Comment empêcher (de faux) utilisateurs de s'inscrire sur mon site?
J'administre un site Web sur lequel les utilisateurs ne sont pas tenus de s'inscrire. Le seul utilisateur nécessaire est le super utilisateur. Le problème est que j'ai trouvé un grand nombre de nouveaux utilisateurs enregistrés.
Tout d'abord, je souhaite désactiver la possibilité d'inscrire de nouveaux utilisateurs et de supprimer les utilisateurs existants, à l'exception du super utilisateur.
Pour commencer, j’ai fait quelques étapes, j’ai installé deux étapes de vérification pour tenter de bloquer et de supprimer des utilisateurs.
J'ai rencontré un problème lorsque j'ai essayé d'effacer ou de bloquer des utilisateurs, rien ne s'est passé sans afficher d'erreur.
Les versions plus récentes de Joomla 3.x désactivent l'enregistrement des utilisateurs par défaut.
Si votre version de Joomla était installée avant cette modification, l'enregistrement de l'utilisateur est probablement activé.
L'enregistrement de l'utilisateur peut être désactivé en définissant Users -> Manage -> Options -> Allow User Registration à "non".
Vous pouvez ensuite supprimer tous les utilisateurs sauf le compte Super administrateur.
Pourquoi est-ce que je trouve des utilisateurs de faux/spam enregistrés sur mon site…?
La majorité de ces enregistrements proviennent de botnets , machines infectées , script kiddys et généralement toutes sortes de robots.
Dans des systèmes tels que Joomla , où l'emplacement du formulaire d'enregistrement d'utilisateur est bien connu et accessible au public par défaut, il est facile de commencer à remplir et à soumettre les formulaires. .
En réalité, dans le monde de l’Internet actuel, il s’agit de quelque chose qui se passe de manière continue et en très grand volume dans toutes sortes de formulaires Web (forums, commentaires, formulaires de contact, inscription, etc.).
- Désactiver l'enregistrement de l'utilisateur
Il existe plusieurs moyens de protéger un site Joomla contre de telles activités. Au début, si vous n'avez pas besoin que les utilisateurs s'inscrivent sur votre site Web, vous pouvez désactiver l'enregistrement de l'utilisateur dans . ) Configuration des utilisateurs (Users-> options-> Allow User Registration défini sur No).
Améliorations de la sécurité Conseils pour spammer vos formulaires
En plus de cela, ou dans le cas où vous avez réellement besoin de Enregistrement des utilisateurs activé , voici quelques techniques et suggestions pour protéger vos différents formulaires Joomla spammeurs, spambots et hackers:
- Activer reCaptcha pour l'enregistrement de l'utilisateur
Joomla est livré avec un plugin natif captcha. Vous pouvez le trouver dans les plugins, recherchez: Captcha - ReCaptcha . À l'intérieur du plug-in, vous trouverez des instructions sur la manière de le configurer. Vous devrez également obtenir une clé API auprès de https://www.google.com/recaptcha/ .
Documentation Joomla sur reCaptcha
- Rediriger toutes les inscriptions vers un formulaire d'inscription personnalisé avec des champs cachés
Il y a beaucoup de bons extensions de formulaire Joomla. Beaucoup d'entre eux fournissent une intégration pour l'enregistrement de l'utilisateur. Vous pouvez créer votre propre formulaire d’inscription personnalisé et ajouter 1 champ caché supplémentaire, avec validation à compléter ou en traitant le fichier POST data de la forme. Vos utilisateurs ne verront jamais le champ masqué, mais les robots tenteront également de le renseigner. Toutefois, votre validation échouera ou si vous traitez les données de publication, vous pouvez rediriger vers une page 403 interdite. Pour que cette solution fonctionne complètement, vous aurez besoin d’un plug-in supplémentaire, qui gérera la redirection de tous les enregistrements vers votre formulaire personnalisé.
- Joomla Antispam/Extensions de sécurité
Outils d'administration, RS-Firewall et il devrait y en avoir davantage ... sont des extensions qui fournissent une protection complète par pare-feu contre cela et davantage de problèmes de sécurité. Par exemple, avec Admin Tools pro, vous pouvez injecter des champs cachés dans toutes les formes existantes de votre site Joomla et bloquer les adresses IP d'où provient une soumission. De plus, les outils d’administration fournissent une intégration avec projet HoneyPot et des fonctions de blocage GeoIP par pays, entre autres fonctions.
JED Liens
- Intégrer ProjectHoneyPot
Http: BL est un système qui permet aux administrateurs de sites Web de tirer parti des données générées par Project Honey pot afin de protéger les robots Web suspects et malveillants de leurs projets. des sites. Project Honey Pot suit les cueilleurs, les spammeurs et autres visiteurs suspects sur des sites Web. Http: BL met ces données à la disposition de tous les membres de Project Honey pot de manière simple et efficace.
De nombreuses applications logicielles fournissent une intégration à ProjectHoneyPot. Pour Joomla, certaines extensions sont: Admin Tools Pro et sh404SEF.
- ZBBlock.php de Spambotsecurity.com
Améliorez la sécurité de votre application Joomla avec ce script de sécurité php gratuit. Il est conçu pour détecter certains comportements préjudiciables aux sites Web ou aux mauvaises adresses connues qui tentent d'accéder à votre site. Il enverra ensuite au mauvais robot (ou généralement) ou au pirate une page 403 INTERDITE authentique avec une description du problème. Il est possible que vous deviez créer des signatures personnalisées ou des sign.overrides pour le faire fonctionner exactement pour vos besoins, mais c’est très efficace. Spambotsecurity.com
- Empêcher les messages qui ne proviennent pas de votre site en htaccess
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{HTTP_REFERER} !^http://www.yourwebsite.com [NC]
RewriteRule .* - [F]
Et une référence à un article de blog avec plus de moyens de mettre en liste noire via htaccess et mod_rewrite. https://perishablepress.com/eight-ways-to-blacklist-with-apaches-mod_rewrite/
- Pare-feu applicatif Web Mod_Security.
Eh bien, il y a tellement de choses intéressantes que vous pouvez faire au niveau du serveur, en utilisant mod_security (en supposant qu'il soit installé sur votre serveur). Le sujet est vaste et probablement hors de la portée de ce site. De plus, beaucoup de possibilités dépendent de votre type/environnement d'hébergement, aussi je publierai des liens de référence avec des informations supplémentaires sur mod_security.