Perché trovo utenti registrati falsi / spam nel mio sito ...?
La maggior parte di tali registrazioni proviene da botnet , macchine infette , script kiddy e generalmente tutti i tipi di bot.
In sistemi come Joomla , in cui la posizione del modulo di registrazione dell'utente è ben nota e per impostazione predefinita accessibile al pubblico, è facile iniziare a compilare e inviare i moduli.
In realtà nel mondo di Internet di oggi, questo è qualcosa che sta accadendo continuamente e in un volume altissimo in tutti i tipi di moduli web (forum, commenti, moduli di contatto, registrazione ecc.).
- Disabilita la registrazione utente
Esistono alcuni modi per proteggere un sito Joomla da tali attività. Inizialmente, se non è necessario che gli utenti si registrino nel proprio sito Web, è possibile disabilitare la Registrazione utente , in Configurazione utenti (Utenti-> opzioni-> Consenti registrazione utente impostata su No).
Miglioramenti della sicurezza Suggerimenti contro lo spamming dei moduli
Oltre a questo, o nel caso in cui sia necessario abilitare la Registrazione utenti , ecco alcune tecniche e suggerimenti per proteggere i vari moduli Joomla da spammer, spambots e hacker:
- Abilita reCaptcha per la registrazione dell'utente
Joomla viene fornito con un plug-in captcha nativo. Puoi trovarlo all'interno di Plugin, cerca: Captcha - ReCaptcha . All'interno del plug-in ci sono le istruzioni su come configurarlo. Dovrai anche ottenere una chiave API da https://www.google.com/recaptcha/ .
Documentazione Joomla su reCaptcha
- Reindirizza tutte le registrazioni al modulo di registrazione personalizzato con campi nascosti
Ci sono molte buone estensioni del modulo Joomla là fuori. Molti di questi forniscono l'integrazione per la registrazione dell'utente. Puoi creare il tuo modulo di registrazione personalizzato e aggiungere 1 campo nascosto aggiuntivo, con una convalida contro il completamento, o elaborando POST data
il modulo. I tuoi utenti non vedranno mai il campo nascosto, ma anche i robot proveranno a completare questo campo, ma poi la tua validazione fallirà, o se stai elaborando i dati dei post, potresti reindirizzare a una pagina proibita 403. Perché questa soluzione funzioni completamente avrai bisogno di un plugin aggiuntivo, che gestirà il reindirizzamento per tutte le registrazioni sul tuo modulo personalizzato.
- Joomla Antispam / Estensioni di sicurezza
Admin Tools , RS-Firewall e ci dovrebbero essere altri ... sono estensioni che forniscono una protezione completa del firewall contro questo e altri problemi di sicurezza. Ad esempio con Admin Tools pro puoi inserire campi nascosti in tutte le forme esistenti del tuo sito Joomla e bloccare gli IP da cui proviene un invio. Futhermore Admin Tools fornisce l'integrazione con il progetto HoneyPot e le funzionalità di blocco GeoIP per paese, tra le altre funzionalità.
Collegamenti JED
Http: BL è un sistema che consente agli amministratori di siti Web di sfruttare i dati generati da Project Honey Pot al fine di tenere lontani i siti Web da robot Web sospetti e dannosi. Project Honey Pot tiene traccia di raccoglitori, commentatori spammer e altri visitatori sospetti di siti Web. Http: BL rende questi dati disponibili a tutti i membri di Project Honey Pot in modo semplice ed efficiente.
Esistono molte applicazioni software che forniscono l'integrazione di ProjectHoneyPot. Per Joomla alcune estensioni sono: Admin Tools Pro e sh404SEF .
- ZBBlock.php di Spambotsecurity.com
Migliora la sicurezza della tua applicazione Joomla con questo script di sicurezza php gratuito. È progettato per rilevare determinati comportamenti dannosi per i siti Web o indirizzi non validi noti che tentano di accedere al tuo sito. Quindi invierà al robot malvagio (di solito) o all'hacker un'autentica pagina VIETATA 403 con una descrizione di quale fosse il problema. È possibile che tu debba creare alcune firme personalizzate o sign.override per farlo funzionare esattamente per le tue esigenze, ma è molto efficace.
Spambotsecurity.com
- Impedisci ai post che non provengono dal tuo sito in htaccess
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{HTTP_REFERER} !^http://www.yourwebsite.com [NC]
RewriteRule .* - [F]
E un riferimento a un post sul blog con più modi di inserire nella blacklist tramite htaccess e mod_rewrite. https://perishablepress.com/eight-ways-to-blacklist-with-apaches-mod_rewrite/
- Mod_Security Web Application Firewall.
Bene, ci sono così tante cose interessanti che puoi fare a livello di server, usando mod_security (supponendo che sia installato sul tuo server). L'argomento è grande e molto probabilmente fuori dallo scopo di questo sito Web. Inoltre, molte delle possibilità dipendono dal tipo / ambiente di hosting, quindi pubblicherò alcuni link di riferimento con ulteriori informazioni su mod_security.
- Software relativo di terze parti e collegamenti di sicurezza generali del server