¿Cómo evitar que los usuarios (falsos) se registren en mi sitio web?

9

Administro un sitio web que no requiere que los usuarios se registren. El único usuario que se necesita es el Súper Usuario. El problema es que encontré una gran cantidad de nuevos usuarios registrados.

Primero quiero deshabilitar la capacidad de registrar nuevos usuarios y eliminar los existentes, excepto Super Usuario.

Para empezar, hice algunos pasos, instalé dos pasos de verificación en un intento por bloquear y eliminar usuarios.

Enfrenté un problema cuando intenté borrar o bloquear usuarios, no pasó nada sin mostrar ningún error.

joomla-3.x joomla-2.5 user security registration Vassilis
fuente
¿Cuál es el problema que encontró al intentar eliminar usuarios? ¿Algún mensaje de error especial?
FFrewin
No me mostró ningún error. Esto es lo extraño. Elijo a todos los usuarios excepto el mío y elijo eliminar, la página se carga y luego nada.
Vassilis
hmm, si hay demasiados usuarios en la lista, entonces Joomla podría evitar que elimines todos, si lo configuras para enumerarlos "Todos". Intenta eliminar en grupos de 100. Usa el filtro show # of records a 100.
FFrewin
Yo resuelvo el problema. Primero elijo solo los usuarios que no están activados y los eliminé. Luego bloqueo a los usuarios que se activaron y luego borro todo.
Vassilis

Respuestas:

11

Las versiones más recientes de Joomla 3.x deshabilitan el registro de usuario de forma predeterminada.

Si su versión de Joomla se instaló antes de este cambio, probablemente tenga habilitado el Registro de usuario.

El registro de usuario puede deshabilitarse configurando Users -> Manage -> Options -> Allow User Registration"No".

Luego puede eliminar todos los usuarios, excepto la cuenta de Super Administrador.

Neil Robertson
fuente
2
Neil muchas gracias versy. Encuentro y desactivo el Permitir registro de usuario. Encontré un problema, no pude eliminar un usuario que está activado. Primero necesito desactivar el usuario y luego eliminarlo.
Vassilis
1
Es una buena idea verificar también las extensiones de terceros. Una vez instalé EasyBlog usando un sitio sandbox (es decir, una cuenta de alojamiento temporal que configuré y desmantelé para probar extensiones), y dejé todas las configuraciones predeterminadas. Después de un par de días, tenía unos 10 suscriptores de spam en el sitio: era una 'vulnerabilidad inmediata' de la extensión de terceros que necesitaba atención especial para 'bloquear' antes de lanzarse. Utilizo EasyBlog como ejemplo, pero cualquier extensión que permita a los usuarios registrarse y / o publicar contenido puede agregar vulnerabilidades inadvertidamente para que usuarios falsos se registren.
NivF007
14

¿Por qué encuentro usuarios registrados falsos / spam en mi sitio ...?

La mayoría de estos registros provienen de botnets , máquinas infectadas , script kiddys y, en general, todo tipo de bots.

En sistemas como Joomla , donde la ubicación del formulario de registro del usuario es bien conocida y, por defecto, accesible al público, es fácil comenzar a llenar y enviar los formularios.
En realidad, en el mundo actual de Internet, esto es algo que está sucediendo continuamente y en un volumen súper alto en todo tipo de formularios web (foros, comentarios, formularios de contacto, registro, etc.).

- Deshabilitar registro de usuario

Hay algunas formas de proteger un sitio de Joomla contra tales actividades. Al principio, si no necesita que los usuarios se registren en su sitio web, puede deshabilitar el Registro de usuarios , en Configuración de usuarios (Usuarios-> opciones-> Permitir registro de usuarios establecido en No).

Mejoras de seguridad Consejos contra el envío de spam a sus formularios

Además de esto, o en el caso de que realmente necesite tener habilitado el Registro de usuarios , aquí hay algunas técnicas y sugerencias para proteger sus diversos formularios de Joomla de spammers, spambots y hackers:

- Habilitar reCaptcha para el registro de usuarios

Joomla viene con un complemento nativo de captcha. Puede encontrarlo dentro de Plugins, busque: Captcha - ReCaptcha . Dentro del complemento hay instrucciones sobre cómo configurarlo. También deberá obtener una clave API de https://www.google.com/recaptcha/ .
Documentación de Joomla en reCaptcha

- Redirige todos los registros al formulario de registro personalizado con campos ocultos

Hay muchas buenas extensiones de formulario de Joomla por ahí. Muchos de ellos proporcionan integración para el registro de usuarios. Puede crear su propio formulario de registro personalizado y agregar 1 campo oculto adicional, con una validación para que no se complete, o procesando POST datael formulario. Sus usuarios nunca verán el campo oculto, pero los bots también intentarán completar este campo, pero luego su validación fallará, o si está procesando los datos de la publicación, puede redirigir a una página Prohibida 403. Para que esta solución funcione por completo, necesitará un complemento adicional, que manejará la redirección de todos los registros a su formulario personalizado.

- Joomla Antispam / Extensiones de seguridad

Admin Tools , RS- Firewall y debería haber más ... son extensiones que proporcionan una protección completa del firewall contra este y otros problemas de seguridad. Por ejemplo, con las herramientas de administración pro, puede inyectar campos ocultos en todas las formas existentes de su sitio Joomla y bloquear las direcciones IP de donde proviene un envío. Las herramientas de administración de Futhermore proporcionan integración con el proyecto HoneyPot y las funciones de bloqueo de GeoIP por país, entre otras funciones.

Enlaces JED

- Integra ProjectHoneyPot

Http: BL es un sistema que permite a los administradores de sitios web aprovechar los datos generados por Project Honey Pot para mantener a los robots web sospechosos y maliciosos fuera de sus sitios. Project Honey Pot rastrea a los recolectores, comentaristas y otros visitantes sospechosos a los sitios web. Http: BL pone esta información a disposición de cualquier miembro del Proyecto Honey Pot de una manera fácil y eficiente.

Existen muchas aplicaciones de software que proporcionan integración con ProjectHoneyPot. Para Joomla, algunas extensiones son: Admin Tools Pro y sh404SEF .

- ZBBlock.php por Spambotsecurity.com

Mejore la seguridad de su aplicación Joomla con este script de seguridad php gratuito. Está diseñado para detectar ciertos comportamientos perjudiciales para los sitios web o direcciones erróneas conocidas que intentan acceder a su sitio. Luego enviará al robot malo (generalmente) o al pirata informático una página 403 PROHIBIDA auténtica con una descripción de cuál era el problema. Es posible que tenga que hacer algunas firmas o signos personalizados. Anula para que funcione exactamente para sus necesidades, pero es muy eficaz. Spambotsecurity.com

- Evite las publicaciones que no provienen de su sitio en htaccess

RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{HTTP_REFERER} !^http://www.yourwebsite.com [NC]
RewriteRule .* - [F]

Y una referencia a una publicación de blog con más formas de incluir en la lista negra a través de htaccess y mod_rewrite. https://perishablepress.com/eight-ways-to-blacklist-with-apaches-mod_rewrite/

- Mod_Security Web Application Firewall.

Bueno, hay tantas cosas interesantes que puedes hacer en el nivel del servidor, usando mod_security (suponiendo que esté instalado en tu servidor). El tema es grande y probablemente esté fuera del alcance de este sitio web. Además, muchas de las posibilidades dependen de su tipo / entorno de alojamiento, por lo que publicaré algunos enlaces de referencia con más información sobre mod_security.

- Software de terceros relativo y enlaces de seguridad generales del servidor

FFrewin
fuente
Gracias por su respuesta. Elegí como respuesta a Neil, pero la suya es más completa y completa es una buena recomendación para la seguridad de un sitio de Joomla. La guardaré para referencia futura. Gracias de nuevo.
Vassilis