Preprečite zlorabo prijavnega obrazca (signup SPAM)

Na stotine nezaželenih komentarjev, neprestano prejemanje e-sporočil s sumljivimi povezavami, neučinkovita baza naročnikov za pošiljanje e-novic, registracija neresničnih oseb … Ste tudi sami med tistimi, ki še niso poskrbeli za učinkovito preprečevanje SPAM-a? Potem je čas, da temu naredite konec.

Pri NEOSERV smo se potrudili in pripravili podrobna navodila, kako preprečiti težave, ki jih povzročajo najrazličnejše avtomatizirane skripte. Tako si lahko preberete:

• Kako preprečiti zlorabo e-novic (newsletter SPAM)?
• Kako preprečiti zlorabo kontaktnega obrazca (contact form SPAM)?

V današnjem prispevku pa se bomo osredotočili na obrazce za registracijo novih uporabnikov (ang. Signup Form / Registration Form).

Najprej si bomo pogledali motiv spletnih napadalcev za lažne registracije, nato pa bomo predstavili še rešitve za sisteme WordPress, Joomla in phpBB.

Zakaj prihaja do registracij lažnih uporabnikov?

Velika večina lažnih registracij ni izvedena ročno, temveč gre za zlonamerne skripte, ki po spletu avtomatizirano iščejo okna za registracijo ter jih izpolnjujejo z izmišljenimi podatki. Razlogi za takšno početje so različni:

1. Pridobivanje povezav in obiskovalcev. Če sistem (npr. WordPress) registriranemu uporabniku dovoljuje objavo novih ali komentiranje obstoječih vsebin, lahko spletni virusi to izkoristijo. V tem primeru se na vaši strani pričnejo pojavljati nezaželene vsebine, iz katerih vodijo številne povezave do tujih spletnih strani. Na ta način spletni napadalci dosežejo večjo vidnost svojih strani, vam pa povzročijo nemalo težav.
2. Izkoriščanje varnostnih lukenj. Spletni virusi v nekaterih primerih varnostne luknje najdejo lažje, če se jim uspe registrirati in prijaviti v sistem. Na ta način lahko stran kompromirajo z zlonamerno kodo, druga možnost pa je, da pridobijo bazo e-poštnih naslovov legitimnih uporabnikov – npr. naročnikov, ki so opravili nakup v vaši spletni trgovini. Pridobljene e-poštne naslove nato uporabljajo za pošiljanje SPAM e-pošte.
3. Namerno povzročanje škode. Vedno ko se prek avtomatiziranega procesa registrira nov uporabnik, se na e-poštni naslov lastnika spletnega mesta samodejno pošlje obvestilo o registraciji. Prav tako se tudi s sistemskega e-naslova (primer: wordpress@vasadomena.si) na e-naslov lažnega uporabnika pošlje sporočilo s potrditveno povezavo ali zgolj z obvestilom o uspešno opravljeni registraciji. Ne le, da bo pogosto pošiljanje omenjenih e-sporočil hitro zapolnilo vaš e-poštni predal, temveč se lahko tudi hitro zgodi, da vaš e-poštni naslov konča na seznamu pošiljateljev SPAM e-pošte (ang. Blacklist).

Kaj je seznam pošiljateljev SPAM e-pošte?

Gre za bazo domen in IP naslovov, ki jih upravitelj seznama smatra kot nezaželene oziroma SPAM pošiljatelje. Nekateri seznami uživajo zelo velik ugled (npr. Spamhaus, Barracuda, Invaluement), spet drugi pa so manjši in jih uporabljajo le redki. Zelo izpopolnjeno bazo ima tudi Microsoft.

Če se vaš e-poštni naslov znajde na omenjenem seznamu, bodo vaša poslana sporočila končala v mapi za SPAM e-pošto ali pa sploh ne bodo uspešno dostavljena. Zato je izjemno pomembno, da dobro poskrbite za varnost in opisano težavo v celoti preprečite.

Tako, zdaj ko ste spoznali, zakaj je tako pomembno preprečiti registracijo lažnih uporabnikov, pa si preberite, kako to storiti v praksi.

Preprečevanje lažnih registracij: WordPress

Registracija novih uporabnikov je v WordPressu privzeto izključena. Vključiti jo je smiselno v primeru, ko na svoji spletni strani sprejemate vsebine tujih piscev (ang. Guest Posting). Če se vam dogaja, da v e-poštni predal prejemate obvestila o novih registracijah, sicer pa možnosti registracije ne potrebujete, jo preprosto izključite.

Kako? V WordPress administraciji se z miško zapeljite čez Nastavitve (ang. Settings) in kliknite na Splošno (ang. General). Poiščite možnost Članstvo (ang. Membership) in iz kvadratka odstranite kljukico. Nato še shranite spremembe.

Kaj pa, ko je možnost registracije novih uporabnikov potrebna? Ker je WordPress najbolj razširjen sistem na svetu, je tudi število registracij lažnih uporabnikov temu primerno. Po drugi strani pa je ravno zaradi velike priljubljenosti na voljo tudi precej vtičnikov, s katerimi si pri zaščiti lahko pomagamo.

Advanced Google reCAPTCHA

Z vtičnikom Advanced Google reCAPTCHA lahko obrazec za registracijo zavarujete pred boti in avtomatiziranimi skriptami. Pred registracijo mora uporabnik s klikom v prazno polje potrditi, da ni »robot«. Če sistem zazna, da gre za možnost registracije s strani bota ali skripte, je najprej potrebno opraviti test:

• vpis nerazločno prikazanih besed ali številk na zaslonu,
• izbira določenih slik (npr. prometnih znakov).

Pred uporabo omenjenega vtičnika je reCAPTCHA potrebno ustvariti. To naredite tako, da se prijavite v svoj Google račun in obiščete povezavo https://www.google.com/recaptcha/admin. Tam boste določili URL svoje spletne strani ter pridobili ključa (Site key in Secret key), ki ju boste nato uporabili pri samem WordPress vtičniku.

Kot vidite na zgornji sliki, je uporaba vtičnika Advanced Google reCAPTCHA zelo enostavna. Uporabite lahko tako reCAPTCHA v2 kot v3. Po vnosu in verifikaciji ključev morate le še izbrati, katere obrazce želite zavarovati. Do teh nastavitev dostopate prek zavihka Where To Show (povsem na vrhu). Zavarujete lahko npr. naslednje obrazce:

• obrazec za prijavo v administracijo,
• obrazec za registracijo uporabnika,
• obrazec za pozabljeno geslo,
• obrazec za oddajo komentarja,
• WooCommerce obrazec za registracijo uporabnika,
• WooCommerce obrazec na strani košarice,
• BuddyPress obrazec za registracijo uporabnika.

Spam protection by CleanTalk

Polno ime vtičnika je Spam protection FireWall, AntiSpam by CleanTalk. Gre za izjemno dovršen brezplačen vtičnik, ki je enostaven za uporabo in hkrati zelo učinkovit. Z njim lahko spletno mesto zavarujete pred lažnimi oziroma SPAM:

• registracijami,
• komentarji,
• sporočili prek kontaktnega obrazca,
• naročili v spletni trgovini,
• rezervacijami,
• naročili na e-novice.

Po namestitvi vtičnika v WordPress lahko API ključ uvozite ročno ali samodejno. Slednje naredite s klikom na gumb »Get access key automatically«. Tako boste lahko svoj WordPress zaščitili v le nekaj sekundah. Po uvozu ključa vas bo vtičnik obvestil, da je zaščita aktivna.

S klikom na povezavo »Advanced settings« lahko izbirate, kaj točno želite na svojem spletnem mestu zaščititi.

Preprečevanje lažnih registracij: Joomla

Za razliko od WordPressa ima Joomla, ki se uvršča na 2. mesto najbolj priljubljenih CMS sistemov, že privzeto vgrajeno možnost za uporabo reCAPTCHA vtičnika. Ta je sicer izključena, saj je najprej potrebno pridobiti oba ključa (Site Key in Secret Key).

Kot smo že omenili, omenjena ključa pridobite po naslednjem postopku:

1. Vpišite se v svoj Google račun in obiščite stran Google reCAPTCHA.

2. V obrazec vnesite svojo domeno in izberite reCAPTCHA različico.

3. Nato se vam bosta na zaslonu izpisala oba ključa.

Zdaj pa se vpišite v svojo Joomla administracijo in sledite naslednjim korakom:

1. V zgornjem meniju se z miško zapeljite na Extensions in izberite Plugins.

2. Na seznamu poiščite vtičnik Captcha – ReCaptcha in kliknite nanj.

3. Izberite verzijo vtičnika 2.0, vpišite oba ključa in na desni strani status spremenite v »Enabled«.

4. S klikom na »Save & Close« shranite spremembe.

5. V zgornjem meniju pojdite z miško čez System in kliknite na Global Configuration.

6. Pri nastavitvah spletišča (ang. Site Settings) poiščite vrstico »Default Captcha« in izberite Captcha – ReCaptcha.

7. S klikom na »Save & Close« zopet shranite spremembe.

To je vse. Kot lahko vidite na zgornji sliki, je zdaj na strani za registracijo novega uporabnika prisoten Googlov reCAPTCHA test.

Preprečevanje lažnih registracij: phpBB

Odprtokodni sistem phpBB je spletni forum, napisan v programskem jeziku PHP. Kratica izhaja iz angleške zloženke PHP Bulletin Board. Uporaba omenjenega foruma, ki je bil razvit že ob koncu leta 2000, danes pa je preveden v več kot 50 jezikov, je brezplačna.

Če ste prebrali vse, kar smo napisali do zdaj, ste verjetno opazili, da smo omenili že dva foruma: bbPress, ki je vtičnik za WordPress, ter forum Kunena, ki je razširitev za Joomlo. Potem veste tudi to, da za zaščito obeh lahko uporabite rešitev ekipe CleanTalk.

Povsem enako velja tudi za forum phpBB. Za popolno »spam« zaščito uporabite razširitev Anti-Spam by CleanTalk. Na navedeni povezavi si oglejte, kako razširitev namestiti ter kako poskrbeti za varnost pred registracijami lažnih uporabnikov in nezaželenimi objavami.

Bi SPAM registracije in objave raje zajezili z Google reCAPTCHA? Seveda je mogoče tudi to, vendar je postopek nekoliko bolj zakompliciran. Kako točno poteka, si lahko preberete na tej povezavi.