W ostatnich dniach miałem sporo zapytań „z zewnątrz” na temat nowych rezerwacji na stronach z WordPressem i sklepach na WooCommerce, które w większości przypadków były (są) zakładane na nieistniejące adresy e-mail, często w domenie z końcówką „z krainy orków” (.ru), które są właściwie standardowym elementem internetu, ale w ostatnich dniach jakby się nasiliły. Potwierdzają to też statystyki z moich testowych WordPressów (honeypot), gdzie też widać dużo większą niż zwykle aktywność w tym zakresie…
Blokada (rejestracji) fałszywych kont w WordPressie i WooCommerce
SPAMu – w znaczeniu ogólnym – raczej nie powstrzymamy, ale dość łatwo można zablokować – przynajmniej w większości przypadków – takie fikcyjne rejestracje zaśmiecające strony.
W przypadku WordPressa należy w ustawieniach ogólnych (WP-Admin -> Ustawienia -> Ogólne) odznaczyć opcję „każdy może się zarejestrować” w sekcji „członkostwo”:
W przypadku sklepu internetowego na WooCommerce dobrym pomysłem może być wyłączenie możliwości zakładania kont bez zakupów, czyli na stronie „moje konto”:
Wystarczy w zakładce „konta i prywatność” w ustawieniach WooCommerce odznaczyć opcję „pozwól klientom na tworzenie kont na stronie 'moje konto’.”, przy aktywnej opcji „pozwól kupującym tworzyć konta podczas składania zamówienia”.
Chyba że w sklepie nie przewidujemy w ogóle kont dla kupujących, wtedy tę opcję należy również odznaczyć, tak samo, jak „podczas tworzenia konta, automatycznie wygeneruj nazwę użytkownika dla klienta na podstawie jego imienia, nazwiska lub adresu e-mail”.
Z doświadczenia wiem, że takie ustawienia eliminują większość fałszywych rejestracji kont, i to bez zabawy w CAPTCHA i inne przeszkadzajki. Przynajmniej jeśli chodzi o WordPressa i WooCommerce. W przypadku innych wtyczek z obsługą kont może być konieczność zerknięcia do ich ustawień…
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.
Dumny przyjaciel swoich psów :-)
- Wtyczka BackWPup w wersji 5.x to doskonały przykład, jak wylać dziecko z kąpielą i z relatywnie świetnego narzędzia zrobić właściwie bezwartościowego gniota - 1970-01-01
- Testowy przelew w Bitcoinach z najniższą prowizją, czyli krótka historia o tym, jak zamroziłem BTC na (ponad) rok - 1970-01-01
- Nowy system kopii zapasowych w Home Assistant 2025.1 to zapewne krok w dobrym kierunku, ale zdecydowanie przedwczesny - 1970-01-01
Mam te opcje wyłączona od zawsze, a rejestruja mi sie nowi, do tego jako admini, zasmiecaja strone, wrzucaja trojany, dodaja wtyczki. Co Ty na to?
Ja na to, że jeśli ktoś Ci się rejestruje na stronie jako admin, to te opcje nie mają znaczenia, bo znaczy, że masz najpewniej zainfekowaną stronę. I raczej tym się trzeba wcześniej dobrze/skutecznie zająć, bo póki jest zainfekowana, to żadne zabezpieczenia nie pomogą…
I nie, nie pomoże tu „magiczna wtyczka od bezpieczeństwa”, a tylko i wyłącznie ktoś, kto ma faktyczne o tym pojęcie.