Como impedir que usuários (falsos) se registrem no meu site?

9

Eu administro um site que não exige que os usuários se registrem. O único usuário necessário é o superusuário. O problema é que encontrei um grande número de novos usuários registrados.

Primeiro, quero desativar a capacidade de registrar novos usuários e excluir os existentes, exceto Superusuário.

Para começar, fiz algumas etapas, instalei duas etapas de verificação na tentativa de bloquear e excluir usuários.

Eu enfrentei um problema ao tentar apagar ou bloquear usuários, nada aconteceu sem exibir nenhum erro.

joomla-3.x  joomla-2.5  user  security  registration 
Vassilis
fonte
Qual é o problema que você encontrou ao tentar excluir usuários? Alguma mensagem de erro especial?
FFrewin
Nenhum erro me mostrou. Isso é estranho. Escolho todos os usuários, exceto o meu, e excluo, a página é carregada e depois nada.
Vassilis
hmm, se houver muitos usuários listados, o Joomla pode impedir que você exclua todos juntos, se você configurá-lo para listá-los "Todos". Tente excluir em grupos de 100. Use o filtro show # of records para 100.
FFrewin
Eu resolvo o problema. Primeiro, escolho apenas os usuários que não estão ativados e excluí. Depois, bloqueio os usuários que foram ativados e excluo todos.
Vassilis

Respostas:

11

As versões mais recentes do Joomla 3.x desativam o registro do usuário por padrão.

Se sua versão do Joomla foi instalada antes dessa alteração, você provavelmente tem o Registro do Usuário ativado.

O registro do usuário pode ser desativado configurando Users -> Manage -> Options -> Allow User Registrationpara "Não".

Você pode excluir todos os usuários, exceto a conta do Superadministrador.

Neil Robertson
fonte
2
Neil, muito obrigado. Eu encontro e desabilito a opção Permitir registro do usuário. Encontrei outro problema, 'Não foi possível excluir um usuário que está ativado. Primeiro, preciso desativar o usuário e excluí-lo.
Vassilis
11
É uma boa ideia também verificar suas extensões de terceiros. Uma vez eu instalei o EasyBlog usando um site de sandbox (ou seja, uma conta de hospedagem temporária que configurei e desmontou para testar extensões) e deixou todas as configurações padrão. Depois de alguns dias, eu tinha cerca de 10 assinantes de spam no site - era uma 'vulnerabilidade imediata' da extensão de terceiros que precisava de atenção especial ao 'bloqueio' antes de ir ao ar. Uso o EasyBlog como exemplo, mas qualquer extensão que permita aos usuários registrar e / publicar conteúdo pode, inadvertidamente, adicionar vulnerabilidades para que usuários falsos se registrem.
NivF007
14

Por que encontro usuários registrados falsos / spam no meu site ...?

A maioria desses registros é proveniente de botnets , máquinas infectadas , script kiddys e geralmente todos os tipos de bots.

Em sistemas como o Joomla , onde a localização do formulário de registro do usuário é bem conhecida e, por padrão, acessível ao público, é fácil começar a preencher e enviar os formulários.
Atualmente, no mundo da Internet de hoje, isso acontece continuamente e em volume extremamente alto em todos os tipos de formulários da Web (fóruns, comentários, formulários de contato, registro etc.).

- Desativar registro do usuário

Existem algumas maneiras de proteger um site Joomla contra essas atividades. Inicialmente, se você não precisar que os Usuários se registrem no seu site, poderá desativar o Registro do Usuário , em Configuração do Usuário (Usuários-> opções-> Permitir Registro do Usuário definido como Não).

Aprimoramentos de segurança Dicas contra spam de formulários

Além disso, ou no caso de você realmente precisar ter o Registro de Usuários ativado , aqui estão algumas técnicas e sugestões para proteger seus vários formulários Joomla de spammers, spambots e hackers:

- Ative o reCaptcha para registro do usuário

O Joomla vem com um plug-in captcha nativo. Você pode encontrá-lo em Plugins, procure por: Captcha - ReCaptcha . Dentro do plugin, há instruções sobre como configurá-lo. Você também precisará obter uma chave de API em https://www.google.com/recaptcha/ .
Documentação do Joomla no reCaptcha

- Redirecione todos os registros para o formulário Registro personalizado com campos ocultos

Existem muitas boas extensões de formulário do Joomla por aí. Muitos deles fornecem integração para o registro do usuário. Você pode criar seu próprio formulário de registro personalizado e adicionar 1 campo oculto extra, com uma validação para não ser preenchido ou processando POST datao formulário. Seus usuários nunca verão o campo oculto, mas os bots também tentarão preenchê-lo - mas sua validação falhará ou, se você estiver processando os dados da postagem, poderá redirecionar para uma página 403 Proibida. Para que esta solução funcione completamente, você precisará de um plug-in extra, que manipulará o redirecionamento de todos os registros para seu formulário personalizado.

- Joomla Antispam / Extensões de Segurança

Ferramentas administrativas , RS-Firewall e deve haver mais ... extensões que fornecem proteção completa do firewall contra essa e mais preocupações de segurança. Por exemplo, com o Admin Tools pro, você pode injetar campos ocultos em todos os formulários existentes no seu site Joomla e bloquear os IPs de onde vem o envio. Outras ferramentas administrativas fornecem integração com os recursos de projeto do HoneyPot e de bloqueio do GeoIP por país, entre outros recursos.

Links JED

- Integrar ProjectHoneyPot

O Http: BL é um sistema que permite que os administradores de sites aproveitem os dados gerados pelo Project Honey Pot para manter os robôs da web suspeitos e mal-intencionados fora de seus sites. O Projeto Honey Pot rastreia colhedores, spammers de comentários e outros visitantes suspeitos de sites. Http: BL disponibiliza esses dados para qualquer membro do Project Honey Pot de maneira fácil e eficiente.

Existem muitos aplicativos de software que fornecem a integração do ProjectHoneyPot. Para o Joomla, algumas extensões são: Admin Tools Pro e sh404SEF .

- ZBBlock.php por Spambotsecurity.com

Melhore a segurança do seu aplicativo Joomla com este script de segurança php gratuito. Ele foi projetado para detectar determinados comportamentos prejudiciais aos sites ou endereços inválidos conhecidos que tentam acessar seu site. Em seguida, ele envia ao robô ruim (geralmente) ou hacker uma página 403 FORBIDDEN autêntica, com uma descrição do problema. É possível que você precise criar algumas assinaturas personalizadas ou sign.overrides para fazê-lo funcionar exatamente para as suas necessidades, mas é muito eficaz. Spambotsecurity.com

- Impedir publicações que não são provenientes do seu site no htaccess

RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{HTTP_REFERER} !^http://www.yourwebsite.com [NC]
RewriteRule .* - [F]

E uma referência a uma postagem de blog com mais maneiras de incluir na lista negra via htaccess e mod_rewrite. https://perishablepress.com/eight-ways-to-blacklist-with-apaches-mod_rewrite/

- Mod_Security Web Application Firewall.

Bem, existem tantas coisas legais que você pode fazer no nível do servidor, usando o mod_security (supondo que ele esteja instalado no seu servidor). O tópico é grande e provavelmente fora do escopo deste site. Além disso, muitas das possibilidades dependem do seu tipo / ambiente de hospedagem, por isso vou postar alguns links de referência com mais informações sobre mod_security.

- Software de terceiros relativo e links gerais de segurança do servidor

FFrewin
fonte
Obrigado pela sua resposta. Eu escolhi como resposta de Neil, mas a sua é mais abrangente e concluída. É uma boa recomendação para a segurança de um site Joomla. Vou mantê-la para referência futura. Mais uma vez obrigado.
Vassilis
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.