Как запретить (фальшивым) пользователям регистрироваться на моем сайте?

9

Я управляю сайтом, который не требует от пользователей регистрации. Единственный пользователь, который необходим - это Суперпользователь. Проблема в том, что я нашел большое количество новых зарегистрированных пользователей.

Сначала я хочу отключить возможность регистрации новых пользователей и удаления существующих, кроме Super User.

Для начала я сделал несколько шагов, я установил два шага проверки в попытке заблокировать и удалить пользователей.

Я столкнулся с проблемой, когда пытался стереть или заблокировать пользователей, ничего не происходило без отображения ошибки.

Василис
источник
С какой проблемой вы столкнулись, когда пытались удалить пользователей? Любое специальное сообщение об ошибке?
FFrewin
Ошибка не показала мне. Это странно. Я выбираю всех пользователей, кроме моих, и выбираю удалить, страница загружается, а затем ничего.
Василис
хм, если в списке слишком много пользователей, то Joomla может помешать вам удалить все вместе, если вы установите для них список «Все». Попробуйте удалить в пакетах по 100. Используйте фильтр show # of records до 100.
FFrewin
Я решаю проблему. Сначала я выбираю только пользователей, которые не активированы, и я удалил. Затем я блокирую пользователей, которые были активированы, а затем удаляю все.
Василис

Ответы:

11

В новых версиях Joomla 3.x регистрация пользователей по умолчанию отключена.

Если ваша версия Joomla была установлена ​​до этого изменения, возможно, у вас включена регистрация пользователей.

Регистрация пользователя может быть отключена путем установки Users -> Manage -> Options -> Allow User Registration«Нет».

Затем вы можете удалить всех пользователей, кроме учетной записи Super Administrator.

Нил Робертсон
источник
2
Нил, большое спасибо. Я нахожу и отключаю Allow User Registration. Я обнаружил другую проблему: я не могу удалить пользователя, который активирован. Сначала мне нужно отключить пользователя, а затем удалить его.
Василис
1
Это также хорошая идея, чтобы проверить ваши сторонние расширения. Однажды я установил EasyBlog, используя сайт с песочницей (т. Е. Временную учетную запись хостинга, которую я настроил и разобрал для тестирования расширений), и оставил все настройки по умолчанию. Через пару дней у меня было около 10 подписчиков спама на сайте - это была «готовая уязвимость» стороннего расширения, которое требовало особого внимания к «блокировке» перед тем, как начать работу. В качестве примера я использую EasyBlog, но любое расширение, которое позволяет пользователям регистрироваться и / или публиковать контент, может непреднамеренно добавить уязвимости для фальшивых пользователей при регистрации.
NivF007
14

Почему я нахожу поддельных / спам зарегистрированных пользователей на моем сайте ...?

Большинство таких регистраций происходит от ботнетов , зараженных машин , скриптовых детишек и вообще всех видов ботов.

В таких системах, как Joomla , где расположение формы регистрации пользователя хорошо известно и по умолчанию общедоступно, можно легко начинать заполнять и отправлять формы.
На самом деле в современном интернет-мире это происходит постоянно и в сверхвысоком объеме во всех видах веб-форм (форумы, комментарии, контактные формы, регистрация и т. Д.).

- Отключить регистрацию пользователя

Есть несколько способов защитить сайт Joomla от подобных действий. Во - первых, если вам не нужно пользователям регистрироваться на вашем сайте, вы можете отключить пользователя Регистрация , в пользователей конфигурации (Users-> Настройки-> Разрешить регистрации пользователя набор Нет).


Улучшения безопасности Советы против спама в ваших формах

В дополнение к этому, или в случае, если вам действительно нужно включить регистрацию пользователей , вот несколько методов и предложений для защиты ваших различных форм Joomla от спамеров, спам-ботов и хакеров:

- Включить reCaptcha для регистрации пользователя

Joomla поставляется с родным плагином капчи. Вы можете найти его внутри плагинов, поиск: Captcha - ReCaptcha . Внутри плагина есть инструкции по его настройке. Вам также необходимо получить ключ API на странице https://www.google.com/recaptcha/ .
Joomla Документация по reCaptcha


- Перенаправить все регистрации в пользовательскую форму регистрации со скрытыми полями

Есть много хороших расширений форм Joomla . Многие из них обеспечивают интеграцию для регистрации пользователей. Вы можете создать свою собственную пользовательскую регистрационную форму и добавить 1 дополнительное скрытое поле с проверкой на завершение или обработкой POST dataформы. Ваши пользователи никогда не увидят скрытое поле, но боты попытаются также заполнить это поле - но тогда ваша проверка не удастся, или если вы обрабатываете данные публикации, вы можете перенаправить на страницу 403 Запрещено. Чтобы это решение работало полностью, вам понадобится дополнительный плагин, который будет обрабатывать перенаправление всех регистраций на вашу пользовательскую форму.


- Joomla Антиспам / Расширения безопасности

Средства администрирования , RS-Firewall и многое другое ... это расширения, которые обеспечивают полную защиту брандмауэра от этой и других проблем безопасности. Например, с помощью Admin Tools pro вы можете внедрить скрытые поля во все существующие формы вашего сайта Joomla и заблокировать IP-адреса, откуда поступает отправка. Инструменты администрирования Futhermore обеспечивают интеграцию с проектом HoneyPot и функции блокировки GeoIP по странам, а также другие функции.

JED Ссылки


- Интегрировать ProjectHoneyPot

Http: BL - это система, которая позволяет администраторам веб-сайтов использовать данные, сгенерированные Project Honey Pot, чтобы не допускать подозрительных и вредоносных веб-роботов на своих сайтах. Project Honey Pot отслеживает сборщиков, спаммеров и других подозрительных посетителей веб-сайтов. Http: BL делает эти данные доступными для любого участника проекта Honey Pot простым и эффективным способом.

Есть много программных приложений, которые обеспечивают интеграцию ProjectHoneyPot. Для Joomla некоторые расширения: Admin Tools Pro и sh404SEF .


- ZBBlock.php от Spambotsecurity.com

Повысьте безопасность своего приложения Joomla с помощью этого бесплатного скрипта безопасности php. Он предназначен для обнаружения определенных действий, наносящих ущерб веб-сайтам, или известных неправильных адресов, пытающихся получить доступ к вашему сайту. Затем он отправит плохому роботу (обычно) или хакеру подлинную ЗАПРЕЩЕННУЮ страницу 403 с описанием проблемы. Возможно, вам придется сделать несколько пользовательских подписей или sign.overrides, чтобы они работали именно для ваших нужд, но это очень эффективно. Spambotsecurity.com


- Запретить сообщения, которые не приходят с вашего сайта в htaccess

RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{HTTP_REFERER} !^http://www.yourwebsite.com [NC]
RewriteRule .* - [F]  

И ссылка на сообщение в блоге с большим количеством способов внесения в черный список через htaccess и mod_rewrite. https://perishablepress.com/eight-ways-to-blacklist-with-apaches-mod_rewrite/


- Брандмауэр веб-приложения Mod_Security.

Ну, есть так много классных вещей, которые вы можете сделать на уровне сервера, используя mod_security (при условии, что он установлен на вашем сервере). Тема большая и, скорее всего, выходит за рамки этого сайта. Кроме того, многие из этих возможностей зависят от типа / среды вашего хостинга, поэтому я опубликую некоторые справочные ссылки с дополнительной информацией о mod_security.


- Относительное стороннее программное обеспечение и общие ссылки безопасности сервера

Ф.Фрюин
источник
Спасибо за ваш ответ. Я выбрал в качестве ответа Нила, но ваш более исчерпывающий и законченный является хорошей рекомендацией по безопасности сайта Joomla. Я буду держать ее для дальнейшего использования. Еще раз спасибо
Василис