我管理一个不需要用户注册的网站。唯一需要的用户是超级用户。问题是我发现了大量的新注册用户。
首先,我想禁用注册新用户和删除现有用户的能力,超级用户除外。
首先,我做了一些步骤,我安装了两个验证步骤,以尝试阻止和删除用户。
当我尝试擦除或阻止用户时遇到一个问题,没有发生任何错误而未显示任何错误。
我管理一个不需要用户注册的网站。唯一需要的用户是超级用户。问题是我发现了大量的新注册用户。
首先,我想禁用注册新用户和删除现有用户的能力,超级用户除外。
首先,我做了一些步骤,我安装了两个验证步骤,以尝试阻止和删除用户。
当我尝试擦除或阻止用户时遇到一个问题,没有发生任何错误而未显示任何错误。
Answers:
默认情况下,较新版本的Joomla 3.x禁用用户注册。
如果您在此更改之前安装了Joomla版本,则可能已启用了“用户注册”。
可以通过设置Users -> Manage -> Options -> Allow User Registration
为“否” 来禁用用户注册。
然后,您可以删除除超级管理员帐户以外的所有用户。
大多数此类注册来自僵尸网络,受感染的计算机,脚本小子以及通常所有类型的僵尸网络。
在Joomla之类的系统中,用户注册表单的位置众所周知,并且默认情况下可以公开访问,因此很容易开始填写和提交表单。
实际上,在当今的互联网世界中,这是不断发生的事情,并且在各种形式的Web表单(论坛,评论,联系表单,注册等)中都以超大量的形式发生。
有几种方法可以保护Joomla网站免受此类活动的侵害。首先,如果不需要用户在您的网站中注册,则可以在“ 用户配置”(“ 用户 ”->“选项”->“允许用户注册”设置为“否”)中禁用“ 用户注册”。
除此之外,或者在您确实需要启用“用户注册”的情况下,以下是一些技术和建议,可保护您的各种Joomla表单免受垃圾邮件发送者,垃圾邮件发送者和黑客的攻击:
Joomla带有本地验证码插件。您可以在插件中找到它,搜索:Captcha-ReCaptcha。插件中包含有关如何进行设置的说明。您还需要从https://www.google.com/recaptcha/获取API密钥。
关于reCaptcha的Joomla文档
有很多不错的Joomla表单扩展。他们中的许多人为用户注册提供集成。您可以构建自己的自定义注册表单,并添加1个额外的隐藏字段(针对完成情况进行验证),或者通过处理POST data
表单的。您的用户将永远不会看到隐藏的字段,但是漫游器也会尝试填写该字段-但是您的验证将失败,或者如果您正在处理帖子数据,则可以重定向到403禁止页面。为了使该解决方案完全起作用,您将需要一个额外的插件,该插件将处理所有注册到您的自定义表单的重定向。
管理工具, RS-Firewall以及应该有更多...这些扩展可以针对此问题和更多安全性问题提供全面的防火墙保护。例如,使用管理工具专业版,您可以在Joomla网站的所有现有形式中注入隐藏字段,并阻止来自提交来源的IP。此外, Futhermore Admin Tools还可以按国家(地区)与 HoneyPot项目和GeoIP阻止功能集成。
Http:BL是一个系统,网站管理员可以利用该系统利用Project Honey Pot生成的数据,以将可疑和恶意的网络机器人拒之门外。蜜罐计划(Project Honey Pot)跟踪收割者,评论垃圾邮件发送者以及其他可疑网站访问者。Http:BL 以简单有效的方式使此数据可供Project Honey Pot的任何成员使用。
有许多软件应用程序提供ProjectHoneyPot集成。对于Joomla,一些扩展是:Admin Tools Pro和sh404SEF。
使用此免费的php安全脚本增强Joomla应用程序的安全性。它旨在检测对网站有害的某些行为或试图访问您网站的已知不良地址。然后,它将(通常)向恶意机器人或黑客发送真实的403 FORBIDDEN页面,其中包含问题的描述。您可能必须制作一些自定义签名或sign.overrides才能使其完全适合您的需求,但这非常有效。 Spambotsecurity.com
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{HTTP_REFERER} !^http://www.yourwebsite.com [NC]
RewriteRule .* - [F]
并引用了一篇博客文章,其中提供了更多通过htaccess和mod_rewrite将其列入黑名单的方法。https://perishablepress.com/eight-ways-to-blacklist-with-apaches-mod_rewrite/
好了,您可以使用mod_security在服务器级别上做很多很棒的事情(假设它已安装在服务器上)。这个话题很大,很可能超出了本网站的范围。另外,许多可能性取决于您的托管类型/环境,因此,我将发布一些参考链接,以及有关mod_security的更多信息。