WordPress Spam on? Action = зарегистрировать URL
Как и у всех, мы сталкиваемся со спамом на нашем сайте WordPress. Мы получаем значительное количество трафика каждый месяц, и мы столкнулись со странной проблемой. Мы используем плагин Really Simple Captcha с контактной формой 7, и он прекрасно работает по большей части (он сокращает почти весь спам), за исключением того, что каждый день до сих пор проходит несколько случаев. Форма, на которой она у нас есть, — это всплывающая контактная форма, которая появляется при наведении курсора на ссылку в заголовке. Это в основном на каждой странице сайта.
В электронном письме, которое мы получаем от представления, у нас есть URL-адрес, с которого приходит сообщение, распечатанное внизу. Единственное, что объединяет все успешные спам-сообщения, это то, что «? Action = register» добавляется к URL-адресам, с которых они отправляют. Если я перехожу по ссылке, с которой она отправляется, и добавляю ее в конце URL-адреса, форма и CAPTCHA по-прежнему работают (то есть, если я ввожу CAPTCHA неправильно, это блокирует меня). Так странно.
Я знаю, что «? Action = register» обычно добавляется в wp-login.php, чтобы пользователи могли зарегистрироваться на сайте. Я также знаю, что там есть плагин (https://wordpress.org/plugins/custom-registration-link/) это будет исправлять до некоторой степени, но плагин очень устарел, и это также просто изменить регистрационную ссылку (не обязательно, чтобы предотвратить спам).
У нас регистрация закрыта на нашем сайте, так как мы вручную вводим пользователей, если нам это нужно, поэтому я знаю пару патчей, которые я могу использовать для решения этой проблемы (перенаправлять людей, когда, например, установлен $ _GET [‘action’]), но это не отвечает, почему это происходит. Как возникнет какая-либо уязвимость только с помощью переменной GET?
Решение
Есть много методов для сдерживания спамеров, но ни одна из них не эффективна на 100%. Некоторые из них просты, но могут вызвать проблемы с доступностью, если вы обеспокоены этим (предполагается, что все европейцы). Некоторые из них довольно сложные, и все же могут привести к ложным срабатываниям, блокируя законных пользователей. Вы можете реализовать комбинацию методов, но большое количество подходов может замедлить загрузку страниц.
Проще всего использовать существующий плагин, но если вы можете написать разумный код и готовы потратить время, я думаю, что это забавно — попробовать различные методы, чтобы остановить и спамить спамеров. Один из удивительно эффективных методов, если у вас есть сайт с особыми интересами, — это просто требовать от владельцев регистраций правильного ответа на вопрос, на который ваша целевая аудитория может ответить легко, но не может быть найдена. Вопросы нужно будет периодически менять и менять, потому что есть люди-спамеры, которым платят долю процента за спам, что доставляет особую радость при решении этих головоломок. Как только они это сделают, они хвастаются своим когортам, тогда каждый спамер узнает ответ.
Ниже ссылки могут быть полезны для вас
https://wordpress.org/support/topic/anti-spam-registrations
http://w3guy.com/wordpress-plugin-combat-stop-spam-bot-registration/
РЕДАКТИРОВАТЬ
есть еще одно решение. вы можете остановить пользователей, которые обращаются непосредственно к URL, с помощью следующего htaccess.
RewriteCond %{REQUEST_URI} "^/wp-login.php$" [NC]
RewriteCond %{QUERY_STRING} "action=register" [NC]
RewriteCond %{HTTP_REFERER} "!^http://([^.]+.)?domain.com/.*$"RewriteRule (.*) "/wp-login.php?" [L,R]
Я думаю, что это может помочь вам.
Другие решения
Других решений пока нет …
detector