Pourquoi je trouve des utilisateurs enregistrés faux / spam sur mon site…?
La majorité de ces enregistrements proviennent de botnets , de machines infectées , de script kiddys et généralement de toutes sortes de bots.
Dans des systèmes comme Joomla , où l'emplacement du formulaire d'inscription de l'utilisateur est bien connu et par défaut accessible au public, il est facile de commencer à remplir et à soumettre les formulaires.
En fait, dans le monde Internet d'aujourd'hui, c'est quelque chose qui se produit en continu et en très grand volume dans toutes sortes de formulaires Web (forums, commentaires, formulaires de contact, enregistrement, etc.).
- Désactiver l'enregistrement des utilisateurs
Il existe plusieurs façons de protéger un site Joomla contre de telles activités. Au début, si vous n'avez pas besoin que les utilisateurs s'inscrivent sur votre site Web, vous pouvez désactiver l' enregistrement des utilisateurs , dans Configuration des utilisateurs (Utilisateurs-> options-> Autoriser l'enregistrement des utilisateurs défini sur Non).
Améliorations de la sécurité Conseils contre le spam de vos formulaires
En plus de cela, ou dans le cas où vous devez réellement activer l' enregistrement des utilisateurs , voici quelques techniques et suggestions pour protéger vos différents formulaires Joomla contre les spammeurs, les spambots et les pirates:
- Activer reCaptcha pour l'enregistrement des utilisateurs
Joomla est livré avec un plugin captcha natif. Vous pouvez le trouver dans les plugins, recherchez: Captcha - ReCaptcha . À l'intérieur du plugin, il y a des instructions sur la façon de le configurer. Vous devrez également obtenir une clé API sur https://www.google.com/recaptcha/ .
Documentation Joomla sur reCaptcha
- Redirigez toutes les inscriptions vers le formulaire d'inscription personnalisé avec des champs cachés
Il existe de nombreuses bonnes extensions de formulaire Joomla . Beaucoup d'entre eux offrent une intégration pour l'enregistrement des utilisateurs. Vous pouvez créer votre propre formulaire d'inscription personnalisé et ajouter 1 champ caché supplémentaire, avec une validation contre la fin, ou en traitant POST datale formulaire. Vos utilisateurs ne verront jamais le champ masqué, mais les robots essaieront également de remplir ce champ - mais votre validation échouera, ou si vous traitez les données du message, vous pouvez rediriger vers une page interdite 403. Pour que cette solution fonctionne complètement, vous aurez besoin d'un plugin supplémentaire, qui gérera la redirection pour toutes les inscriptions vers votre formulaire personnalisé.
- Joomla Antispam / Extensions de sécurité
Admin Tools , RS-Firewall et il devrait y en avoir plus ... sont des extensions qui offrent une protection complète du pare-feu contre cela et plus de problèmes de sécurité. Par exemple, avec Admin Tools pro, vous pouvez injecter des champs masqués dans toutes les formes existantes de votre site Joomla et bloquer les adresses IP d'où provient une soumission. Les outils d'administration Futhermore offrent une intégration avec le projet HoneyPot et les fonctionnalités de blocage GeoIP par pays, entre autres fonctionnalités.
Liens JED
Http: BL est un système qui permet aux administrateurs de sites Web de tirer parti des données générées par Project Honey Pot afin d'empêcher les robots Web suspects et malveillants de leurs sites. Le projet Honey Pot suit les récolteurs, les spammeurs de commentaires et autres visiteurs suspects sur les sites Web. Http: BL met ces données à la disposition de tout membre de Project Honey Pot de manière simple et efficace.
Il existe de nombreuses applications logicielles qui assurent l'intégration de ProjectHoneyPot. Pour Joomla, certaines extensions sont: Admin Tools Pro et sh404SEF .
- ZBBlock.php par Spambotsecurity.com
Améliorez la sécurité de votre application Joomla avec ce script de sécurité php gratuit. Il est conçu pour détecter certains comportements préjudiciables aux sites Web ou les mauvaises adresses connues tentant d'accéder à votre site. Il enverra ensuite au mauvais robot (généralement) ou au pirate une page 403 INTERDITE authentique avec une description de quel était le problème. Il est possible que vous deviez créer des signatures personnalisées ou sign.overrides pour que cela fonctionne exactement selon vos besoins, mais c'est très efficace.
Spambotsecurity.com
- Empêchez les messages qui ne proviennent pas de votre site dans htaccess
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{HTTP_REFERER} !^http://www.yourwebsite.com [NC]
RewriteRule .* - [F]
Et une référence à un article de blog avec plus de façons de mettre la liste noire via htaccess et mod_rewrite. https://perishablepress.com/eight-ways-to-blacklist-with-apaches-mod_rewrite/
- Pare-feu d'application Web Mod_Security.
Eh bien, il y a tellement de choses intéressantes que vous pouvez faire au niveau du serveur, en utilisant mod_security (en supposant qu'il soit installé sur votre serveur). Le sujet est vaste et très probablement hors de portée de ce site Web. De plus, de nombreuses possibilités dépendent de votre type / environnement d'hébergement, donc je publierai quelques liens de référence avec de plus amples informations sur mod_security.
- Logiciels tiers relatifs et liens généraux de sécurité du serveur