- 该话题包含 2 个回复,1 人参与,最后由
更新于 5 年、 8 月前 。
-
帖子
-
犹如前几年我们遇到的几次垃圾信息攻击,今天是实时观测了一上午,一方面是测试我们系统的安全性,另一方面是看看哪些防御措施有效。
最后发现使用简单是数学验证码和防护账号注册页面可以起作用。
1 、先说下注册方面的问题,因为我们站的是 Ultimate Member 自定义前端注册表单,所以除非是人工手动添加的注册机字段否则是无法注册成功的。一开始以为是人工注册,后面发现是机器在批量的生成账号。
那就只能是注册一个封一个。
2 、论坛被发垃圾贴的问题,不知道发垃圾贴的人对我们站是不是有什么误解,或者是认为技术论坛收录的快,权重高,所以就拿我们站来当垃圾桶。
发垃圾贴的一共有三个类型,莆田系的垃圾医院推广,澳门或者线上的赌博信息。
还有一类就是 赵小姐 的信息。这里就不贴了。
3 、处理垃圾信息和注册机的办法,制造障碍和信息认证方式。
我们论坛现在开启了一个数学验证码,发帖和回复的时候需要先做算术题。数学不好的朋友不用担心,这些题都很初级,但显示认证和填入答案的位置是随机的。
测试开启这个验证码后,基本上垃圾贴就发不出来了,及时注册机注册了账号也发不了。必须要人工手动的输入数字答案。
4 、加强 bbPress 论坛和 WordPress 网站注册时的安全性。
插件我们一共用的就两个,非常简单,但去年因为不想给用户制造太多障碍就关闭了,现在的话,调整了下安全规则,重新开启了。
数学验证码
https://wenpai.org/plugins/wp-math-captcha/
WPBruiser
这里特别说下 WPBruiser 这个插件,这个插件的好处是用户看不见或者无需输入验证码信息,但实际使用的时候我们遇到过用户登录被锁死的问题。后来就停掉了。
现在因为还没开启注册用户验证,就先开启一段时间,保护规则我们是设置了注册页面。
本来垃圾信息要杜绝就不容易,只能说是一步一步的攻防守护,我们能处理的这些信息自动化的要比手动的一篇帖子一篇帖子的去删方便的多。
除了上面的这些方式,其实还试过封 IP 和清理删除这些用户,但发现没效率,因为手工删是最愚蠢的方式,你删一个机器注册十个,还是对症下药的方式比较好。
贴一下后台统计流量的信息,算是做个记录。
同时也感谢这些人 「竖中指」,让我们网站变得更安全。
- 哎呀,回复话题必需登录。
