Ich verwalte eine Website, auf der sich Benutzer nicht registrieren müssen. Der einzige Benutzer, der benötigt wird, ist der Superuser. Das Problem ist, dass ich eine große Anzahl neuer registrierter Benutzer gefunden habe.
Zuerst möchte ich die Möglichkeit deaktivieren, neue Benutzer zu registrieren und vorhandene zu löschen, außer Super User.
Zunächst habe ich einige Schritte ausgeführt und zwei Überprüfungsschritte installiert, um Benutzer zu blockieren und zu löschen.
Beim Versuch, Benutzer zu löschen oder zu blockieren, trat ein Problem auf. Es ist nichts passiert, ohne dass ein Fehler angezeigt wurde.
joomla-3.x
joomla-2.5
user
security
registration
Vassilis
quelle
quelle
Antworten:
Neuere Versionen von Joomla 3.x deaktivieren standardmäßig die Benutzerregistrierung.
Wenn Ihre Version von Joomla vor dieser Änderung installiert wurde, ist wahrscheinlich die Benutzerregistrierung aktiviert.
Die Benutzerregistrierung kann durch Einstellen
Users -> Manage -> Options -> Allow User Registration
auf "Nein" deaktiviert werden .Sie können dann alle Benutzer außer dem Super Administrator-Konto löschen.
quelle
Warum finde ich auf meiner Website gefälschte / Spam-registrierte Benutzer?
Die meisten dieser Registrierungen stammen von Botnetzen , infizierten Maschinen , Skriptkindern und im Allgemeinen allen Arten von Bots.
In Systemen wie Joomla , in denen der Speicherort des Benutzerregistrierungsformulars bekannt und standardmäßig öffentlich zugänglich ist, ist es einfach, mit dem Ausfüllen und Senden der Formulare zu beginnen.
In der heutigen Internetwelt geschieht dies kontinuierlich und in sehr hohem Umfang in allen Arten von Webformularen (Foren, Kommentare, Kontaktformulare, Registrierung usw.).
- Deaktivieren Sie die Benutzerregistrierung
Es gibt verschiedene Möglichkeiten, eine Joomla-Site vor solchen Aktivitäten zu schützen. Wenn Sie keine Benutzer zur Registrierung auf Ihrer Website benötigen, können Sie zunächst die Benutzerregistrierung in der Benutzerkonfiguration deaktivieren (Benutzer-> Optionen-> Benutzerregistrierung zulassen auf Nein setzen).
Sicherheitsverbesserungen Tipps gegen Spam in Ihren Formularen
Darüber hinaus oder für den Fall, dass die Benutzerregistrierung tatsächlich aktiviert sein muss , finden Sie hier einige Techniken und Vorschläge, um Ihre verschiedenen Joomla-Formulare vor Spammern, Spambots und Hackern zu schützen:
- Aktivieren Sie reCaptcha für die Benutzerregistrierung
Joomla wird mit einem nativen Captcha-Plugin geliefert. Sie finden es in Plugins, suchen Sie nach: Captcha - ReCaptcha . Im Plugin finden Sie Anweisungen zum Einrichten. Sie müssen außerdem einen API-Schlüssel von https://www.google.com/recaptcha/ erhalten .
Joomla-Dokumentation zu reCaptcha
- Leiten Sie alle Registrierungen mit ausgeblendeten Feldern zum benutzerdefinierten Registrierungsformular um
Es gibt viele gute Joomla-Formularerweiterungen . Viele von ihnen bieten eine Integration für die Benutzerregistrierung. Sie können Ihr eigenes benutzerdefiniertes Registrierungsformular erstellen und 1 zusätzliches ausgeblendetes Feld hinzufügen, mit einer Validierung gegen Ausfüllen oder durch Verarbeiten
POST data
des Formulars. Ihre Benutzer werden das ausgeblendete Feld nie sehen, aber Bots werden auch versuchen, dieses Feld auszufüllen. Dann schlägt Ihre Validierung jedoch fehl. Wenn Sie die Post-Daten verarbeiten, können Sie auf eine 403 Forbidden-Seite umleiten. Damit diese Lösung vollständig funktioniert, benötigen Sie ein zusätzliches Plugin, das die Umleitung für alle Registrierungen zu Ihrem benutzerdefinierten Formular übernimmt.- Joomla Antispam / Sicherheitserweiterungen
Admin Tools , RS-Firewall und es sollte mehr geben ... sind Erweiterungen, die einen gründlichen Firewall-Schutz gegen dieses und weitere Sicherheitsbedenken bieten. Mit den Admin Tools pro können Sie beispielsweise versteckte Felder in alle vorhandenen Formen Ihrer Joomla-Site einfügen und die IPs blockieren, von denen eine Übermittlung stammt. Die weiteren Admin-Tools ermöglichen unter anderem die Integration in HoneyPot-Projekt- und GeoIP-Blockierungsfunktionen nach Ländern.
JED-Links
- Integrieren Sie ProjectHoneyPot
Http: BL ist ein System, mit dem Website-Administratoren die von Project Honey Pot generierten Daten nutzen können, um verdächtige und böswillige Webroboter von ihren Websites fernzuhalten. Das Projekt Honey Pot verfolgt Erntemaschinen, Kommentar-Spammer und andere verdächtige Besucher von Websites. Http: BL stellt diese Daten jedem Mitglied von Project Honey Pot auf einfache und effiziente Weise zur Verfügung.
Es gibt viele Softwareanwendungen, die die ProjectHoneyPot-Integration ermöglichen. Für Joomla sind einige Erweiterungen: Admin Tools Pro und sh404SEF .
- ZBBlock.php von Spambotsecurity.com
Erhöhen Sie die Sicherheit Ihrer Joomla-Anwendung mit diesem kostenlosen PHP-Sicherheitsskript. Es wurde entwickelt, um bestimmte Verhaltensweisen zu erkennen, die sich nachteilig auf Websites auswirken, oder bekannte schlechte Adressen, die versuchen, auf Ihre Website zuzugreifen. Anschließend wird dem fehlerhaften Roboter (normalerweise) oder Hacker eine authentische 403 FORBIDDEN-Seite mit einer Beschreibung des Problems gesendet. Es ist möglich, dass Sie einige benutzerdefinierte Signaturen oder sign.overrides erstellen müssen, damit es genau Ihren Anforderungen entspricht, aber es ist sehr effektiv. Spambotsecurity.com
- Verhindern Sie Posts, die nicht von Ihrer Site in htaccess kommen
Und ein Verweis auf einen Blog-Beitrag mit mehr Möglichkeiten zum Blacklisting über htaccess und mod_rewrite. https://perishablepress.com/eight-ways-to-blacklist-with-apaches-mod_rewrite/
- Mod_Security-Webanwendungs-Firewall.
Nun, es gibt so viele coole Dinge, die Sie auf Serverebene mit mod_security tun können (vorausgesetzt, es ist auf Ihrem Server installiert). Das Thema ist groß und liegt wahrscheinlich außerhalb des Rahmens dieser Website. Viele der Möglichkeiten hängen auch von Ihrem Hosting-Typ / Ihrer Hosting-Umgebung ab. Daher werde ich einige Referenzlinks mit weiteren Informationen zu mod_security veröffentlichen.
- Relative Software von Drittanbietern und allgemeine Server-Sicherheitslinks
quelle