Tôi quản trị một trang web không yêu cầu người dùng đăng ký. Người dùng duy nhất cần thiết là Siêu người dùng. Vấn đề là tôi đã tìm thấy một số lượng lớn người dùng đăng ký mới.

Đầu tiên tôi muốn vô hiệu hóa khả năng đăng ký người dùng mới và xóa những người dùng hiện có, ngoại trừ Super User.

Để bắt đầu, tôi đã thực hiện một số bước, tôi đã cài đặt hai bước xác minh để thử chặn và xóa người dùng.

Tôi gặp phải một vấn đề khi tôi cố xóa hoặc chặn người dùng, không có gì xảy ra mà không hiển thị bất kỳ lỗi nào.

Các phiên bản mới hơn của Joomla 3.x vô hiệu hóa Đăng ký người dùng theo mặc định.

Nếu phiên bản Joomla của bạn đã được cài đặt trước khi thay đổi này, có thể bạn đã bật Đăng ký người dùng.

Đăng ký người dùng có thể bị vô hiệu hóa bằng cách đặt Users -> Manage -> Options -> Allow User Registrationthành "Không".

Sau đó, bạn có thể xóa tất cả người dùng ngoại trừ tài khoản Super Administrator.

Tại sao tôi tìm thấy người dùng đã đăng ký giả / spam trong trang web của mình?

Phần lớn các đăng ký như vậy đến từ botnet , máy bị nhiễm , kiddys script và nói chung là tất cả các loại bot.

Trong các hệ thống như Joomla , nơi vị trí của biểu mẫu đăng ký người dùng được biết đến và theo mặc định có thể truy cập công khai, thật dễ dàng để bắt đầu điền và gửi biểu mẫu.
Trên thực tế trong thế giới internet ngày nay, đây là điều đang diễn ra liên tục và với khối lượng siêu cao trong tất cả các loại biểu mẫu web (diễn đàn, bình luận, biểu mẫu liên hệ, đăng ký, v.v.).

- Vô hiệu hóa đăng ký người dùng

Có một vài cách để bảo vệ một trang web Joomla trước các hoạt động như vậy. Đầu tiên, nếu bạn không cần Người dùng đăng ký trong trang web của mình, bạn có thể vô hiệu hóa Đăng ký người dùng , trong Cấu hình người dùng (Người dùng-> tùy chọn-> Cho phép Đăng ký người dùng được đặt thành Không).

Cải tiến bảo mật Mẹo chống spam thư rác của bạn

Ngoài ra, hoặc trong trường hợp bạn thực sự cần phải kích hoạt Đăng ký người dùng , đây là một số kỹ thuật và đề xuất để bảo vệ các hình thức Joomla khác nhau của bạn khỏi những kẻ gửi thư rác, spam bots và tin tặc:

- Kích hoạt reCaptcha để đăng ký người dùng

Joomla đi kèm với một plugin captcha bản địa. Bạn có thể tìm thấy nó trong Plugins, tìm kiếm: Captcha - ReCaptcha . Bên trong plugin có hướng dẫn cách thiết lập. Bạn cũng sẽ cần lấy khóa API từ https://www.google.com/recaptcha/ .
Tài liệu Joomla trên reCaptcha

- Chuyển hướng tất cả các đăng ký sang biểu mẫu Đăng ký tùy chỉnh với các trường ẩn

Có rất nhiều phần mở rộng mẫu Joomla tốt ra khỏi đó. Nhiều người trong số họ cung cấp tích hợp cho đăng ký người dùng. Bạn có thể xây dựng biểu mẫu đăng ký tùy chỉnh của riêng mình và thêm 1 trường ẩn, với xác thực không được hoàn thành hoặc bằng cách xử lý POST databiểu mẫu. Người dùng của bạn sẽ không bao giờ nhìn thấy trường ẩn, nhưng các bot cũng sẽ cố gắng hoàn thành trường này - nhưng sau đó xác thực của bạn sẽ thất bại hoặc nếu bạn đang xử lý dữ liệu bài đăng, bạn có thể chuyển hướng đến trang 403 Cấm. Để giải pháp này hoạt động hoàn toàn, bạn sẽ cần một plugin bổ sung, sẽ xử lý chuyển hướng cho tất cả các đăng ký vào biểu mẫu tùy chỉnh của bạn.

- Phần mở rộng bảo mật / bảo mật Joomla

Công cụ quản trị , RS- Tường lửa và cần có thêm ... là các tiện ích mở rộng cung cấp bảo vệ tường lửa triệt để chống lại vấn đề này và nhiều vấn đề bảo mật hơn. Ví dụ: với Công cụ quản trị chuyên nghiệp, bạn có thể thêm các trường ẩn trong tất cả các hình thức hiện có của trang Joomla của bạn và chặn IP từ nơi gửi đến. Công cụ quản trị Futhermore cung cấp tích hợp với dự án HoneyPot và các tính năng chặn GeoIP theo quốc gia, trong số các tính năng khác.

Liên kết JED

• Sự bảo vệ SPAM
• Bảo vệ

- Tích hợp ProjectHoneyPot

Http: BL là một hệ thống cho phép các quản trị viên trang web tận dụng dữ liệu do Project Honey Pot tạo ra để ngăn chặn các robot web đáng ngờ và độc hại khỏi trang web của họ. Dự án Honey Pot theo dõi người thu hoạch, người gửi thư rác nhận xét và khách truy cập đáng ngờ khác đến các trang web. Http: BL cung cấp dữ liệu này cho bất kỳ thành viên nào của Project Honey Pot một cách dễ dàng và hiệu quả.

Có nhiều ứng dụng phần mềm cung cấp tích hợp ProjectHoneyPot. Đối với Joomla, một số tiện ích mở rộng là: Admin Tools Pro và sh404SEF .

- ZBBlock.php bởi Spambecurity.com

Tăng cường bảo mật cho ứng dụng Joomla của bạn với tập lệnh bảo mật php miễn phí này. Nó được thiết kế để phát hiện một số hành vi gây bất lợi cho các trang web hoặc các địa chỉ xấu đã biết đang cố truy cập trang web của bạn. Sau đó, nó sẽ gửi cho robot xấu (thường) hoặc hacker một trang 403 FORBIDDEN đích thực với một mô tả về vấn đề là gì. Có thể bạn có thể phải thực hiện một số chữ ký tùy chỉnh hoặc đăng nhập. Điều chỉnh để làm cho nó hoạt động chính xác cho nhu cầu của bạn, nhưng nó rất hiệu quả. Spambecurity.com

- Ngăn chặn bài viết không đến từ trang web của bạn trong htaccess

RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{HTTP_REFERER} !^http://www.yourwebsite.com [NC]
RewriteRule .* - [F]  

Và một tài liệu tham khảo cho một bài đăng blog với nhiều cách hơn để đưa vào danh sách đen thông qua htaccess và mod_rewrite. https://perishablepress.com/eight-ways-to-blacklist-with-apaches-mod_rewrite/

- Tường lửa ứng dụng web Mod_Security.

Vâng, có rất nhiều điều thú vị mà bạn có thể làm ở cấp độ máy chủ, sử dụng mod_security (giả sử nó được cài đặt trên máy chủ của bạn). Chủ đề là lớn và rất có thể nằm ngoài phạm vi của trang web này. Ngoài ra, nhiều khả năng phụ thuộc vào loại / môi trường lưu trữ của bạn, vì vậy tôi sẽ đăng một số liên kết tham khảo với thông tin thêm về mod_security.

• Mod_Security htaccess
• Ngăn chặn thư rác với mod_security của Apache

- Phần mềm bên thứ 3 tương đối và liên kết bảo mật máy chủ chung

• Đám mây
• Sucuri.net
• Dự án Honey Pot
• Fail2Ban
• Ngăn chặn Hacker
• BitNinja
• SỞ HỮU