Come impedire agli utenti (falsi) di registrarsi sul mio sito Web?

Gestisco un sito Web che non richiede agli utenti di registrarsi. L'unico utente necessario è il Superutente. Il problema è che ho trovato un gran numero di nuovi utenti registrati.

Innanzitutto desidero disabilitare la possibilità di registrare nuovi utenti ed eliminare quelli esistenti, tranne Super User.

Per cominciare ho fatto alcuni passaggi, ho installato due passaggi di verifica nel tentativo di bloccare ed eliminare gli utenti.

Ho riscontrato un problema quando ho provato a cancellare o bloccare gli utenti, non è successo nulla senza visualizzare alcun errore.

— Vassilis
fonte

Qual è il problema riscontrato durante il tentativo di eliminare gli utenti? Qualche messaggio di errore speciale?

— FFrewin

Nessun errore mi ha mostrato. Questo è strano Scelgo tutti gli utenti tranne il mio e scelgo Elimina, la pagina viene caricata e quindi nulla.

— Vassilis,

hmm, se ci sono troppi utenti elencati, allora Joomla potrebbe impedirti di cancellare tutti insieme, se lo imposti per elencarli "Tutti". Prova a cancellare in gruppi di 100. Usa il filtro show # of records su 100.

— FFrewin

Risolvo il problema. Per prima cosa scelgo solo gli utenti che non sono attivi e ho cancellato. Quindi blocco gli utenti che sono stati attivati e quindi elimino tutto.

— Vassilis,

Risposte:

Le versioni più recenti di Joomla 3.x disabilitano la Registrazione utente per impostazione predefinita.

Se la tua versione di Joomla è stata installata prima di questa modifica, probabilmente hai abilitato la Registrazione utente.

La registrazione utente può essere disabilitata impostando Users -> Manage -> Options -> Allow User Registration"No".

È quindi possibile eliminare tutti gli utenti tranne l'account Super Administrator.

— Neil Robertson
fonte

Neil grazie mille versy. Trovo e disabilito Consenti registrazione utente. Ho riscontrato un problema, non potrei cancellare un utente che è stato attivato. Prima devo disabilitare l'utente e poi cancellarlo.

— Vassilis,

È una buona idea controllare anche le estensioni di terze parti. Una volta avevo installato EasyBlog utilizzando un sito sandbox (ovvero un account di hosting temporaneo che ho impostato e smontato per testare le estensioni) e lasciato tutte le impostazioni predefinite. Dopo un paio di giorni, avevo circa 10 abbonati spam al sito: era una "vulnerabilità pronta all'uso" dell'estensione di terze parti che aveva bisogno di un'attenzione speciale per il "blocco" prima di andare in diretta. Uso EasyBlog come esempio, ma qualsiasi estensione che consente agli utenti di registrarsi e / pubblicare contenuti può inavvertitamente aggiungere vulnerabilità per la registrazione di utenti fasulli.

— NivF007,

Perché trovo utenti registrati falsi / spam nel mio sito ...?

La maggior parte di tali registrazioni proviene da botnet , macchine infette , script kiddy e generalmente tutti i tipi di bot.

In sistemi come Joomla , in cui la posizione del modulo di registrazione dell'utente è ben nota e per impostazione predefinita accessibile al pubblico, è facile iniziare a compilare e inviare i moduli.
In realtà nel mondo di Internet di oggi, questo è qualcosa che sta accadendo continuamente e in un volume altissimo in tutti i tipi di moduli web (forum, commenti, moduli di contatto, registrazione ecc.).

- Disabilita la registrazione utente

Esistono alcuni modi per proteggere un sito Joomla da tali attività. Inizialmente, se non è necessario che gli utenti si registrino nel proprio sito Web, è possibile disabilitare la Registrazione utente , in Configurazione utenti (Utenti-> opzioni-> Consenti registrazione utente impostata su No).

Miglioramenti della sicurezza Suggerimenti contro lo spamming dei moduli

Oltre a questo, o nel caso in cui sia necessario abilitare la Registrazione utenti , ecco alcune tecniche e suggerimenti per proteggere i vari moduli Joomla da spammer, spambots e hacker:

- Abilita reCaptcha per la registrazione dell'utente

Joomla viene fornito con un plug-in captcha nativo. Puoi trovarlo all'interno di Plugin, cerca: Captcha - ReCaptcha . All'interno del plug-in ci sono le istruzioni su come configurarlo. Dovrai anche ottenere una chiave API da https://www.google.com/recaptcha/ .
Documentazione Joomla su reCaptcha

- Reindirizza tutte le registrazioni al modulo di registrazione personalizzato con campi nascosti

Ci sono molte buone estensioni del modulo Joomla là fuori. Molti di questi forniscono l'integrazione per la registrazione dell'utente. Puoi creare il tuo modulo di registrazione personalizzato e aggiungere 1 campo nascosto aggiuntivo, con una convalida contro il completamento, o elaborando POST datail modulo. I tuoi utenti non vedranno mai il campo nascosto, ma anche i robot proveranno a completare questo campo, ma poi la tua validazione fallirà, o se stai elaborando i dati dei post, potresti reindirizzare a una pagina proibita 403. Perché questa soluzione funzioni completamente avrai bisogno di un plugin aggiuntivo, che gestirà il reindirizzamento per tutte le registrazioni sul tuo modulo personalizzato.

- Joomla Antispam / Estensioni di sicurezza

Admin Tools , RS-Firewall e ci dovrebbero essere altri ... sono estensioni che forniscono una protezione completa del firewall contro questo e altri problemi di sicurezza. Ad esempio con Admin Tools pro puoi inserire campi nascosti in tutte le forme esistenti del tuo sito Joomla e bloccare gli IP da cui proviene un invio. Futhermore Admin Tools fornisce l'integrazione con il progetto HoneyPot e le funzionalità di blocco GeoIP per paese, tra le altre funzionalità.

Collegamenti JED

- Integra ProjectHoneyPot

Http: BL è un sistema che consente agli amministratori di siti Web di sfruttare i dati generati da Project Honey Pot al fine di tenere lontani i siti Web da robot Web sospetti e dannosi. Project Honey Pot tiene traccia di raccoglitori, commentatori spammer e altri visitatori sospetti di siti Web. Http: BL rende questi dati disponibili a tutti i membri di Project Honey Pot in modo semplice ed efficiente.

Esistono molte applicazioni software che forniscono l'integrazione di ProjectHoneyPot. Per Joomla alcune estensioni sono: Admin Tools Pro e sh404SEF .

- ZBBlock.php di Spambotsecurity.com

Migliora la sicurezza della tua applicazione Joomla con questo script di sicurezza php gratuito. È progettato per rilevare determinati comportamenti dannosi per i siti Web o indirizzi non validi noti che tentano di accedere al tuo sito. Quindi invierà al robot malvagio (di solito) o all'hacker un'autentica pagina VIETATA 403 con una descrizione di quale fosse il problema. È possibile che tu debba creare alcune firme personalizzate o sign.override per farlo funzionare esattamente per le tue esigenze, ma è molto efficace. Spambotsecurity.com

- Impedisci ai post che non provengono dal tuo sito in htaccess

RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{HTTP_REFERER} !^http://www.yourwebsite.com [NC]
RewriteRule .* - [F]

E un riferimento a un post sul blog con più modi di inserire nella blacklist tramite htaccess e mod_rewrite. https://perishablepress.com/eight-ways-to-blacklist-with-apaches-mod_rewrite/

- Mod_Security Web Application Firewall.

Bene, ci sono così tante cose interessanti che puoi fare a livello di server, usando mod_security (supponendo che sia installato sul tuo server). L'argomento è grande e molto probabilmente fuori dallo scopo di questo sito Web. Inoltre, molte delle possibilità dipendono dal tipo / ambiente di hosting, quindi pubblicherò alcuni link di riferimento con ulteriori informazioni su mod_security.

- Software relativo di terze parti e collegamenti di sicurezza generali del server

— FFrewin
fonte

La ringrazio per la risposta. Ho scelto come risposta di Neil ma la tua è più completa e completa è una buona raccomandazione per la sicurezza di un sito Joomla. La terrò per riferimento futuro. Grazie ancora.

— Vassilis,