Wie kann ich verhindern, dass sich (gefälschte) Benutzer auf meiner Website registrieren?


9

Ich verwalte eine Website, auf der sich Benutzer nicht registrieren müssen. Der einzige Benutzer, der benötigt wird, ist der Superuser. Das Problem ist, dass ich eine große Anzahl neuer registrierter Benutzer gefunden habe.

Zuerst möchte ich die Möglichkeit deaktivieren, neue Benutzer zu registrieren und vorhandene zu löschen, außer Super User.

Zunächst habe ich einige Schritte ausgeführt und zwei Überprüfungsschritte installiert, um Benutzer zu blockieren und zu löschen.

Beim Versuch, Benutzer zu löschen oder zu blockieren, trat ein Problem auf. Es ist nichts passiert, ohne dass ein Fehler angezeigt wurde.


Auf welches Problem sind Sie gestoßen, als Sie versucht haben, Benutzer zu löschen? Irgendeine spezielle Fehlermeldung?
FFrewin

Kein Fehler zeigte mir. Das ist das Seltsame. Ich wähle alle Benutzer außer meinen und wähle Löschen, die Seite wird geladen und dann nichts.
Vassilis

hmm, wenn zu viele Benutzer aufgelistet sind, kann Joomla Sie möglicherweise daran hindern, alle zusammen zu löschen, wenn Sie festlegen, dass sie "Alle" auflisten. Versuchen Sie, in Gruppen von 100 zu löschen. Verwenden Sie den Filter zum
Anzeigen der Anzahl

Ich löse das Problem. Zuerst wähle ich nur die Benutzer aus, die nicht aktiviert und gelöscht sind. Dann blockiere ich die aktivierten Benutzer und lösche dann alle.
Vassilis

Antworten:


11

Neuere Versionen von Joomla 3.x deaktivieren standardmäßig die Benutzerregistrierung.

Wenn Ihre Version von Joomla vor dieser Änderung installiert wurde, ist wahrscheinlich die Benutzerregistrierung aktiviert.

Die Benutzerregistrierung kann durch Einstellen Users -> Manage -> Options -> Allow User Registrationauf "Nein" deaktiviert werden .

Sie können dann alle Benutzer außer dem Super Administrator-Konto löschen.


2
Neil, vielen Dank. Ich finde das und deaktiviere die Benutzerregistrierung zulassen. Ich habe ein anderes Problem gefunden: Ich konnte einen aktivierten Benutzer nicht löschen. Zuerst muss ich den Benutzer deaktivieren und dann löschen.
Vassilis

1
Es ist eine gute Idee, auch die Erweiterungen von Drittanbietern zu überprüfen. Ich hatte EasyBlog einmal über eine Sandbox-Site installiert (dh ein temporäres Hosting-Konto, das ich zum Testen von Erweiterungen eingerichtet und heruntergefahren habe) und alle Standardeinstellungen beibehalten. Nach ein paar Tagen hatte ich ungefähr 10 Spam-Abonnenten auf der Website - es war eine "Out-of-the-Box-Sicherheitslücke" der Drittanbieter-Erweiterung, die vor dem Start besondere Aufmerksamkeit für die "Sperrung" benötigte. Ich verwende EasyBlog als Beispiel, aber jede Erweiterung, mit der Benutzer Inhalte registrieren und / oder veröffentlichen können, kann versehentlich Schwachstellen für die Registrierung gefälschter Benutzer hinzufügen.
NivF007

14

Warum finde ich auf meiner Website gefälschte / Spam-registrierte Benutzer?

Die meisten dieser Registrierungen stammen von Botnetzen , infizierten Maschinen , Skriptkindern und im Allgemeinen allen Arten von Bots.

In Systemen wie Joomla , in denen der Speicherort des Benutzerregistrierungsformulars bekannt und standardmäßig öffentlich zugänglich ist, ist es einfach, mit dem Ausfüllen und Senden der Formulare zu beginnen.
In der heutigen Internetwelt geschieht dies kontinuierlich und in sehr hohem Umfang in allen Arten von Webformularen (Foren, Kommentare, Kontaktformulare, Registrierung usw.).

- Deaktivieren Sie die Benutzerregistrierung

Es gibt verschiedene Möglichkeiten, eine Joomla-Site vor solchen Aktivitäten zu schützen. Wenn Sie keine Benutzer zur Registrierung auf Ihrer Website benötigen, können Sie zunächst die Benutzerregistrierung in der Benutzerkonfiguration deaktivieren (Benutzer-> Optionen-> Benutzerregistrierung zulassen auf Nein setzen).


Sicherheitsverbesserungen Tipps gegen Spam in Ihren Formularen

Darüber hinaus oder für den Fall, dass die Benutzerregistrierung tatsächlich aktiviert sein muss , finden Sie hier einige Techniken und Vorschläge, um Ihre verschiedenen Joomla-Formulare vor Spammern, Spambots und Hackern zu schützen:

- Aktivieren Sie reCaptcha für die Benutzerregistrierung

Joomla wird mit einem nativen Captcha-Plugin geliefert. Sie finden es in Plugins, suchen Sie nach: Captcha - ReCaptcha . Im Plugin finden Sie Anweisungen zum Einrichten. Sie müssen außerdem einen API-Schlüssel von https://www.google.com/recaptcha/ erhalten .
Joomla-Dokumentation zu reCaptcha


- Leiten Sie alle Registrierungen mit ausgeblendeten Feldern zum benutzerdefinierten Registrierungsformular um

Es gibt viele gute Joomla-Formularerweiterungen . Viele von ihnen bieten eine Integration für die Benutzerregistrierung. Sie können Ihr eigenes benutzerdefiniertes Registrierungsformular erstellen und 1 zusätzliches ausgeblendetes Feld hinzufügen, mit einer Validierung gegen Ausfüllen oder durch Verarbeiten POST datades Formulars. Ihre Benutzer werden das ausgeblendete Feld nie sehen, aber Bots werden auch versuchen, dieses Feld auszufüllen. Dann schlägt Ihre Validierung jedoch fehl. Wenn Sie die Post-Daten verarbeiten, können Sie auf eine 403 Forbidden-Seite umleiten. Damit diese Lösung vollständig funktioniert, benötigen Sie ein zusätzliches Plugin, das die Umleitung für alle Registrierungen zu Ihrem benutzerdefinierten Formular übernimmt.


- Joomla Antispam / Sicherheitserweiterungen

Admin Tools , RS-Firewall und es sollte mehr geben ... sind Erweiterungen, die einen gründlichen Firewall-Schutz gegen dieses und weitere Sicherheitsbedenken bieten. Mit den Admin Tools pro können Sie beispielsweise versteckte Felder in alle vorhandenen Formen Ihrer Joomla-Site einfügen und die IPs blockieren, von denen eine Übermittlung stammt. Die weiteren Admin-Tools ermöglichen unter anderem die Integration in HoneyPot-Projekt- und GeoIP-Blockierungsfunktionen nach Ländern.

JED-Links


- Integrieren Sie ProjectHoneyPot

Http: BL ist ein System, mit dem Website-Administratoren die von Project Honey Pot generierten Daten nutzen können, um verdächtige und böswillige Webroboter von ihren Websites fernzuhalten. Das Projekt Honey Pot verfolgt Erntemaschinen, Kommentar-Spammer und andere verdächtige Besucher von Websites. Http: BL stellt diese Daten jedem Mitglied von Project Honey Pot auf einfache und effiziente Weise zur Verfügung.

Es gibt viele Softwareanwendungen, die die ProjectHoneyPot-Integration ermöglichen. Für Joomla sind einige Erweiterungen: Admin Tools Pro und sh404SEF .


- ZBBlock.php von Spambotsecurity.com

Erhöhen Sie die Sicherheit Ihrer Joomla-Anwendung mit diesem kostenlosen PHP-Sicherheitsskript. Es wurde entwickelt, um bestimmte Verhaltensweisen zu erkennen, die sich nachteilig auf Websites auswirken, oder bekannte schlechte Adressen, die versuchen, auf Ihre Website zuzugreifen. Anschließend wird dem fehlerhaften Roboter (normalerweise) oder Hacker eine authentische 403 FORBIDDEN-Seite mit einer Beschreibung des Problems gesendet. Es ist möglich, dass Sie einige benutzerdefinierte Signaturen oder sign.overrides erstellen müssen, damit es genau Ihren Anforderungen entspricht, aber es ist sehr effektiv. Spambotsecurity.com


- Verhindern Sie Posts, die nicht von Ihrer Site in htaccess kommen

RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{HTTP_REFERER} !^http://www.yourwebsite.com [NC]
RewriteRule .* - [F]  

Und ein Verweis auf einen Blog-Beitrag mit mehr Möglichkeiten zum Blacklisting über htaccess und mod_rewrite. https://perishablepress.com/eight-ways-to-blacklist-with-apaches-mod_rewrite/


- Mod_Security-Webanwendungs-Firewall.

Nun, es gibt so viele coole Dinge, die Sie auf Serverebene mit mod_security tun können (vorausgesetzt, es ist auf Ihrem Server installiert). Das Thema ist groß und liegt wahrscheinlich außerhalb des Rahmens dieser Website. Viele der Möglichkeiten hängen auch von Ihrem Hosting-Typ / Ihrer Hosting-Umgebung ab. Daher werde ich einige Referenzlinks mit weiteren Informationen zu mod_security veröffentlichen.


- Relative Software von Drittanbietern und allgemeine Server-Sicherheitslinks


Vielen Dank für Ihre Antwort. Ich habe als Antwort von Neil gewählt, aber Ihre ist umfassender und abgeschlossen ist eine gute Empfehlung für die Sicherheit einer Joomla-Site. Ich werde sie für zukünftige Referenz behalten. Danke nochmal.
Vassilis
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.