web-dev-qa-db-ja.com

偽のユーザーが私のJoomlaサイトを登録するのを防ぐ方法

ユーザー登録が可能なJoomlaサイトを持っています。フォームの登録には、Joomlaに付属するcaptchaプラグインを使用します。

問題は、常に偽の登録を受け取っていることです。それらのほとんどは、ユーザーはアカウントを検証しませんが、一部は検証します。

作成されたすべての偽のアカウントは、同じ特性を共有します。まず、ユーザー名が奇妙です(たとえば、karenpv3、Richardmacy、HanReal47p、xzusaymeznxxzcfなど)、電子メールは明らかに、ほとんどの場合、発明されており、国は一般的に東ヨーロッパ(ロシア、ポーランド、ウクライナ)からのものです、ルーマニア、ドイツなど)、電話番号は常に同じ桁数の番号です。

国の情報とともに、このサイト https://www.ip2location.com/blockvisitorsbycountry.aspx を使用して、Linuxファイアウォール(Iptables)を使用するユーザーをブロックしました。一方、ユーザーがサイトを登録するたびに電子メールを送信し、IPアドレスを通知するプラグインをインストールしました。その情報を使用して、すべてのネットワークマスクがIpTablesで考慮されるわけではないことに気付きました。たとえば、ユーザーはIP 213.80.232.35(ロシア)から来ましたが、上記のサイトにはiptableエントリ213.80.128.0/17が追加されているため、ネットワーク全体をブロックするために手動で213.80.0.0/16を追加する必要があります。

私のフォームにはRecaptcha機能があるので、登録するのはボットではないと思いますが、実際の人間やスパマーがrecaptchaをハッキングする方法を見つけました。

これらの偽の登録を回避するより効果的な方法はありますか?これでスパマーやハッカーは何を得ることができますか?

よろしくハイメ

5
jstuardo

偽のアカウントを防ぐのは難しい場合があります。 ReCaptcha v2はある程度機能しますが、100%のソリューションではありません。

ユーザーマネージャーのオプションに移動し、New User Account ActivationSelf。これにより、ユーザーはメールでアカウントをアクティブ化する必要があります。それまでは、アカウントは無効になります。

次に、 JUserPrune と呼ばれるプラグインをインストールして、登録されているが構成された期間より長くアクティブ化されていないユーザーアカウントを自動的に削除します。

2
Lodder

あなたが正しい方法で構成したものが優れたソフトウェアである場合、私は管理ツールに助言します

https://www.akeebabackup.com/products/admin-tools.html

2
Markuz