如何阻止(虚假)用户在我的网站上注册?

9

我管理一个不需要用户注册的网站。唯一需要的用户是超级用户。问题是我发现了大量的新注册用户。

首先,我想禁用注册新用户和删除现有用户的能力,超级用户除外。

首先,我做了一些步骤,我安装了两个验证步骤,以尝试阻止和删除用户。

当我尝试擦除或阻止用户时遇到一个问题,没有发生任何错误而未显示任何错误。

joomla-3.x  joomla-2.5  user  security  registration 
瓦西利斯
source
尝试删除用户时遇到什么问题?任何特殊的错误信息?
FFrewin
没有错误显示给我。这很奇怪。我选择除我的所有用户,然后选择删除,页面被加载,然后什么也没有。
瓦西里斯2015年
嗯,如果列出的用户太多,那么Joomla可能会阻止您一起删除所有用户,如果将其设置为将他们列出为“全部”。尝试删除在100使用记录过滤器的节目#的串到100
FFrewin
我解决了问题。首先,我只选择未激活并删除的用户。然后,我阻止被激活的用户,然后删除所有用户。
瓦西里斯2015年

Answers:

11

默认情况下,较新版本的Joomla 3.x禁用用户注册。

如果您在此更改之前安装了Joomla版本,则可能已启用了“用户注册”。

可以通过设置Users -> Manage -> Options -> Allow User Registration为“否” 来禁用用户注册。

然后,您可以删除除超级管理员帐户以外的所有用户。

尼尔·罗伯逊
source
2
尼尔非常感谢您。我找到并禁用了“允许用户注册”。我发现另一个问题是,我无法删除已激活的用户。首先,我需要禁用该用户,然后将其删除。
瓦西里斯2015年
1
同时检查您的第三方扩展名是一个好主意。我曾经使用沙箱站点(即我设置并拆卸以测试扩展的临时托管帐户)安装EasyBlog,并保留了所有默认设置。几天后,我大约有10个垃圾邮件订阅者进入该网站-这是第三方扩展程序的“开箱即用漏洞”,在上线之前需要特别注意“锁定”。我以EasyBlog为例,但是任何允许用户注册和/或发布内容的扩展都可能无意中增加了虚假用户注册的漏洞。
NivF007
14

为什么在我的网站中找到虚假/垃圾邮件注册用户...?

大多数此类注册来自僵尸网络受感染的计算机脚本小子以及通常所有类型的僵尸网络。

Joomla之类的系统中,用户注册表单的位置众所周知,并且默认情况下可以公开访问,因此很容易开始填写和提交表单。
实际上,在当今的互联网世界中,这是不断发生的事情,并且在各种形式的Web表单(论坛,评论,联系表单,注册等)中都以超大量的形式发生。

-禁用用户注册

有几种方法可以保护Joomla网站免受此类活动的侵害。首先,如果不需要用户在您的网站中注册,则可以在“ 用户配置”(“ 用户 ”->“选项”->“允许用户注册”设置为“否”)中禁用“ 用户注册”

安全增强功能防止垃圾邮件发送的技巧

除此之外,或者在您确实需要启用“用户注册”的情况下,以下是一些技术和建议,可保护您的各种Joomla表单免受垃圾邮件发送者,垃圾邮件发送者和黑客的攻击:

-启用reCaptcha进行用户注册

Joomla带有本地验证码插件。您可以在插件中找到它,搜索:Captcha-ReCaptcha。插件中包含有关如何进行设置的说明。您还需要从https://www.google.com/recaptcha/获取API密钥。
关于reCaptcha的Joomla文档

-将所有注册重定向到带有隐藏字段的“自定义注册”表单

有很多不错的Joomla表单扩展。他们中的许多人为用户注册提供集成。您可以构建自己的自定义注册表单,并添加1个额外的隐藏字段(针对完成情况进行验证),或者通过处理POST data表单的。您的用户将永远不会看到隐藏的字段,但是漫游器也会尝试填写该字段-但是您的验证将失败,或者如果您正在处理帖子数据,则可以重定向到403禁止页面。为了使该解决方案完全起作用,您将需要一个额外的插件,该插件将处理所有注册到您的自定义表单的重定向。

-Joomla反垃圾邮件/安全扩展

管理工具 RS-Firewall以及应该有更多...这些扩展可以针对此问题和更多安全性问题提供全面的防火墙保护。例如,使用管理工具专业版,您可以在Joomla网站的所有现有形式中注入隐藏字段,并阻止来自提交来源的IP。此外, Futhermore Admin Tools还可以按国家(地区)与 HoneyPot项目和GeoIP阻止功能集成。

JED链接

-整合ProjectHoneyPot

Http:BL是一个系统,网站管理员可以利用该系统利用Project Honey Pot生成的数据,以将可疑和恶意的网络机器人拒之门外。蜜罐计划(Project Honey Pot)跟踪收割者,评论垃圾邮件发送者以及其他可疑网站访问者。Http:BL 以简单有效的方式使此数据可供Project Honey Pot的任何成员使用。

有许多软件应用程序提供ProjectHoneyPot集成。对于Joomla,一些扩展是:Admin Tools Prosh404SEF

-Spambotsecurity.com的ZBBlock.php

使用此免费的php安全脚本增强Joomla应用程序的安全性。它旨在检测对网站有害的某些行为或试图访问您网站的已知不良地址。然后,它将(通常)向恶意机器人或黑客发送真实的403 FORBIDDEN页面,其中包含问题的描述。您可能必须制作一些自定义签名或sign.overrides才能使其完全适合您的需求,但这非常有效。 Spambotsecurity.com

-防止来自htaccess中不是来自您网站的帖子

RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{HTTP_REFERER} !^http://www.yourwebsite.com [NC]
RewriteRule .* - [F]

并引用了一篇博客文章,其中提供了更多通过htaccess和mod_rewrite将其列入黑名单的方法。https://perishablepress.com/eight-ways-to-blacklist-with-apaches-mod_rewrite/

-Mod_Security Web应用程序防火墙。

好了,您可以使用mod_security在服务器级别上做很多很棒的事情(假设它已安装在服务器上)。这个话题很大,很可能超出了本网站的范围。另外,许多可能性取决于您的托管类型/环境,因此,我将发布一些参考链接,以及有关mod_security的更多信息。

-相对的第三方软件和常规服务器安全性链接

FFrewin
source
谢谢您的回答。我选择了Neil作为答案,但您的建议更全面且完整,对于Joomla网站的安全性是一个很好的建议。我会保留她以备将来参考。再次感谢你。
瓦西里斯(Vassilis)
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.