Jak zatrzymać (fałszywych) użytkowników przed rejestracją na mojej stronie?

9

Zarządzam stroną internetową, która nie wymaga rejestracji użytkowników. Jedynym potrzebnym użytkownikiem jest superużytkownik. Problem polega na tym, że znalazłem dużą liczbę nowych zarejestrowanych użytkowników.

Najpierw chcę wyłączyć możliwość rejestrowania nowych użytkowników i usuwania istniejących, z wyjątkiem superużytkownika.

Na początek zrobiłem kilka kroków, zainstalowałem dwa kroki weryfikacyjne, próbując zablokować i usunąć użytkowników.

Napotkałem problem, gdy próbowałem skasować lub zablokować użytkowników, nic się nie wydarzyło bez wyświetlenia błędu.

joomla-3.x joomla-2.5 user security registration Vassilis
źródło
Jaki problem napotkałeś podczas próby usunięcia użytkowników? Jakiś specjalny komunikat o błędzie?
FFrewin
Nie pokazał mi błąd. To jest dziwne. Wybieram wszystkich użytkowników oprócz mojego i wybieram usuń, strona jest ładowana, a potem nic.
Vassilis
hmm, jeśli na liście znajduje się zbyt wielu użytkowników, Joomla może uniemożliwić ci usunięcie wszystkich razem, jeśli ustawisz na liście „Wszystkich”. Spróbuj usunąć w pęczkach po 100. Użyj filtru show # rekordów do 100.
FFrewin
Rozwiązuję problem. Najpierw wybieram tylko użytkowników, którzy nie zostali aktywowani i usunąłem. Następnie blokuję użytkowników, którzy zostali aktywowani, a następnie usuwam wszystko.
Vassilis

Odpowiedzi:

11

Nowsze wersje Joomla 3.x domyślnie wyłączają rejestrację użytkownika.

Jeśli Twoja wersja Joomla została zainstalowana przed tą zmianą, prawdopodobnie masz włączoną rejestrację użytkownika.

Rejestracja użytkownika może zostać wyłączona poprzez ustawienie Users -> Manage -> Options -> Allow User Registration„Nie”.

Następnie możesz usunąć wszystkich użytkowników oprócz konta Super Administrator.

Neil Robertson
źródło
2
Neil, dziękuję bardzo. Znajduję i wyłączam opcję Zezwalaj na rejestrację użytkownika. Znalazłem ten sam problem: Nie mogłem usunąć użytkownika, który jest aktywowany. Najpierw muszę go wyłączyć, a następnie usunąć.
Vassilis
1
Warto również sprawdzić rozszerzenia innych firm. Kiedyś zainstalowałem EasyBlog za pomocą strony z piaskownicą (tj. Tymczasowe konto hostingowe, które skonfigurowałem i porzuciłem, aby przetestować rozszerzenia) i pozostawiłem wszystkie ustawienia domyślne. Po kilku dniach miałem około 10 subskrybentów spamu na stronie - była to „gotowa luka” rozszerzenia zewnętrznego, wymagająca szczególnej uwagi na „zablokowanie” przed uruchomieniem. Używam EasyBlog jako przykładu, ale każde rozszerzenie, które pozwala użytkownikom rejestrować i / lub publikować treści, może przypadkowo dodać luki w zabezpieczeniach dla fałszywych użytkowników przy rejestracji.
NivF007
14

Dlaczego znajduję fałszywych / spamowanych użytkowników w mojej witrynie…?

Większość takich rejestracji pochodzi z botnetów , zainfekowanych maszyn , kiddów skryptów i ogólnie wszelkiego rodzaju botów.

W systemach takich jak Joomla , w których lokalizacja formularza rejestracji użytkownika jest dobrze znana i domyślnie dostępna publicznie, łatwo jest rozpocząć wypełnianie i przesyłanie formularzy.
W rzeczywistości w dzisiejszym świecie internetowym dzieje się to w sposób ciągły i na bardzo dużą skalę we wszelkiego rodzaju formularzach internetowych (forach, komentarzach, formularzach kontaktowych, rejestracji itp.).

- Wyłącz rejestrację użytkownika

Istnieje kilka sposobów ochrony witryny Joomla przed takimi działaniami. Na początku, jeśli nie potrzebujesz, aby użytkownicy rejestrowali się w swojej witrynie, możesz wyłączyć rejestrację użytkownika w Konfiguracji użytkowników (Użytkownicy-> opcje-> Zezwalaj na rejestrację użytkownika ustawioną na Nie).

Ulepszenia bezpieczeństwa Wskazówki dotyczące spamowania formularzy

Oprócz tego lub w przypadku, gdy naprawdę potrzebujesz włączyć rejestrację użytkowników , oto kilka technik i sugestii, które pomogą Ci chronić różne formularze Joomla przed spamerami, robotami spamującymi i hakerami:

- Włącz reCaptcha do rejestracji użytkownika

Joomla jest dostarczana z natywną wtyczką captcha. Możesz go znaleźć w Wtyczkach , wyszukaj: Captcha - ReCaptcha . Wewnątrz wtyczki znajdują się instrukcje, jak ją skonfigurować. Musisz także uzyskać klucz API na stronie https://www.google.com/recaptcha/ .
Dokumentacja Joomla na reCaptcha

- Przekieruj wszystkie rejestracje do niestandardowego formularza rejestracyjnego z ukrytymi polami

Istnieje wiele dobrych rozszerzeń formularzy Joomla . Wiele z nich zapewnia integrację rejestracji użytkownika. Możesz zbudować własny niestandardowy formularz rejestracyjny i dodać 1 dodatkowe ukryte pole z weryfikacją przed wypełnieniem lub przez przetworzenie POST dataformularza. Twoi użytkownicy nigdy nie zobaczą ukrytego pola, ale boty również spróbują wypełnić to pole - ale wtedy twoja weryfikacja nie powiedzie się, lub jeśli przetwarzasz dane postu, możesz przekierować na stronę 403 Forbidden. Aby to rozwiązanie działało całkowicie, potrzebujesz dodatkowej wtyczki, która będzie obsługiwać przekierowanie dla wszystkich rejestracji w niestandardowym formularzu.

- Joomla Antispam / Security Extensions

Narzędzia administracyjne , RS-Firewall i powinno być więcej ... to rozszerzenia, które zapewniają dokładną ochronę zapory ogniowej przed tym i innymi problemami bezpieczeństwa. Na przykład za pomocą narzędzia Admin Tools pro możesz wstrzykiwać ukryte pola we wszystkich istniejących formach witryny Joomla i blokować adresy IP, z których pochodzi przesłanie. Futhermore Admin Tools zapewniamiędzy innymiintegrację z projektem HoneyPot i funkcjami blokowania GeoIP według kraju.

Linki JED

- Zintegruj ProjectHoneyPot

Http: BL to system, który pozwala administratorom stron internetowych korzystać z danych generowanych przez Project Honey Pot w celu powstrzymania podejrzanych i złośliwych robotów internetowych przed ich witrynami. Project Honey Pot śledzi osoby zbierające, spamerzy komentujące i innych podejrzanych odwiedzających strony internetowe. Http: BL udostępnia te dane każdemu członkowi Project Honey Pot w łatwy i wydajny sposób.

Istnieje wiele aplikacji zapewniających integrację ProjectHoneyPot. W przypadku Joomla niektóre rozszerzenia to: Admin Tools Pro i sh404SEF .

- ZBBlock.php przez Spambotsecurity.com

Zwiększ bezpieczeństwo swojej aplikacji Joomla dzięki temu darmowemu skryptowi bezpieczeństwa php. Jest przeznaczony do wykrywania niektórych zachowań szkodliwych dla witryn lub znanych złych adresów próbujących uzyskać dostęp do Twojej witryny. Następnie wyśle ​​złemu robotowi (zwykle) lub hakera autentyczną stronę 403 ZABRONIONĄ z opisem problemu. Możliwe, że będziesz musiał zrobić niestandardowe podpisy lub podpisy. Przesłonięcia, aby działały dokładnie dla twoich potrzeb, ale jest to bardzo skuteczne. Spambotsecurity.com

- Zapobiegaj postom, które nie pochodzą z Twojej witryny w htaccess

RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{HTTP_REFERER} !^http://www.yourwebsite.com [NC]
RewriteRule .* - [F]

I odniesienie do postu na blogu, w którym można znaleźć więcej sposobów na czarną listę poprzez htaccess i mod_rewrite. https://perishablepress.com/eight-ways-to-blacklist-with-apaches-mod_rewrite/

- Mod_Security Web Application Firewall.

Jest tak wiele fajnych rzeczy, które możesz zrobić na poziomie serwera, używając mod_security (zakładając, że jest zainstalowany na serwerze). Temat jest duży i najprawdopodobniej nie wchodzi w zakres tej witryny. Ponadto wiele możliwości zależy od typu hosta / środowiska, dlatego opublikuję linki referencyjne z dalszymi informacjami na temat mod_security.

- Względne oprogramowanie innych firm i ogólne linki bezpieczeństwa serwera

FFrewin
źródło
Dziękuję za Twoją odpowiedź. Wybrałem jako odpowiedź Neila, ale twój jest bardziej wszechstronny i jest dobrym zaleceniem dla bezpieczeństwa witryny Joomla. Zatrzymam ją na przyszłość. Jeszcze raz dziękuję.
Vassilis