J'ai un site Joomla qui permet aux utilisateurs de s'inscrire. L'enregistrement de formulaire utilise le plugin captcha fourni avec Joomla.
Le problème est que je reçois constamment de fausses inscriptions. La plupart d'entre eux, les utilisateurs ne valident pas le compte, mais quelques-uns le font.
Tous les faux comptes créés partagent les mêmes caractéristiques. Premièrement, le nom d'utilisateur est étrange (par exemple, karenpv3, Richardmacy, HanReal47p, xzusaymeznxxzcf, etc.), le courrier électronique est clairement, dans la plupart des cas, inventé, le pays est généralement d'Europe de l'Est (Russie, Pologne, Ukraine). , Roumanie, Allemagne, etc.) et le numéro de téléphone est un numéro comportant toujours le même nombre de chiffres.
Avec les informations de pays, j'ai utilisé ce site https://www.ip2location.com/blockvisitorsbycountry.aspx pour bloquer les utilisateurs utilisant le pare-feu Linux (Iptables). D'autre part, j'ai installé un plugin qui m'envoie un courrier électronique chaque fois qu'un utilisateur enregistre le site et m'indique l'adresse IP. Avec cette information, j'ai réalisé que tous les masques de réseau n'étaient pas pris en compte dans les IpTables. Par exemple, un utilisateur vient de IP 213.80.232.35 (Russie). Cependant, le site ci-dessus a ajouté l'entrée iptable 213.80.128.0/17. Je dois donc ajouter manuellement 213.80.0.0/16 pour bloquer l'ensemble du réseau.
Depuis que ma forme a la fonctionnalité Recaptcha, je pense que ce n’est pas un bot qui s’enregistre mais un véritable humain ou des spammeurs ont trouvé un moyen de pirater recaptcha.
Existe-t-il un moyen plus efficace d'éviter ces fausses inscriptions? Qu'est-ce que les spammeurs ou les pirates peuvent obtenir avec cela?
Cordialement Jaime
Prévenir les faux comptes peut être délicat. ReCaptcha v2 fonctionnera dans une certaine mesure mais n’est toujours pas une solution à 100%.
Ce que je suggérerais de faire est d'aller dans les options du Gestionnaire des utilisateurs et de régler l'activation du nouveau compte d'utilisateur sur Self . Cela garantira que les utilisateurs doivent activer leur compte par courrier électronique. En attendant, leur compte sera désactivé.
Vous pouvez ensuite installer un plug-in appelé JUserPrune , qui supprime automatiquement les comptes d'utilisateurs enregistrés mais non activés plus longtemps que la période configurée.
Je conseille les outils de l'administrateur si vous avez configuré la bonne manière est un excellent logiciel