ユーザー登録不要のウェブサイトを運営しています。必要な唯一のユーザーはスーパーユーザーです。問題は、多数の新規登録ユーザーを見つけたことです。
最初に、スーパーユーザーを除いて、新しいユーザーを登録し、既存のユーザーを削除する機能を無効にします。
まず、いくつかの手順を実行しました。ユーザーをブロックして削除するために、2つの確認手順をインストールしました。
ユーザーを消去またはブロックしようとしたときに問題が発生しましたが、エラーを表示せずに何も起こりませんでした。
ユーザー登録不要のウェブサイトを運営しています。必要な唯一のユーザーはスーパーユーザーです。問題は、多数の新規登録ユーザーを見つけたことです。
最初に、スーパーユーザーを除いて、新しいユーザーを登録し、既存のユーザーを削除する機能を無効にします。
まず、いくつかの手順を実行しました。ユーザーをブロックして削除するために、2つの確認手順をインストールしました。
ユーザーを消去またはブロックしようとしたときに問題が発生しましたが、エラーを表示せずに何も起こりませんでした。
回答:
Joomla 3.xの新しいバージョンでは、デフォルトでユーザー登録が無効になっています。
この変更前にJoomlaのバージョンがインストールされている場合は、ユーザー登録が有効になっている可能性があります。
Users -> Manage -> Options -> Allow User Registration
「いいえ」に設定すると、ユーザー登録を無効にできます。
その後、特権管理者アカウントを除くすべてのユーザーを削除できます。
そのような登録の大部分は、ボットネット、感染したマシン、スクリプトキディ、および一般的にあらゆる種類のボットからのものです。
Joomlaのようなシステムでは、ユーザー登録フォームの場所がよく知られており、デフォルトで一般公開されているため、フォームの入力と送信を簡単に開始できます。
実際、今日のインターネットの世界では、これはあらゆる種類のWebフォーム(フォーラム、コメント、連絡先フォーム、登録など)で継続的かつ超大量に発生しているものです。
このような活動からJoomlaサイトを保護する方法はいくつかあります。ユーザーがウェブサイトに登録する必要がない場合は最初に、あなたは無効にする可能性がユーザー登録をして、ユーザー設定(Users-> [オプション]> [ユーザー登録セットはありませんすることができます)。
これに加えて、または実際にユーザー登録を有効にする必要がある場合は、スパマー、スパムボット、ハッカーからさまざまなJoomlaフォームを保護するためのテクニックと提案を以下に示します。
Joomlaにはネイティブのcaptchaプラグインが付属しています。プラグイン内で見つけることができます:Captcha-ReCaptchaを検索してください。プラグインの中に、それを設定する方法の説明があります。また、https://www.google.com/recaptcha/からAPIキーを取得する必要があります。
reCaptchaに関するJoomlaドキュメント
多くの優れたJoomlaフォーム拡張機能があります。それらの多くは、ユーザー登録の統合を提供します。独自のカスタム登録フォームを作成し、1つ追加の非表示フィールドを追加できPOST data
ます。これは、完了に対する検証を行うか、フォームのを処理することによって行います。ユーザーには非表示フィールドは表示されませんが、ボットもこのフィールドに入力しようとしますが、検証が失敗するか、投稿データを処理している場合は、403 Forbiddenページにリダイレクトできます。このソリューションを完全に機能させるには、カスタムフォームへのすべての登録のリダイレクトを処理する追加のプラグインが必要です。
管理ツール、 RS-ファイアウォールなどがあるはずです...これに対するファイアウォール保護を提供する拡張機能であり、より多くのセキュリティ上の懸念があります。たとえば、管理ツールプロを使用すると、Joomlaサイトのすべての既存のフォームに非表示フィールドを挿入し、送信元のIPをブロックできます。Futhermore管理ツールは、 HoneyPotプロジェクトとの統合、および他の機能の中でも特に国ごとのGeoIPブロック機能を提供します。
Http:BLは、Webサイトの管理者がProject Honey Potによって生成されたデータを利用して、疑わしい悪意のあるWebロボットをサイトに近づけないようにするシステムです。Project Honey Potは、ハーベスタ、コメントスパマー、およびWebサイトへのその他の不審な訪問者を追跡します。Http:BLは、このデータをProject Honey Potのすべてのメンバーが簡単かつ効率的に利用できるようにします。
ProjectHoneyPot統合を提供する多くのソフトウェアアプリケーションがあります。Joomlaの場合、いくつかの拡張機能は次のとおりです。AdminTools Proおよびsh404SEF。
この無料のphpセキュリティスクリプトでJoomlaアプリケーションのセキュリティを強化します。Webサイトに有害な特定の動作、またはサイトにアクセスしようとする既知の不正アドレスを検出するように設計されています。次に、不正なロボット(通常は)またはハッカーに、問題が何であったかを説明した本物の403 FORBIDDENページを送信します。必要に応じて機能させるために、カスタム署名またはsign.overridesを作成する必要がある場合がありますが、非常に効果的です。 Spambotsecurity.com
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{HTTP_REFERER} !^http://www.yourwebsite.com [NC]
RewriteRule .* - [F]
そして、htaccessとmod_rewriteを介してブラックリストに登録するためのより多くの方法を持つブログ投稿への参照 https://perishablepress.com/eight-ways-to-blacklist-with-apaches-mod_rewrite/
さて、mod_securityを使用してサーバーレベルで実行できる素晴らしいことがたくさんあります(サーバーにインストールされている場合)。トピックは大きく、おそらくこのWebサイトの範囲外です。また、可能性の多くはホスティングタイプ/環境に依存するため、mod_securityに関する詳細情報を記載した参照リンクをいくつか掲載します。