Comment empêcher les (faux) utilisateurs de s'inscrire sur mon site Web?

J'administre un site Web qui ne nécessite pas d'inscription des utilisateurs. Le seul utilisateur nécessaire est le super utilisateur. Le problème est que j'ai trouvé un grand nombre de nouveaux utilisateurs enregistrés.

Je veux d'abord désactiver la possibilité d'enregistrer de nouveaux utilisateurs et de supprimer ceux existants, à l'exception de Super User.

Pour commencer, j'ai fait quelques étapes, j'ai installé deux étapes de vérification pour essayer de bloquer et de supprimer des utilisateurs.

J'ai rencontré un problème lorsque j'ai essayé d'effacer ou de bloquer des utilisateurs, rien ne s'est produit sans afficher d'erreur.

joomla-3.x joomla-2.5 user security registration Vassilis
la source

Quel est le problème que vous avez rencontré lors de la tentative de suppression d'utilisateurs? Un message d'erreur spécial?

FFrewin

Aucune erreur ne m'a montré. C'est étrange. Je choisis tous les utilisateurs sauf le mien et je choisis de supprimer, la page est chargée, puis rien.

Vassilis

hmm, s'il y a trop d'utilisateurs répertoriés, alors Joomla pourrait vous empêcher de supprimer tous ensemble, si vous le définissez pour les répertorier "Tous". Essayez de supprimer par groupes de 100. Utilisez le filtre show # of records à 100.

FFrewin

Je résous le problème. Tout d'abord, je choisis uniquement les utilisateurs qui ne sont pas activés et j'ai supprimé. Ensuite, je bloque les utilisateurs qui ont été activés, puis je les supprime tous.

Vassilis

Réponses:

Les versions plus récentes de Joomla 3.x désactivent l'enregistrement des utilisateurs par défaut.

Si votre version de Joomla a été installée avant cette modification, l'enregistrement utilisateur est probablement activé.

L'enregistrement des utilisateurs peut être désactivé en réglant Users -> Manage -> Options -> Allow User Registrationsur "Non".

Vous pouvez ensuite supprimer tous les utilisateurs à l'exception du compte super administrateur.

Neil Robertson
la source

Neil vous remercie beaucoup. Je trouve le et je désactive l'enregistrement autorisé des utilisateurs. J'ai trouvé un problème, je ne pouvais pas supprimer un utilisateur activé. Tout d'abord, je dois désactiver l'utilisateur, puis le supprimer.

Vassilis

C'est une bonne idée de vérifier également vos extensions tierces. J'avais une fois installé EasyBlog en utilisant un site sandbox (c'est-à-dire un compte d'hébergement temporaire que j'ai configuré et démonté pour tester les extensions), et laissé tous les paramètres par défaut. Après quelques jours, j'avais environ 10 abonnés au spam sur le site - c'était une `` vulnérabilité prête à l'emploi '' de l'extension tierce qui nécessitait une attention particulière au `` verrouillage '' avant de devenir opérationnel. J'utilise EasyBlog à titre d'exemple, mais toute extension qui permet aux utilisateurs d'enregistrer et / ou de publier du contenu peut par inadvertance ajouter des vulnérabilités pour que de faux utilisateurs s'enregistrent.

NivF007

Pourquoi je trouve des utilisateurs enregistrés faux / spam sur mon site…?

La majorité de ces enregistrements proviennent de botnets , de machines infectées , de script kiddys et généralement de toutes sortes de bots.

Dans des systèmes comme Joomla , où l'emplacement du formulaire d'inscription de l'utilisateur est bien connu et par défaut accessible au public, il est facile de commencer à remplir et à soumettre les formulaires.
En fait, dans le monde Internet d'aujourd'hui, c'est quelque chose qui se produit en continu et en très grand volume dans toutes sortes de formulaires Web (forums, commentaires, formulaires de contact, enregistrement, etc.).

- Désactiver l'enregistrement des utilisateurs

Il existe plusieurs façons de protéger un site Joomla contre de telles activités. Au début, si vous n'avez pas besoin que les utilisateurs s'inscrivent sur votre site Web, vous pouvez désactiver l' enregistrement des utilisateurs , dans Configuration des utilisateurs (Utilisateurs-> options-> Autoriser l'enregistrement des utilisateurs défini sur Non).

Améliorations de la sécurité Conseils contre le spam de vos formulaires

En plus de cela, ou dans le cas où vous devez réellement activer l' enregistrement des utilisateurs , voici quelques techniques et suggestions pour protéger vos différents formulaires Joomla contre les spammeurs, les spambots et les pirates:

- Activer reCaptcha pour l'enregistrement des utilisateurs

Joomla est livré avec un plugin captcha natif. Vous pouvez le trouver dans les plugins, recherchez: Captcha - ReCaptcha . À l'intérieur du plugin, il y a des instructions sur la façon de le configurer. Vous devrez également obtenir une clé API sur https://www.google.com/recaptcha/ .
Documentation Joomla sur reCaptcha

- Redirigez toutes les inscriptions vers le formulaire d'inscription personnalisé avec des champs cachés

Il existe de nombreuses bonnes extensions de formulaire Joomla . Beaucoup d'entre eux offrent une intégration pour l'enregistrement des utilisateurs. Vous pouvez créer votre propre formulaire d'inscription personnalisé et ajouter 1 champ caché supplémentaire, avec une validation contre la fin, ou en traitant POST datale formulaire. Vos utilisateurs ne verront jamais le champ masqué, mais les robots essaieront également de remplir ce champ - mais votre validation échouera, ou si vous traitez les données du message, vous pouvez rediriger vers une page interdite 403. Pour que cette solution fonctionne complètement, vous aurez besoin d'un plugin supplémentaire, qui gérera la redirection pour toutes les inscriptions vers votre formulaire personnalisé.

- Joomla Antispam / Extensions de sécurité

Admin Tools , RS-Firewall et il devrait y en avoir plus ... sont des extensions qui offrent une protection complète du pare-feu contre cela et plus de problèmes de sécurité. Par exemple, avec Admin Tools pro, vous pouvez injecter des champs masqués dans toutes les formes existantes de votre site Joomla et bloquer les adresses IP d'où provient une soumission. Les outils d'administration Futhermore offrent une intégration avec le projet HoneyPot et les fonctionnalités de blocage GeoIP par pays, entre autres fonctionnalités.

Liens JED

- Intégrer ProjectHoneyPot

Http: BL est un système qui permet aux administrateurs de sites Web de tirer parti des données générées par Project Honey Pot afin d'empêcher les robots Web suspects et malveillants de leurs sites. Le projet Honey Pot suit les récolteurs, les spammeurs de commentaires et autres visiteurs suspects sur les sites Web. Http: BL met ces données à la disposition de tout membre de Project Honey Pot de manière simple et efficace.

Il existe de nombreuses applications logicielles qui assurent l'intégration de ProjectHoneyPot. Pour Joomla, certaines extensions sont: Admin Tools Pro et sh404SEF .

- ZBBlock.php par Spambotsecurity.com

Améliorez la sécurité de votre application Joomla avec ce script de sécurité php gratuit. Il est conçu pour détecter certains comportements préjudiciables aux sites Web ou les mauvaises adresses connues tentant d'accéder à votre site. Il enverra ensuite au mauvais robot (généralement) ou au pirate une page 403 INTERDITE authentique avec une description de quel était le problème. Il est possible que vous deviez créer des signatures personnalisées ou sign.overrides pour que cela fonctionne exactement selon vos besoins, mais c'est très efficace. Spambotsecurity.com

- Empêchez les messages qui ne proviennent pas de votre site dans htaccess

RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{HTTP_REFERER} !^http://www.yourwebsite.com [NC]
RewriteRule .* - [F]

Et une référence à un article de blog avec plus de façons de mettre la liste noire via htaccess et mod_rewrite. https://perishablepress.com/eight-ways-to-blacklist-with-apaches-mod_rewrite/

- Pare-feu d'application Web Mod_Security.

Eh bien, il y a tellement de choses intéressantes que vous pouvez faire au niveau du serveur, en utilisant mod_security (en supposant qu'il soit installé sur votre serveur). Le sujet est vaste et très probablement hors de portée de ce site Web. De plus, de nombreuses possibilités dépendent de votre type / environnement d'hébergement, donc je publierai quelques liens de référence avec de plus amples informations sur mod_security.

- Logiciels tiers relatifs et liens généraux de sécurité du serveur

FFrewin
la source

Merci pour votre réponse. J'ai choisi comme réponse de Neil mais la vôtre est plus complète et complétée est une bonne recommandation pour la sécurité d'un site Joomla. Je vais la garder pour référence future. Merci encore.

Vassilis