10 способов предотвращения регистрации спам-аккаунтов
Доброго дня читателям. Сегодня у нас актуальный вопрос для всех у кого включена регистрация на WordPress сайте — как остановить поток спам-регистрации? Вы знаете, что существует вредоносное программное обеспечение под названием “spambots”, которое безустанно ищет в интернете уязвимые сайты? И один из самых эффективных методов, которые использует такое программное обеспечение, чтоб внедриться на ваш сайт – это создание спаммерских пользовательских аккаунтов.
[toc]
По умолчанию WordPress-сайты позволяют пользователям регистрироваться, используя стандартную ссылку: yoursite.com/wp-login.php?action=register. Спамботы запрограммированы таким образом, чтоб найти такую ссылку и зарегистрировать фейковых юзеров. Чтоб защитить сайт и остановить спаммерские регистрации в WordPress, вы можете использовать следующие трюки на примере популярного плагина WPForms и не только, но заметим, что конечно, необязательно использовать все их сразу.
Изменение пользовательской роли по умолчанию в WordPress
Первое, что вы можете сделать для защиты своего сайта – это изменить настройки по умолчанию для новых зарегистрированных аккаунтов.
Идем в Настройки » Общие. Здесь вы можете убрать галочку напротив «Членство», чтоб убедиться в том, что никто не сможет зарегистрироваться на вашем сайте.
Но что делать, если вам все еще нужна регистрация реальных пользователей? В этом случае мы рекомендуем использовать пользовательскую роль «Подписчик» в качестве дефолтной для новых членов вашего сообщества. Эта роль наиболее безопасна, так как не дает доступ к административной области WordPress.
Чтоб это сделать вам нужно поставить галочку напротив «Любой может зарегистрироваться», установить роль по умолчанию «Подписчик»
User Registration Form
Если вы решили позволить пользователям регистрацию, то неплохо бы создать кастомную пользовательскую форму регистрации например с помощью WPForm. Для создания более безопасной формы можно использовать аддон WPForms User Registration.
Первое, что вам нужно сделать – это инсталлировать и активировать плагин WPForms. После установки WPForms, идем в WPForms » Аддоны и найдем там User Registration Addon. Чтоб получить доступ к этом аддону, вам понадобится тарифный план Pro.
Email-активация пользовательской регистрации
User Email Activation –это опциональная функция безопасности, доступная в виде аддона WPForms User Registration.
Если вы обяжите пользователя кликнуть на ссылку в электронном письме для подтверждения регистрации, то спамботы не смогут преодолеть это препятствие. Идем в Settings » User Registration. В превью-панели, которая находится по правую руку, крутим вниз до User Activation Method и выбираем User Email. Вот и все, не забудьте сохранить новые настройки.
Разрешение администратора на регистрацию новых пользователей
Если вам нужен еще более надежный метод регистрации пользователей, то вы можете использовать ручное подтверждение. Этот метод обяжет вас просматривать каждую заявку на регистрацию, прежде чем пользователь сможет присоединиться к вашему сайту.
Когда появится новая заявка на регистрацию, вы получите email-уведомление и сможете принять или отказать в регистрации новому пользователю. Чтоб активировать этот метод идем в Settings » User Registration. В привью панели, которая находится по правую руку, прокручиваем страницу до User Activation Method и выбираем Manual Approval.
CAPTCHA
Еще один способ остановить поток спамерских регистраций – это использовать поле CAPTCHA.
CAPTCHA- это тестовый-вопрос, на который пользователь должен ответить, чтоб отослать введенные данные. Итак, наша CAPTCHA предполагает решение простого математического примера или использование кастомных вопросов.
Для этого вам нужно активировать аддон Custom CAPTCHA. После этого действия появится новое Fancy-поле под названием “CAPTCHA”, которое можно перетащить в вашу создаваемую форму.
По умолчанию будут показаны рандомные математические примеры. Но если вы кликните на редактирование поля CAPTCHA, то получите возможность выбирать опцию «вопрос-ответ» и ввести собственный кастомный вопрос.
reCAPTCHA
CAPTCHA – это очень эффективный способ предотвращения спама, но он может послужить раздражителем для реальных пользователей.
Вместо того, чтоб использовать кастомную опцию CAPTCHA мы можем использовать инструмент reCAPTCHA от Google.
Преимущество использования reCAPTCHA заключается в том, что пользователю нужно всего лишь клиунуть на чекбокс, вместо того, чтоб решать примеры или отвечать на вопросы.
Чтоб активировать reCAPTCHA в вашей форме, пойдите в WPForms » Addons и найдите там аддон reCAPTCHA. Затем отредактируйте вашу форму и пойдите в Settings » General. Взгляните на привью-панель по правую руку, которая находится ближе к низу экрана, и выберете reCAPTCHA.
Антиспам Honeypot
Если вы хотите совсем отказаться от использования поля CAPTCHA, то можете использовать опцию Honeypot.
Honeypot – это великолепная система, которая ничем не напрягает ваших пользователей, потому что она совершенно невидима для них. Базово honeypot – это скрытое поле вашей формы, которое обычно остается пустым. Но оно видимо для спамбоов, и они автоматически заполняют его. Если honeypot –поле заполнено, то форма помечается, как спам.
WPForms имеет встроенную honeypot-функцию, которая включена по умолчанию. Эту опцию можно найти в Settings » General во время редактирования формы.
В нижней части правосторонней превью-панели вы увидите выбранную по умолчанию функцию anti-spam honeypot.
Остановим спамерские регистрации
Еще один шаг к полной остановке спамерских регистрации – это использование плагина Stop Spammers Spam Prevention
Плагин использует целый набор техник, позволяющих предотвратить появление спама, включая проверку Akismet для более активной блокировки спама в случае повышенной спамерской активности. Плагин также составляет черный список хостингов, известных лояльным отношением к спамерам, и блокирует их. После активации плагина идем в Spammers » Protection options.
Для большинства сайтов хорошо сработают установки по умолчанию. Но всегда можно убрать парочку галочек, если нормальный пользователь случайно попал в бан.
Есть небольшая вероятность, того, что плагин запрет от вас админ-область. Если такое случится, то получите FTP-доступ к сайту и переименуйте файл плагина из stop-spammer-registrations.php в stop-spammer-registrations.locked. WordPress автоматически деактивирует плагин за вас, и вы опять сможете войти в админ-область.
Блокировка IP-адреса
Вы же знаете, что любой компьютер, подключенный к Интернету, можно идентифицировать по уникальному номеру, который называется IP-адресом? Когда вы понимаете, что определенный IP-адрес рассылает спам на вашем сайте, вы можете полностью заблокировать этот адрес, тем самым отрезав доступ к вашему сайту.
Чтоб отследить IP-адреса, которые используют вашу форму, откройте Settings » Notifications с помощью редактора формы.
Рядом с полем Message, кликните на Show Smart Tags, а затем кликните на User IP Address.
Когда вы получите следующее email-уведомление, то вы увидите там IP-адрес пользователя. Хотите заблокировать этот IP-адрес на вашем сайте? Первый способ заключается в том, что вам нужно попросить вашего хостера дать вам возможность блокировать нежеланные адреса, а второй – в применение специального плагина под названием Sucuri .
Sucuri
Sucuri – это компания, которая специализируется на безопасности WordPress. Эти ребята защитят вас от хакеров, вредоносного программного обеспечения, DDoS и т.д.
После включения Sucuri, весь ваш трафик будет сначала проходить через их CloudProxy файервол и только потом будет отослан на ваш хостинг-сервер. Это позволит заблокировать все атаки и обеспечить доступ к сайту только проверенным пользователям. Данный файервол также позволяет вам разогнать ваш сайт.