Najlepsze metody zapobiegania rejestracji spamu w WordPress

Spamerzy są coraz bardziej podstępni, co ułatwia Twojej witrynie szybkie pokonanie fałszywych komentarzy i fałszywych rejestracji.

Próba wymanewrowania tego niekończącego się napływu może wydawać się daremnym wysiłkiem. Pozostawienie go sprawia, że Twoja witryna wygląda niechlujnie i zaśmieca bazę danych. Usuwanie go zajmuje dużo cennego czasu, w sposób powtarzalny.

Najlepsze rozwiązanie? Wprowadzenie zabezpieczeń, które zapobiegają zalaniu witryny.

W tym artykule przyjrzymy się łatwym opcjom, które możesz wdrożyć, aby zapobiec rejestracji spamu w WordPress, co spowoduje natychmiastowe, skuteczne i bieżące wyniki.

Czytaj dalej, lub Skocz do przodu, korzystając z tych linków:

Rzućmy okiem na to, jak wycisnąć presję na rejestracje spamu WordPress.

Możliwości Wtyczki

Defender Plugin
Wtyczka Defender

Defender to luksusowa i darmowa wtyczka bezpieczeństwa WordPress, która chroni Twoją witrynę przed złośliwymi aktami. Ataki Brute force, zastrzyki SQL, cross-Site scripting (XSS) i inne nie mają szans z tą zbrojownią na miejscu.

Jest również niezwykle skuteczny w filtrowaniu spamu. Oprócz korzystania z Google reCAPTCHA, Blokada IP geolokalizacji Defendera pozwala odciąć rejestracje na podstawie lokalizacji i kraju—bardzo pomocne, jeśli istnieje znane regionalne źródło spamowania.

Aby użyć funkcji IP banowania W Defender:

  1. Najpierw musisz założyć konto w MaxMind (jest bezpłatne), aby uzyskać dostęp do Baza Danych GeoLite2 (również za darmo). Po utworzeniu i potwierdzeniu konta Wygeneruj klucz licencyjny, a następnie skopiuj go do następnego kroku.
  2. Z Pulpitu Nawigacyjnego WordPress przejdź do Defender > Firewall > IP Banning, a następnie przewiń w dół do sekcji lokalizacje.
  3. Wklej swój klucz w polu Klucz licencyjny, a następnie kliknij przycisk Pobierz.(Poczekaj 5-10 minut na pełną aktywację licencji, w przeciwnym razie prawdopodobnie otrzymasz nieprawidłowy klucz licencyjny komunikat o błędzie.)

Teraz możesz kliknąć pole z ikoną globalną pod Lista zablokowanych krajów lub Allowlist Dozwolone kraje, i wybierz te z rozwijanych menu, które chcesz zablokować lub zezwolić. (Twój kraj ojczysty jest dodawany do Allowlist domyślnie.)

IP banning
IP banning to szybka i skuteczna metoda blokowania znanych źródeł spamu.

Istnieje jeszcze jedna dodatkowa ochrona przed spamem wbudowana w Defender: banowanie agenta użytkownika. Nagłówek żądania User-Agent jest to ciąg, który jest współdzielony z serwerem podczas żądania, w celu identyfikacji nazwy i wersji aplikacji przeglądarki odwiedzających oraz systemu operacyjnego hosta i języka.

Aby aktywować tę funkcję z Pulpitu nawigacyjnego WP, przejdź do Defender > Firewall > banowanie agenta użytkownika i kliknij niebieski przycisk Aktywuj. Stąd możesz dodać agentów użytkowników do Blocklist lub Allowlist, trwale uniemożliwiając lub zezwalając im na dostęp do witryny. (Domyślnie WPMU DEV zawiera kilka znanych złych agentów użytkowników na liście bloków.)

Ostatni trick W Defender, dla jeszcze bardziej skutecznych wyników. Przewiń w dół do pustych nagłówków i przełącz przycisk na Blokuj adresy IP z puste nagłówki Referrer i User-Agent (przejdzie z szarego na niebieski). Nadal istnieje wiele botów, które używają pustego referrera HTTP, a te są prawie zawsze złośliwe, więc dobrym pomysłem jest włączenie go.

Defender user agent banning
User Agent allow & block lists W Defender to potężni sprzymierzeńcy w walce ze spamem.

Dzienniki dostępu można przeglądać w dowolnym momencie, tutaj: Defender > Firewall > Logs. Kwestia wyjaśnienia: jeśli ten sam bot lub user agent pojawia się zarówno na listach Zezwalaj, jak i blokuj, Zezwól zawsze nadpisuje Blok.

Istnieje również wersja Pro tej wtyczki, która dodaje więcej funkcji, takich jak: białe etykietowanie 2FA i najlepsze w swojej klasie wsparcie w czasie rzeczywistym.

Forminator Plugin
Wtyczka Forminator

Forminator to darmowa, łatwa w użyciu wtyczka do tworzenia formularzy WordPress, która chroni Twoje formularze przed spamem przez cały czas przy wyborze Captcha (ReCAPTCHA lub hCaptcha), plus Honeypot i integracje Akismet.

Spamerzy wiedzą, że domyślna strona rejestracji WordPress to / Zarejestruj się więc jest to często używany cel. Forminator wie o tym i wprowadza inteligentne narzędzia, aby zapobiec przedostawaniu się spamu na stronach rejestracji.

Włączenie ochrony przed spamem w Forminatorze jest proste; sprawdź ten samouczek, aby uzyskać kompletny przegląd.

Forminator robi znacznie więcej niż kładzie kibosh na SPAM rejestracyjny. Jest to kompleksowy Kreator formularzy (formularze kontaktowe, formularze zamówień, ankiety i quizy oraz opcje płatności), który wykorzystuje inteligentny kreator wizualny przeciągnij i upuść, dzięki czemu konfiguracja w WordPress jest prosta.

Istnieje również wersja Pro, która dodaje funkcję podpisu elektronicznego wraz z obsługą premium 24/7.

Profile Builder Plugin
Wtyczka Do Tworzenia Profili

Profile Builder to kolejna darmowa wtyczka, która pozwala ograniczyć zawartość w oparciu o rolę użytkownika lub status zalogowanego.

Wykorzystuje niewidoczne wsparcie dla Google reCAPTCHA dla domyślnych formularzy WordPress i ograniczeń treści w oparciu o bieżące role użytkowników lub status zalogowanego.

Aby dostosować pola formularza rejestracyjnego:

  1. Z Pulpitu nawigacyjnego WP przejdź do Kreatora profili > pola formularzy.
  2. W górnym wierszu pola kliknij menu rozwijane dla Wybierz opcję; zacznij pisać reCAPTCHA (jest pod Zaawansowane), następnie wybierz go.

Profile builder settings
Korzystanie z funkcji Szukaj, aby uzyskać dostęp do ustawień reCAPTCHA w polach formularza Kreatora profili.

  1. Wybierz preferowaną reCAPTCHA z rozwijanego menu.
  2. Wprowadź klucze API – Miejsce & Tajemnica.
  3. Sprawdź żądane opcje w obszarze Wyświetlanie na formularzach PB i wyświetlanie na domyślnych formularzach WP.
  4. Skopiuj shortcode z menu prawego paska bocznego, które odpowiada Twojemu wyborowi.
  5. Wklej krótki kod, w którym chcesz, aby niestandardowy formularz był wyświetlany w Twojej witrynie.

profile-builder-settings-2-1050×839.png “alt=” Profile builder settings 2 ” width = “1050” height = ” 839 ” />wybraliśmy tutaj Pb & Default WP Register, więc użyjemy shortcode [wppb-Rejestracja].Istnieje również wersja premium, która oferuje dodatkowe pola użytkownika, niestandardowe przekierowania, zaawansowane dodatki, a także możliwość wymagania zgody administratora dla nowych rejestracji.

User Registration Plugin
Wtyczka Do Rejestracji Użytkownika

Wtyczka rejestracji użytkownika jest bezpłatna, lekka i bardzo responsywna. Oferuje ochronę przed spamem dzięki Google reCaptcha i Honeypot.

Po zainstalowaniu Rejestracja Użytkownika plugin, daje możliwość automatycznego tworzenia niestandardowej strony rejestracji, przy użyciu tego adresu URL: yoursite.com/registration.

Możesz również wykonać jedną z następujących czynności:

Wymagaj Zgody Administratora

  1. Przejdź do Ogólne > Opcje Ogólne zakładka na pulpicie wtyczki.
  2. Od Login użytkownika rozwijane menu, wybierz Zatwierdzenie administratora po rejestracji.

Choosing the option for Admin approval after registration.
Wybór opcji dla Zatwierdzenie administratora po rejestracji.

Włącz reCAPTCHA

  1. Przejdź do Integracja zakładka na pulpicie wtyczki.
  2. Wprowadź klucze API – Klucz Strony & Tajny Klucz.

Site and secret key APIs are needed to use reCAPTCHA in the User Registration plugin.
Site i secret key API są potrzebne do korzystania z reCAPTCHA w Rejestracja Użytkownika plugin.

Aby włączyć reCAPTCHA w określonym formularzu rejestracyjnym, musisz edytować ten formularz i włączyć go od wewnątrz.

Istnieje wersja premium Rejestracja Użytkownika ponadto, co pozwala na integrację z WooCommerce i dodaje możliwość importowania użytkowników.

Następnie przyjrzymy się użyciu Cloudflare w walce ze spamem rejestracyjnym.

Cloudflare Capable

Cloudflare jest najbardziej znany jako sieć dostarczania treści (CDN). Dzięki ogromnej sieci serwerów Cloudflare pomaga przyspieszyć i chronić witryny przed złośliwymi atakami, jednocześnie buforując w ponad 165 centrach danych na całym świecie, aby zwiększyć wydajność Twojej witryny.

Odcinając rejestracje lokalizacyjne / krajowe od znanych źródeł botów, Cloudflare oferuje ochronę przed spamem w dwóch formach: Blok IP, oraz Zasady Zapory Sieciowej.

Ich Blok IP funkcja jest dostępna tylko w ramach planu Enterprise, który jest dostarczany z ceną na poziomie Enterprise ( $ $ $ ).

Ale nie martw się; Zasady Zapory Sieciowej może być używany na dowolnym planie. Reguły zapory mogą blokować według lokalizacji, adresu IP, agenta użytkownika i innych. W ramach planu bezpłatnego możesz korzystać z maksymalnie pięciu reguł aktywnej Zapory, a następnie stopniowo zwiększać ją w miarę wzrostu poziomu płatnego.

Niezależnie od rodzaju planu, utworzenie konta jest wymagane do korzystania z dowolnej funkcji Cloudflare. Będziesz także musiał wskazać istniejące serwery DNS (aka, serwery nazw) na te dostarczane przez Cloudflare. Zapewnia to lepsze wrażenia przeglądania dla użytkowników, więc nie jest dodatkową wartością.

Po zakończeniu możesz utworzyć reguły zapory sieciowej w następujący sposób.

  1. Zaloguj się na swoje konto Cloudflare.
  2. Wybierz jedną ze swoich stron internetowych.
  3. Z menu po lewej stronie wybierz reguły zapory.
  4. Na stronie głównej kliknij niebieski przycisk Utwórz regułę zapory.

Cloudflare firewall rules
Darmowy plan Cloudflare pozwala na posiadanie do pięciu aktywnych reguł zapory.

  1. Wprowadź nazwę w polu tekstowym Nazwa reguły.
  2. Poniżej, gdy żądania przychodzące pasują do…, wybierz żądane opcje z odpowiednich menu rozwijanych dla pola, operatora i wartości.Opcjonalne: dodaj dodatkowe parametry do tej reguły, klikając przyciski i / lub; następnie wybierz odpowiednie opcje w wynikowym wierszu.
  3. Poniższy wiersz pokazuje podgląd wyrażenia, który można edytować, klikając łącze Edytuj wyrażenie nad otwartym polem tekstowym. (Działanie nie jest wymagane.)
  4. Z rozwijanego menu pod Then…, wybierz opcję.
  5. Kliknij przycisk wdrożyć, aby zapisać regułę.

Cloudflare firewall rules 2
Tworzenie reguły w ustawieniach zapory Cloudflare.

Ważne: Twoja reguła nie jest jeszcze aktywna. Aby tak się stało, musisz wrócić do listy reguł zapory i przełączyć przycisk ON (przechodzi z szarego z-an-X na zielony z-a-check-mark).

Zarządzanie regułami Firewalla w CF

W każdej chwili możesz Edycja reguła (kliknij na przycisk klucza), Usunąć to (kliknij na przycisk X), lub zrobić to Nieaktywny (Przełącz zielony przycisk-with-a-check-mark, zmieniając go na szary-with-an-X).

Możesz również zmienić kolejność reguł, klikając i przeciągając strzałki góra-dół po lewej stronie każdego wiersza reguły lub klikając przycisk zamawiania.

Cloudflare firewall rules 3
Strona podsumowania reguł firewalla w Cloudflare.

Ciekawi, jakiego rodzaju działalność miała jakaś reguła? Wystarczy spojrzeć na aktywność ostatnich 24 godzin kolumny na Zasady zapory sieciowej strona.

Aby dodać więcej reguł zapory, powtórz powyższy proces. Lub kliknij tutaj, aby uzyskać więcej informacji na temat zasad zapory w Cloudflare.

Szybki pasek boczny na CDN … WPMU DEV oferuje również CDN w naszym zarządzanym hostingu, który bezproblemowo integruje się z Cloudflare(a także naszymi wtyczkami optymalizacyjnymi-Smush & Hummingbird).

Ważne jest, aby pamiętać, że najlepiej nie serwować treści z dwóch różnych CDN, ponieważ z pewnością spowoduje to problemy.

Dzięki zapakowaniu Cloudflare pozostaje nam jeszcze jedno rozwiązanie w wojnie z rejestracjami spamu … wszechmocny WAF.

WAF Wisdom

Firewall aplikacji internetowych (WAF), to warstwa bezpieczeństwa między użytkownikami końcowymi a aplikacjami. Kontroluje ruch przychodzący i powracający do aplikacji internetowych, filtrując cały dostęp między nimi.

Różni się to od standardowej zapory sieciowej, która stanowi barierę między zewnętrznym i wewnętrznym ruchem sieciowym. Zapora sieciowa chroni zabezpieczoną sieć przed nieautoryzowanym dostępem, aby zapobiec ryzyku ataków i złośliwych botów. Jej podstawowym celem jest oddzielenie strefy zabezpieczonej od mniej zabezpieczonej zone i kontroluj komunikację między nimi.

Ogólnie rzecz biorąc, firewall jest wdrażany w pobliżu krawędzi sieci, co czyni go skuteczną barierą między znanymi, zaufanymi sieciami a nieznanymi, prawdopodobnie niebezpiecznymi. Standardowe zapory sieciowe mają na celu odmowę lub zezwolenie na dostęp do sieci lub odmowę dostępu do określonych obszarów (folderów, stron internetowych itp.) bez odpowiednich poświadczeń.

WAFs uzupełniają standardowe zapory sieciowe, chroniąc infrastrukturę aplikacji i jej użytkowników, koncentrując się na aplikacjach i serwerach HTTP/HTTPS, aby zapobiec zagrożeniom, takim jak SQL Injection, ataki DDOS i ataki typu cross-site scripting (XSS).

WAFs nie tylko biernie monitoruje aktywność, ale także aktywnie eliminuje słabości aplikacji internetowych. Ponieważ stale skanują luki w zabezpieczeniach, WAFs często obserwują słabości w sieci i łatają je, na długo przed zauważeniem przez użytkownika. Łatka jest rozwiązaniem krótkoterminowym, które zapewnia czas na rozwiązanie problemu i zapobieganie potencjalnym naruszeniom w sieci.

Zapoznaj się z tym artykułem, aby uzyskać głębsze informacje na temat WAF.

Wystarczy powiedzieć, że jeśli chodzi o filtrowanie rejestracji spamu, WAFs błyszczy.

Najlepsi gospodarze mają WAF (fles)

Jeśli masz wysokiej jakości hosta WordPress, szanse są dobre, że włączyli WAFs do swojego ekosystemu.

Tutaj w WPMUDEV Wafy są zawarte we wszystkich naszych planach hostingowych. Co oznacza, że za pomocą kilku kliknięć możesz umieścić problemy z rejestracją spamu w lusterku wstecznym.

Jeden z naszych członków miał to do powiedzenia na temat używania naszego WAF do ograniczenia rejestracji spamu:

“Po konsultacji ze wsparciem wpmudev zmieniłem stronę, za pośrednictwem której dokonano rejestracji spamu na mojej stronie, aby została zablokowana przez WAF, i ku mojemu zdziwieniu złośliwe boty rzuciły się po piętach! Koniec z ekscytacją widząc “200 nowych wizyt”,” 200 nowych potencjalnych klientów ” tylko po to, aby odkryć, że były to spamowe rejestracje.”

Aby pokazać, jak łatwo jest zablokować i załadować tę funkcję, wykonamy szybki przegląd ustawień WAF za pośrednictwem naszego uniwersalnego Pulpitu nawigacyjnego, Hub.

Przejdź do centrum i kliknij witrynę, którą chcesz zarządzać.

Kliknij kartę Security header, a następnie w obszarze Firewall kliknij ikonę koła zębatego dla Hosted WAF.

Settings for WAF via The Hub’s security tab.
Ustawienia WAF za pośrednictwem karty bezpieczeństwo koncentratora.

Przełącz przycisk ochrony Witryny na włączony (przejdzie z szarego na niebieski).

One-click switch protects your site with WAF.
Przełącznik jednym kliknięciem chroni Twoją witrynę za pomocą WAF.

Spowoduje to wyświetlenie wybranych list dozwolonych i blokowych dla adresów IP, agentów użytkowników, adresów URL i wyłączonych identyfikatorów reguł.

WAF customize rules
Możesz dostosować reguły do własnych potrzeb, korzystając z opcji w WAF.

Możesz ustawić dowolną liczbę konkretnych ustawień, a następnie kliknąć Zapisz – lub po prostu nacisnąć szary przycisk Zamknij, aby zastosować nasze predefiniowane reguły.

WAF save settings
Określ ustawienia przed naciśnięciem przycisku Zapisz lub zastosuj predefiniowane reguły za pomocą przycisku Zamknij.

Po zakończeniu możesz zobaczyć w widoku podsumowanie, że zapora jest aktywna i chroni witrynę.

WAF summary -- on
WAF jest aktywny i na służbie!

Dziennik WAF

Mamy inteligentną wbudowaną funkcję w naszym WAF, która rejestruje identyfikatory reguł i błędy, zwaną (odpowiednio) – Dziennik WAF.

Aby wyświetlić Dziennik, wybierz witrynę, a następnie przejdź do centrum > Hosting > dzienniki > dziennik WAF.

WAF log reveals all
Dziennik WAF ujawnia wszystko tym, którzy go szukają.

Skąd pochodzą ataki, jakie żądania zostały zablokowane i jakie reguły wywołały te żądania, są rejestrowane tutaj, łatwo dostarczając informacji potrzebnych do zminimalizowania fałszywych alarmów.

Jeśli przewiniesz na dół listy Zezwalaj i blokuj, zobaczysz Wyłącz identyfikatory reguł. Wprowadź dowolny identyfikator reguły (z dziennika), który powoduje problemy, i bum—jest natychmiast wyłączony.

Disabled Rule Ids
Położyć kres problematycznym atakom, umieszczając je w Wyłączone Identyfikatory Reguł pole.

Gdy jest aktywny, WPMU dev WAF angażuje pole siłowe (niestandardowy zestaw reguł), więc ataki i złośliwy ruch są odpierane, zanim mogą nawet trafić.

Przejmowanie Kontroli

Rejestracja spamu w witrynie WordPress może stać się przytłaczającą irytacją. Ale możesz zmniejszyć lub nawet całkowicie pozbyć się swojej witryny za pomocą kilku prostych manewrów.

Jedną z możliwości jest dodanie dedykowanej wtyczki do rejestracji WordPress, która wymaga dodatkowych kroków (takich jak CAPTCHA) lub zatwierdzenia przez Administratora dla nowych użytkowników. Mogą one pomóc, ale nie zawsze są najbardziej wydajne, ponieważ wydają się pozwalać na pełzanie z czasem. Jeśli twój ruch jest lekki, może Ci wystarczyć.

Innym wyborem jest użycie Cloudflare i tworzenie reguł zapory sieciowej specyficznych dla każdego typu rejestracji spamu (IP lub kraj źródła). Połów tutaj będzie, jeśli masz płatny plan, ponieważ bezpłatne członkostwo ogranicza liczbę tych, które możesz mieć aktywne naraz.

Na koniec jest możliwość zastosowania mocnego i niezawodnego WAF. Jeśli hostujesz u nas, to masz już to potężne narzędzie w swojej szopie WordPress. (Jeśli nie – Rejestracja jest szybka i łatwa, możesz wypróbować nas przez 30 dni, satysfakcja bezwarunkowo gwarantowana!)

Krzyk do naszego członka, Chrisa Chukwunyere z Gzi, który przyczynił się do zalążka, który kiełkował w tym artykule.

Uwaga: nie przyjmujemy artykułów ze źródeł zewnętrznych. Członkowie WPMU DEV mogą jednak zgłaszać pomysły i sugestie dotyczące samouczków i artykułów na naszym blogu za pośrednictwem bloga XChange.