web-dev-qa-db-ja.com

(偽の)ユーザーが私のウェブサイトに登録するのを止める方法は?

ユーザー登録不要のウェブサイトを運営しています。必要な唯一のユーザーはスーパーユーザーです。問題は、多数の新規登録ユーザーを見つけたことです。

最初に、スーパーユーザーを除いて、新しいユーザーを登録し、既存のユーザーを削除する機能を無効にします。

まず、いくつかの手順を実行しました。ユーザーをブロックして削除するために、2つの確認手順をインストールしました。

ユーザーを消去またはブロックしようとしたときに問題が発生しましたが、エラーを表示せずに何も起こりませんでした。

9
Vassilis

Joomla 3.xの新しいバージョンでは、デフォルトでユーザー登録が無効になっています。

この変更前にJoomlaのバージョンがインストールされている場合は、ユーザー登録が有効になっている可能性があります。

Users -> Manage -> Options -> Allow User Registrationを「いいえ」に設定すると、ユーザー登録を無効にできます。

その後、特権管理者アカウントを除くすべてのユーザーを削除できます。

11
Neil Robertson

私のサイトで偽/スパムの登録ユーザーを見つけるのはなぜですか?

そのような登録の大部分はbotnets感染マシンscript kiddysおよび一般にあらゆる種類のボット。

Joomlaのようなシステムでは、ユーザー登録フォームの場所がよく知られており、デフォルトで一般公開されているため、フォームの入力と送信を簡単に開始できます。 。
実際に今日のインターネットの世界では、これはあらゆる種類のWebフォーム(フォーラム、コメント、コンタクトフォーム、登録など)で継続的かつ超大量に発生しているものです。

-ユーザー登録を無効にする

このような活動からJoomlaサイトを保護する方法はいくつかあります。最初に、ユーザーがWebサイトに登録する必要がない場合は、User Registrationを無効にすることができますユーザー設定(ユーザー->オプション->ユーザー登録をNoに設定)。


セキュリティの強化フォームのスパム行為に対するヒント

これに加えて、または実際にユーザー登録を有効にする必要がある場合、さまざまなJoomlaフォームを保護するためのいくつかのテクニックと提案を以下に示しますスパマー、スパムボット、ハッカー:

-ユーザー登録のためにreCaptchaを有効にする

Joomlaにはネイティブのcaptchaプラグインが付属しています。プラグイン内で見つけることができます:Captcha-ReCaptcha。プラグインの中に、それを設定する方法の説明があります。 https://www.google.com/recaptcha/ からAPIキーを取得する必要もあります。
reCaptchaのJoomlaドキュメント


-すべての登録を非表示フィールドのあるカスタム登録フォームにリダイレクトします

多くの良いJoomlaフォーム拡張があります。それらの多くは、ユーザー登録の統合を提供します。独自のカスタム登録フォームを作成し、1つ追加の非表示フィールドを追加できます。完了に対する検証を行うか、フォームのPOST dataを処理します。ユーザーには非表示フィールドは表示されませんが、ボットもこのフィールドに入力しようとしますが、検証が失敗するか、投稿データを処理している場合は、403 Forbiddenページにリダイレクトできます。このソリューションを完全に機能させるには、カスタムフォームへのすべての登録のリダイレクトを処理する追加のプラグインが必要です。


-Joomlaアンチスパム/セキュリティ拡張機能

管理ツールRS- Firewallそして、もっとあるはずです...これに対する完全なファイアウォール保護とより多くのセキュリティ上の懸念を提供する拡張機能があります。たとえば、管理ツールプロを使用すると、Joomlaサイトのすべての既存のフォームに非表示フィールドを挿入し、送信元のIPをブロックできます。 Futhermore管理ツールは、HoneyPotプロジェクトとの統合、および他の機能の中でも国ごとのGeoIPブロック機能を提供します。

JEDリンク


-統合 ProjectHoneyPot

Http:BLは、Webサイトの管理者がProject Honeyポットによって生成されたデータを利用して、不審で悪意のあるWebロボットの侵入を防ぐことができるシステムですサイト。プロジェクトハニーポットは、ハーベスタ、コメントスパマー、およびWebサイトへのその他の不審な訪問者を追跡します。 Http:BLは、このデータを Project Honey pot のすべてのメンバーが簡単かつ効率的に利用できるようにします。

ProjectHoneyPot統合を提供する多くのソフトウェアアプリケーションがあります。 Joomlaの一部の拡張機能は次のとおりです:Admin Tools Proおよびsh404SEF


-Spambotsecurity.comによるZBBlock.php

この無料のphpセキュリティスクリプトでJoomlaアプリケーションのセキュリティを強化します。 Webサイトに有害な特定の動作、またはサイトにアクセスしようとする既知の不正アドレスを検出するように設計されています。次に、不正なロボット(通常は)またはハッカーに、問題が何であったかを説明した本物の403 FORBIDDENページを送信します。必要に応じて機能させるために、カスタム署名またはsign.overridesを作成する必要がある場合がありますが、非常に効果的です。 Spambotsecurity.com


-あなたのサイトから来ていない投稿をhtaccessで防ぐ

RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{HTTP_REFERER} !^http://www.yourwebsite.com [NC]
RewriteRule .* - [F]  

そして、htaccessとmod_rewriteを介してブラックリストに登録するためのより多くの方法を含むブログ投稿への参照。 https://perishablepress.com/eight-ways-to-blacklist-with-apaches-mod_rewrite/


-Mod_Security Webアプリケーションファイアウォール。

さて、mod_securityを使用してサーバーレベルで実行できる素晴らしいことがたくさんあります(サーバーにインストールされている場合)。トピックは大きく、おそらくこのWebサイトの範囲外です。また、可能性の多くはホスティングタイプ/環境に依存するため、mod_securityに関する詳細情報を記載した参照リンクをいくつか掲載します。


-相対サードパーティソフトウェアと一般的なサーバーセキュリティリンク

14
FFrewin