(偽の)ユーザーが私のウェブサイトに登録できないようにする方法は?


9

ユーザー登録不要のウェブサイトを運営しています。必要な唯一のユーザーはスーパーユーザーです。問題は、多数の新規登録ユーザーを見つけたことです。

最初に、スーパーユーザーを除いて、新しいユーザーを登録し、既存のユーザーを削除する機能を無効にします。

まず、いくつかの手順を実行しました。ユーザーをブロックして削除するために、2つの確認手順をインストールしました。

ユーザーを消去またはブロックしようとしたときに問題が発生しましたが、エラーを表示せずに何も起こりませんでした。


ユーザーを削除しようとしたときに発生した問題は何ですか?特別なエラーメッセージはありますか?
FFrewin

エラーは表示されませんでした。これは奇妙です。私以外のすべてのユーザーを選択し、[削除]を選択すると、ページが読み込まれ、何も起こりません。
Vassilis 2015年

うーん、リストされているユーザーが多すぎる場合、「すべて」をリストするように設定すると、Joomlaが一緒にすべてを削除できない場合があります。100
単位で

私は問題を解決します。まず、アクティブ化されていないユーザーのみを選択して削除しました。次に、アクティブ化されたユーザーをブロックし、すべて削除します。
Vassilis 2015年

回答:


11

Joomla 3.xの新しいバージョンでは、デフォルトでユーザー登録が無効になっています。

この変更前にJoomlaのバージョンがインストールされている場合は、ユーザー登録が有効になっている可能性があります。

Users -> Manage -> Options -> Allow User Registration「いいえ」に設定すると、ユーザー登録を無効にできます。

その後、特権管理者アカウントを除くすべてのユーザーを削除できます。


2
ニールは精一杯ありがとうございます。「ユーザー登録を許可」を見つけて無効にします。onatherの問題が見つかりました。アクティブ化されているユーザーを削除できませんでした。まず、ユーザーを無効にしてから削除する必要があります。
Vassilis 2015年

1
サードパーティの拡張機能も確認することをお勧めします。サンドボックスサイト(つまり、拡張機能をテストするためにセットアップおよびティアダウンした一時的なホスティングアカウント)を使用してEasyBlogをインストールしたことがあり、すべてデフォルト設定のままにしました。数日後、私はサイトに約10のスパムサブスクライバーがいました-公開する前に「ロックダウン」に特別な注意を払う必要があったのは、サードパーティ拡張機能の「すぐに使える脆弱性」でした。私はEasyBlogを例として使用しますが、ユーザーがコンテンツを登録および/または投稿できる拡張機能を使用すると、偽のユーザーが登録する脆弱性が誤って追加される可能性があります。
NivF007

14

私のサイトで偽/スパムの登録ユーザーを見つけるのはなぜですか?

そのような登録の大部分は、ボットネット感染したマシンスクリプトキディ、および一般的にあらゆる種類のボットからのものです。

Joomlaのようなシステムでは、ユーザー登録フォームの場所がよく知られており、デフォルトで一般公開されているため、フォームの入力と送信を簡単に開始できます。
実際、今日のインターネットの世界では、これはあらゆる種類のWebフォーム(フォーラム、コメント、連絡先フォーム、登録など)で継続的かつ超大量に発生しているものです。

-ユーザー登録を無効にする

このような活動からJoomlaサイトを保護する方法はいくつかあります。ユーザーがウェブサイトに登録する必要がない場合は最初に、あなたは無効にする可能性がユーザー登録をして、ユーザー設定(Users-> [オプション]> [ユーザー登録セットはありませんすることができます)。


セキュリティの強化フォームのスパム行為に対するヒント

これに加えて、または実際にユーザー登録を有効にする必要がある場合は、スパマー、スパムボット、ハッカーからさまざまなJoomlaフォームを保護するためのテクニックと提案を以下に示します。

-ユーザー登録のためにreCaptchaを有効にする

Joomlaにはネイティブのcaptchaプラグインが付属しています。プラグイン内で見つけることができます:Captcha-ReCaptchaを検索してください。プラグインの中に、それを設定する方法の説明があります。また、https://www.google.com/recaptcha/からAPIキーを取得する必要があります
reCaptchaに関するJoomlaドキュメント


-すべての登録を非表示フィールドのあるカスタム登録フォームにリダイレクトします

多くの優れたJoomlaフォーム拡張機能があります。それらの多くは、ユーザー登録の統合を提供します。独自のカスタム登録フォームを作成し、1つ追加の非表示フィールドを追加できPOST dataます。これは、完了に対する検証を行うか、フォームのを処理することによって行います。ユーザーには非表示フィールドは表示されませんが、ボットもこのフィールドに入力しようとしますが、検証が失敗するか、投稿データを処理している場合は、403 Forbiddenページにリダイレクトできます。このソリューションを完全に機能させるには、カスタムフォームへのすべての登録のリダイレクトを処理する追加のプラグインが必要です。


-Joomlaアンチスパム/セキュリティ拡張機能

管理ツール RS-ファイアウォールなどがあるはずです...これに対するファイアウォール保護を提供する拡張機能であり、より多くのセキュリティ上の懸念があります。たとえば、管理ツールプロを使用すると、Joomlaサイトのすべての既存のフォームに非表示フィールドを挿入し、送信元のIPをブロックできます。Futhermore管理ツールは、 HoneyPotプロジェクトとの統合、および他の機能の中でも特に国ごとのGeoIPブロック機能を提供します。

JEDリンク


-ProjectHoneyPotを統合する

Http:BLは、Webサイトの管理者がProject Honey Potによって生成されたデータを利用して、疑わしい悪意のあるWebロボットをサイトに近づけないようにするシステムです。Project Honey Potは、ハーベスタ、コメントスパマー、およびWebサイトへのその他の不審な訪問者を追跡します。Http:BLは、このデータをProject Honey Potのすべてのメンバーが簡単かつ効率的に利用できるようにします。

ProjectHoneyPot統合を提供する多くのソフトウェアアプリケーションがあります。Joomlaの場合、いくつかの拡張機能は次のとおりです。AdminTools Proおよびsh404SEF


-Spambotsecurity.comによるZBBlock.php

この無料のphpセキュリティスクリプトでJoomlaアプリケーションのセキュリティを強化します。Webサイトに有害な特定の動作、またはサイトにアクセスしようとする既知の不正アドレスを検出するように設計されています。次に、不正なロボット(通常は)またはハッカーに、問題が何であったかを説明した本物の403 FORBIDDENページを送信します。必要に応じて機能させるために、カスタム署名またはsign.overridesを作成する必要がある場合がありますが、非常に効果的です。 Spambotsecurity.com


-あなたのサイトから来ていない投稿をhtaccessで防ぐ

RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{HTTP_REFERER} !^http://www.yourwebsite.com [NC]
RewriteRule .* - [F]  

そして、htaccessとmod_rewriteを介してブラックリストに登録するためのより多くの方法を持つブログ投稿への参照 https://perishablepress.com/eight-ways-to-blacklist-with-apaches-mod_rewrite/


-Mod_Security Webアプリケーションファイアウォール。

さて、mod_securityを使用してサーバーレベルで実行できる素晴らしいことがたくさんあります(サーバーにインストールされている場合)。トピックは大きく、おそらくこのWebサイトの範囲外です。また、可能性の多くはホスティングタイプ/環境に依存するため、mod_securityに関する詳細情報を記載した参照リンクをいくつか掲載します。


-相対サードパーティソフトウェアと一般的なサーバーセキュリティリンク


お返事ありがとうございます。私はニールの回答として選択しましたが、あなたの回答はより包括的であり、完成したものはJoomlaサイトのセキュリティのための良い推奨事項です。私は彼女を将来の参照のために保管します。ありがとうございました。
Vassilis 2015年
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.