- 該話題包含 2 個回覆,1 人蔘與,最後由
更新於 6 年、 2 月前 。
-
帖子
-
猶如前幾年我們遇到的幾次垃圾信息攻擊,今天是實時觀測了一上午,一方面是測試我們系統的安全性,另一方面是看看哪些防禦措施有效。
最後發現使用簡單是數學驗證碼和防護賬號註冊頁面可以起作用。
1 、先説下注冊方面的問題,因為我們站的是 Ultimate Member 自定義前端註冊表單,所以除非是人工手動添加的註冊機字段否則是無法註冊成功的。一開始以為是人工註冊,後面發現是機器在批量的生成賬號。
那就只能是註冊一個封一個。
2 、論壇被髮垃圾貼的問題,不知道發垃圾貼的人對我們站是不是有什麼誤解,或者是認為技術論壇收錄的快,權重高,所以就拿我們站來當垃圾桶。
發垃圾貼的一共有三個類型,莆田系的垃圾醫院推廣,澳門或者線上的賭博信息。
還有一類就是 趙小姐 的信息。這裏就不貼了。
3 、處理垃圾信息和註冊機的辦法,製造障礙和信息認證方式。
我們論壇現在開啓了一個數學驗證碼,發帖和回覆的時候需要先做算術題。數學不好的朋友不用擔心,這些題都很初級,但顯示認證和填入答案的位置是隨機的。
測試開啓這個驗證碼後,基本上垃圾貼就發不出來了,及時註冊機註冊了賬號也發不了。必須要人工手動的輸入數字答案。
4 、加強 bbPress 論壇和 WordPress 網站註冊時的安全性。
插件我們一共用的就兩個,非常簡單,但去年因為不想給用户製造太多障礙就關閉了,現在的話,調整了下安全規則,重新開啓了。
數學驗證碼
https://wenpai.org/plugins/wp-math-captcha/
WPBruiser
這裏特別説下 WPBruiser 這個插件,這個插件的好處是用户看不見或者無需輸入驗證碼信息,但實際使用的時候我們遇到過用户登錄被鎖死的問題。後來就停掉了。
現在因為還沒開啓註冊用户驗證,就先開啓一段時間,保護規則我們是設置了註冊頁面。
本來垃圾信息要杜絕就不容易,只能説是一步一步的攻防守護,我們能處理的這些信息自動化的要比手動的一篇帖子一篇帖子的去刪方便的多。
除了上面的這些方式,其實還試過封 IP 和清理刪除這些用户,但發現沒效率,因為手工刪是最愚蠢的方式,你刪一個機器註冊十個,還是對症下藥的方式比較好。
貼一下後台統計流量的信息,算是做個記錄。
同時也感謝這些人 「豎中指」,讓我們網站變得更安全。
- 哎呀,回覆話題必需登錄。
