Allowed countries 下面帶有全局圖標的字段，然後從下拉列表中選擇您想要禁止或允許的那些。 （默認情況下，您的祖國會添加到允許列表中。）

Defender 中還內置了另一個額外的垃圾郵件保護：用戶代理禁止。 User-Agent 請求標頭它是一個字符串，在發出請求時與服務器共享，用於識別訪問者瀏覽器應用程序名稱和版本，以及主機操作系統和語言。

要從 WP 儀表板激活此功能，請前往Defender > Firewall > User Agent Banning ，然後單擊藍色的激活按鈕。 從這裡，您可以將用戶代理添加到阻止列表或允許列表，永久阻止或允許他們訪問您的站點。 （默認情況下，WPMU DEV 在阻止列表中包含幾個已知的不良用戶代理。）

Defender中的最後一招，以獲得更有效的結果。 向下滾動到Empty Headers ，然後打開Block IP 地址的按鈕，其中包含空的 Referrer 和 User-Agent 標頭（它將從灰色變為藍色）。 仍然有很多機器人使用空的 HTTP 引薦來源網址，而且這些幾乎都是惡意的，所以啟用它是個好主意。

您的訪問日誌可在此處隨時查看： Defender > 防火牆 > 日誌。 澄清一點：如果相同的機器人或用戶代理同時出現在允許列表和阻止列表中，則Allow將始終覆蓋Block 。

此插件還有一個 Pro 版本，它增加了更多功能，例如：白標 2FA，以及一流的實時支持。

Forminator 是一個免費、易於使用的 WordPress 表單構建器插件，它可以通過您選擇的驗證碼（ReCAPTCHA 或 hCaptcha）以及蜜罐和 Akismet 集成來保護您的表單始終免受垃圾郵件的侵害。

垃圾郵件發送者知道默認的 WordPress 註冊頁面是/register ，因此它是一個經常使用的目標。 Forminator 知道這一點，並使用了智能工具來防止垃圾郵件在註冊頁面上大量湧入。

在 Forminator 中啟用垃圾郵件保護是一件輕而易舉的事； 查看本教程以獲得完整的演練。

Forminator 所做的不僅僅是將 kibosh 放在註冊垃圾郵件上。 它是一個全面的表單創建器（聯繫表單、訂單表單、投票和測驗以及支付選項），它使用智能拖放可視化構建器，讓 WordPress 中的設置變得輕而易舉。

還有一個 Pro 版本，它添加了電子簽名功能，以及高級 24/7 支持。

Profile Builder 是另一個免費插件，可讓您根據用戶角色或登錄狀態限制內容。

它使用對 WordPress 默認表單的 Google reCAPTCHA 的隱形支持，以及基於當前用戶角色或登錄狀態的內容限制。

要自定義註冊表單字段：

1. 從 WP 儀表板，導航到Profile Builder > Form Fields 。
2. 從最上面的字段行中，單擊選擇一個選項的下拉菜單； 開始輸入reCAPTCHA （它在Advanced 下），然後選擇它。

1. 從下拉菜單中選擇您喜歡的reCAPTCHA 。
2. 輸入您的API 密鑰-站點和秘密。
3. 選中Display on PB forms和Display on default WP forms下所需的選項。
4. 從與您的選擇相對應的右側欄菜單中復制短代碼。
5. 將短代碼粘貼到您希望在您的網站上顯示自定義表單的位置。

還有一個高級版本，它提供額外的用戶字段、自定義重定向、高級插件，以及要求管理員批准新註冊的能力。

用戶註冊插件是免費的、輕量級的且響應迅速。 它通過 Google reCaptcha和Honeypot 提供垃圾郵件保護。

當您安裝用戶註冊插件時，它將為您提供自動創建自定義註冊頁面的選項，使用此 URL： yoursite.com/registration 。

您還可以執行以下操作之一：

需要管理員批准

1. 導航到插件儀表板上的常規 > 常規選項選項卡。
2. 從用戶登錄下拉菜單中，選擇註冊後管理員批准。

啟用 reCAPTCHA

1. 導航到插件儀表板上的集成選項卡。
2. 輸入您的 API 密鑰 -站點密鑰和密鑰。

要在特定註冊表單上啟用 reCAPTCHA，您需要編輯該表單並從內部啟用它。

還有一個高級版本的用戶註冊，它可以讓您與 WooCommerce 集成，並添加導入用戶的能力。

接下來，我們將研究使用 Cloudflare 打擊註冊垃圾郵件。

支持 Cloudflare

Cloudflare 最出名的是內容交付網絡 (CDN)。 通過其龐大的服務器網絡，Cloudflare 有助於加速和保護網站免受惡意攻擊，同時在全球 165 多個數據中心進行緩存，以增強您網站的性能。

通過切斷來自已知機器人來源的基於位置/國家的註冊，Cloudflare 以兩種形式提供垃圾郵件保護： IP 阻止和防火牆規則。

他們的IP Block功能僅在企業計劃下可用，該計劃附帶企業級 ($$$) 價格。

但不要擔心； 防火牆規則可用於任何計劃。 防火牆規則可以按位置、IP 地址、用戶代理等進行阻止。 在免費計劃下，您最多可以使用五個有效的防火牆規則，然後隨著您在付費層級中的增加而逐漸增加。

無論計劃類型如何，都需要創建一個帳戶才能使用 Cloudflare 的任何功能。 您還需要將現有的 DNS 服務器（又名名稱服務器）指向 Cloudflare 提供的服務器。 這為您的用戶提供了更好的瀏覽體驗，因此具有附加價值。

完成後，您可以創建防火牆規則，如下所示。

1. 登錄到您的 Cloudflare 帳戶。
2. 選擇您的網站之一。
3. 從左側邊欄菜單中，選擇防火牆規則。
4. 在主頁上，單擊藍色的創建防火牆規則按鈕。

1. 在規則名稱文本字段中輸入名稱。
2. 在當傳入請求匹配...下方時，從Field 、 Operator和Value的相應下拉菜單中選擇所需的選項。 可選：通過單擊和/或按鈕向此規則添加其他參數； 然後在結果行中選擇相應的選項。
3. 下一行顯示了表達式預覽，可通過單擊打開的文本字段上方的編輯表達式鏈接進行編輯。 （無需操作。）
4. 從Then...下的下拉菜單中，選擇一個選項。
5. 單擊部署按鈕以保存規則。

重要提示：您的規則尚未激活。 為此，您必須返回防火牆規則列表，然後將按鈕切換為 ON（它從帶有 X 的灰色變為帶有復選標記的綠色）。

在 CF 中管理防火牆規則

您可以隨時編輯規則（單擊扳手按鈕）、刪除規則（單擊 X 按鈕）或使其處於非活動狀態（切換帶有復選標記的綠色按鈕，將其變為灰色 -帶-an-X）。

您還可以通過單擊並拖動每個規則行最左側的上下箭頭或單擊“排序”按鈕來更改規則的順序。

好奇任何規則都有什麼樣的活動？ 只需查看防火牆規則頁面上的最近 24 小時活動列。

要添加更多防火牆規則，請重複上述過程。 或者，單擊此處了解有關 Cloudflare 中防火牆規則的更多細節。

CDN 的快速側邊欄...WPMU DEV 還在我們的託管主機中提供 CDN，它與 Cloudflare（以及我們的優化插件 Smush 和 Hummingbird）順利集成。

請務必注意，最好不要提供來自兩個不同 CDN 的內容，因為這肯定會導致問題。

包裹 Cloudflare 後，我們在打擊垃圾郵件註冊的戰爭中又多了一個解決方案……全能的 WAF。

WAF智慧

Web 應用程序防火牆 (WAF) 是最終用戶和應用程序之間的安全層。 它檢查來自和返回 Web 應用程序的流量，過濾它們之間的所有訪問。

這與標準防火牆不同，標準防火牆在外部和內部網絡流量之間提供了屏障。 網絡防火牆保護安全網絡免受未經授權的訪問，以防止攻擊和惡意機器人的風險。 其主要目標是將安全區域與不太安全的區域分開，並控制兩者之間的通信。

通常，防火牆部署在網絡邊緣附近，使其成為已知、受信任的網絡和未知的、可能不安全的網絡之間的有效屏障。 標準防火牆旨在拒絕或允許訪問網絡，或拒絕在沒有適當憑據的情況下訪問特定區域（文件夾、網站等）。

WAF 通過保護應用程序基礎設施及其用戶來補充標準網絡防火牆，專注於 HTTP/HTTPS 應用程序和服務器，以防止 SQL 注入、DDOS 攻擊和跨站點腳本攻擊 (XSS) 等威脅。

WAF 不僅被動地監控活動，還主動地彌補 Web 應用程序中的弱點。 由於他們不斷掃描漏洞，WAF 經常在用戶注意到之前就觀察到網絡中的弱點並對其進行修補。 該補丁是一種短期解決方案，可提供時間來解決問題並防止網絡中的潛在漏洞。

請參閱本文以深入了解 WAF。

可以說，在過濾垃圾郵件註冊時，WAF 大放異彩。

最好的主機有WAF（文件）

如果您擁有優質的 WordPress 主機，那麼他們很有可能將 WAF 整合到他們的生態系統中。

在 WPMUDEV，WAF 包含在我們所有的託管計劃中。 這意味著只需單擊幾下，您就可以將垃圾郵件註冊問題放在後視鏡中。

我們的一位成員對使用我們的 WAF 減少他的垃圾郵件註冊有這樣的看法：

“在諮詢了 wpmudev 支持後，我將在我的網站上進行垃圾郵件註冊的頁面更改為被 WAF 阻止，令我驚訝的是，惡意機器人現在已經跟上！ 看到“200 條新訪問”、“200 條新線索”卻發現它們是垃圾郵件註冊，再也不會感到興奮了。”

為了向您展示鎖定和加載此功能是多麼容易，我們將通過我們的一體化儀表板 The Hub 快速瀏覽 WAF 設置。

導航到 The Hub ，然後單擊您要管理的網站。

單擊Security標題選項卡，然後在Firewall下，單擊Hosted WAF的齒輪圖標。

將“保護站點”按鈕切換為“開”（它將從灰色變為藍色）。

這將顯示IP 、用戶代理、 URL和禁用規則 ID的允許列表和阻止列表選擇。

您可以在此處設置任意數量的特定設置，然後單擊保存- 或直接點擊灰色的關閉按鈕以應用我們預定義的規則。

完成後，您可以在摘要視圖中看到防火牆已激活並保護您的站點。

WAF 日誌

我們的 WAF 中有一個智能內置功能，用於記錄規則 ID 和錯誤，稱為（足夠恰當）—— WAF 日誌。

要查看日誌，請選擇一個站點，然後導航到The Hub > Hosting > Logs > WAF Log 。

攻擊來自哪裡，哪些請求被阻止，以及這些請求觸發了哪些規則，都記錄在這裡，很容易提供最大限度地減少誤報所需的信息。

如果您滾動到允許和阻止列表的底部，您將看到禁用規則 ID 。 輸入任何導致問題的規則 ID（來自日誌），然後繁榮——它立即被禁用。

激活時，WPMU DEV WAF 會參與一個力場（一組自定義規則），因此攻擊和惡意流量在它們甚至可以擊中之前就被擊退。

控制

您的 WordPress 網站上的註冊垃圾郵件可能會成為壓倒性的煩惱。 但是您可以通過一些簡單的操作來減少甚至完全擺脫您的網站。

一種可能性是添加一個專用的 WordPress 註冊插件，該插件需要額外的步驟（如 CAPTCHA）或新用戶的管理員批准。 這些可以提供幫助，但並不總是最有效的，因為隨著時間的推移，它們似乎允許一些蠕變。 如果您的交通量不大，那對您來說就足夠了。

另一種選擇是使用 Cloudflare，並針對每種垃圾郵件註冊類型（IP 或來源國家/地區）創建防火牆規則。 如果您有付費計劃，這裡的問題是，因為免費會員資格限制了您一次可以激活的計劃數量。

最後但同樣重要的是，可以選擇使用強大且可靠的 WAF。 如果您與我們一起託管，那麼您已經在您的 WordPress 棚中擁有了這個強大的工具。 （如果您不這樣做 - 註冊既快捷又簡單，您可以試用我們 30 天，無條件保證滿意！）

向我們的成員大喊一聲，來自 Gzi 的 Chris Chukwunyere，他貢獻了萌芽到本文中的種子。

注意：我們不接受來自外部來源的文章。 但是，WPMU DEV 成員可以通過 Blog XChange 為我們博客上的教程和文章提供想法和建議。