WordPress Spam on? Action = registro URL

Question

Come tutti, stiamo riscontrando problemi di spam sul nostro sito WordPress. Riceviamo una quantità significativa di traffico ogni mese e abbiamo riscontrato un problema strano. Stiamo utilizzando il plug-in Captcha Really Simple con Contact Form 7 e funziona in gran parte per la maggior parte (riduce quasi tutti gli spam), tranne che ci sono una manciata di casi ogni giorno che continuano a passare. Il modulo su cui è disponibile è un modulo di contatto a comparsa che viene visualizzato quando si passa con il mouse su un collegamento nell'intestazione. È fondamentalmente su ogni pagina del sito.

Nell'e-mail che riceviamo dall'invio, abbiamo l'URL che il messaggio proviene da stampato in basso. L'unica cosa che tutti i messaggi spam di successo hanno in comune è il "? Action = register" viene aggiunto agli URL da cui vengono inviati. Se vado al link da cui viene inviato e lo aggiungo alla fine dell'URL, il modulo e CAPTCHA funzionano ancora (ad esempio se digito il CAPTCHA errato mi blocca). Quindi è strano

So che "? Action = register" viene in genere aggiunto a wp-login.php per consentire agli utenti di registrarsi sul sito. So anche che esiste un plug-in (https://wordpress.org/plugins/custom-registration-link/) che lo risolverà in una certa misura, ma il plugin è molto obsoleto ed è anche sufficiente modificare il link di registrazione (non necessariamente per prevenire lo spam).

Abbiamo la registrazione chiusa sul nostro sito poiché immettiamo manualmente gli utenti se necessario, quindi so di un paio di patch che posso utilizzare per risolvere questo problema (reindirizzare le persone quando $ _GET ['action'] è impostato per esempio), ma non risponde perché ciò potrebbe accadere. Come ci sarebbe qualche vulnerabilità con solo una variabile GET?

Answer 1

Esistono molte tecniche per scoraggiare gli spammer, nessuno è efficace al 100%. Alcuni sono facili, ma possono presentare problemi di accessibilità, se si è interessati a ciò (tutti dovrebbero essere gli europei). Alcuni sono piuttosto elaborati e possono ancora portare a falsi positivi, bloccando gli utenti legittimi. È possibile implementare una combinazione di tecniche, ma un gran numero di approcci può rallentare i carichi di pagina.

È più semplice utilizzare un plug-in esistente, ma se riesci a scrivere codice ragionevole e sei disposto a metterlo nel tempo, penso che sia divertente provare varie tecniche per stimpare e confondere gli spammer. Una tecnica straordinariamente efficace se si dispone di un sito di interesse speciale è semplicemente richiedere ai dichiaranti di rispondere correttamente a una domanda che il pubblico di destinazione può rispondere facilmente, ma non può essere consultato su Google. Le domande dovrebbero essere ruotate e cambiate in occasione, perché ci sono spammer umani pagati una frazione di un centesimo per spam che si divertono particolarmente nel risolvere questi enigmi. Una volta che lo fanno, si vantano delle loro coorti, quindi ogni spammer impara la risposta.

link sottostanti potrebbe essere utile a voi

https://wordpress.org/support/topic/anti-spam-registrations
http://w3guy.com/wordpress-plugin-combat-stop-spam-bot-registration/

EDIT c'è un'una soluzione in più. puoi interrompere gli utenti che eseguono l'url direttamente dal seguente htaccess.

RewriteCond %{REQUEST_URI} "^/wp-login.php$" [NC] 
RewriteCond %{QUERY_STRING} "action=register" [NC] 
RewriteCond %{HTTP_REFERER} "!^http://([^.]+.)?domain.com/.*$" 
RewriteRule (.*) "/wp-login.php?" [L,R] 

Penso che questo potrebbe aiutare.