WordPress Spam on? Action = đăng ký URL

Question

Giống như tất cả mọi người, chúng tôi đang gặp phải sự cố spam trên trang web WordPress của chúng tôi. Chúng tôi nhận được một lượng lưu lượng truy cập đáng kể mỗi tháng và chúng tôi đã gặp phải vấn đề lạ. Chúng tôi đang sử dụng plugin Captcha thực sự đơn giản với Contact Form 7 và nó hoạt động tốt cho hầu hết các phần (nó cắt giảm hầu như tất cả thư rác), ngoại trừ có một số ít các trường hợp mỗi ngày vẫn tiếp tục. Biểu mẫu chúng tôi có trên biểu mẫu liên hệ xuất hiện khi bạn di chuột qua liên kết trong tiêu đề. Đó là về cơ bản trên mỗi trang trên trang web.

Trong e-mail chúng tôi nhận được từ bài gửi, chúng tôi có URL mà thư đến từ bản in ở dưới cùng. Một điều mà tất cả các thư rác thành công có điểm chung là "? Action = register" được thêm vào các URL mà chúng đang gửi từ đó. Nếu tôi truy cập vào liên kết mà nó được gửi và nối thêm vào cuối URL, biểu mẫu và CAPTCHA vẫn hoạt động (tức là nếu tôi nhập sai CAPTCHA thì nó sẽ chặn tôi). Vì vậy, đó là lạ.

Tôi biết rằng "? Action = register" thường được nối vào wp-login.php để người dùng đăng ký trên trang web. Tôi cũng biết rằng có một plugin ngoài đó (https://wordpress.org/plugins/custom-registration-link/) sẽ sửa nó ở mức độ nhưng plugin rất lỗi thời và nó cũng chỉ thay đổi liên kết đăng ký (không nhất thiết phải ngăn chặn spam).

Chúng tôi đã đăng ký đóng cửa trên trang web vì chúng tôi nhập người dùng theo cách thủ công nếu cần vì vậy tôi biết một vài bản vá có thể sử dụng để giải quyết vấn đề này (chuyển hướng mọi người khi $ _GET ['action'] được đặt cho ví dụ), nhưng nó không trả lời tại sao điều này sẽ xảy ra. Làm thế nào sẽ có bất kỳ lỗ hổng chỉ với một biến GET?

Answer 1

Có nhiều kỹ thuật để ngăn chặn người gửi spam, không có hiệu quả nào 100%. Một số là dễ dàng, nhưng có thể trình bày các vấn đề khả năng tiếp cận, nếu bạn quan tâm đến điều đó (tất cả người châu Âu được cho là). Một số là khá phức tạp, và vẫn có thể dẫn đến sai tích cực, ngăn chặn người dùng hợp pháp. Bạn có thể triển khai kết hợp các kỹ thuật, nhưng một số lượng lớn các phương pháp có thể làm chậm tải trang. Dễ dàng sử dụng plugin hiện có, nhưng nếu bạn có thể viết mã hợp lý và sẵn sàng đưa vào thời gian, tôi nghĩ thật thú vị khi thử các kỹ thuật khác nhau cho những kẻ gửi thư rác và gây nhiễu. Một kỹ thuật hiệu quả đáng kể nếu bạn có một trang web quan tâm đặc biệt là chỉ cần yêu cầu người đăng ký trả lời chính xác câu hỏi mà đối tượng mục tiêu của bạn có thể trả lời dễ dàng, nhưng không thể là Google. Các câu hỏi sẽ cần phải được luân chuyển và thay đổi nhân dịp, bởi vì có những kẻ gửi thư rác của con người trả một phần nhỏ của một xu cho mỗi thư rác có niềm vui đặc biệt trong việc giải quyết các câu đố. Một khi họ làm, họ khoe khoang với nhóm thuần tập của họ, sau đó mọi người gửi spam đều biết câu trả lời.

liên kết dưới đây có thể hữu ích cho bạn

https://wordpress.org/support/topic/anti-spam-registrations
http://w3guy.com/wordpress-plugin-combat-stop-spam-bot-registration/

EDIT có một giải pháp hơn. bạn có thể ngăn người dùng nhấn url trực tiếp bằng htaccess sau.

RewriteCond %{REQUEST_URI} "^/wp-login.php$" [NC] 
RewriteCond %{QUERY_STRING} "action=register" [NC] 
RewriteCond %{HTTP_REFERER} "!^http://([^.]+.)?domain.com/.*$" 
RewriteRule (.*) "/wp-login.php?" [L,R] 

Tôi nghĩ điều này có thể giúp ích cho bạn.