Статьи блога

15 марта, 2018

by WBSTAR Digital Agency

• lifehack

Как прекратить регистрацию спам-ботов на сайте с WordPress

Предыстория

Один из наших клиентов обратился к нам за помощью с вопросом:

“Захожу в админку сайта своего интернет-магазина посмотреть аналитику, а там куча новых пользователей, которые не сделали ни одного заказа, на почту получаю уведомления, что пользователь с адресом вида adsress@***.*** успешно зарегистрирован. Количество пользователей постоянно растет быстрыми темпами, но не все из них совершают покупки. Что это? И что с этим можно сделать, чтобы обеспечить защиту от такого поведения, выявить ботов и уменьшить количество спама?”

Разбираемся с ситуацией

Сразу оговоримся, что клиент выбрал базовую поддержку своего сайта, которая включает обновление системы управления, компонентов, периодическую проверку на вирусы и резервное копирование с сохранением образов сайта в облаке и на локальных хранилищах. Аналитикой поведения пользователей, мониторингом активностей ботов и защитой сайта от различного вида атак мы не занимались – клиент отказался от услуги расширенной поддержки. Не выполняли мы и дополнительные настройки безопасности на сервере, где хостился ресурс – настроек по умолчанию хватало для обеспечения работоспособности сайта.

Запретить регистрацию пользователей нельзя – ведь это интернет магазин. Оставлять только покупку без регистрации, без личного кабинета и всяких маркетинговых “плюшек” – не совсем подходящий вариант. Нужны другие более изящные решения.

Что случилось?

Дело в том, что сайт индексируется в интернете, и программы-боты не очень чистых на руку людей постоянно сканируют различные сайты на предмет возможных уязвимостей. Платформа WordPress очень популярна, удобна, файловая структура известна. Файл регистрации лежит в корневом каталоге сайта и его можно запустить, набрав в адресной строке браузера имя исполняемого файла, что эти программы и делают автоматически. Далее идет автоматическое заполнение стандартных полей регистрации, и, если мне не ставим никаких лишних препятствий для пользователя (а наша задача сделать максимально прозрачной и простой все взаимодействие с ресурсом) – происходит регистрация. Этим и пользуются злоумышленники. Конечно, толку от такой регистрации не много, но постоянно растет база данных и в выборку по аналитике иногда попадают ненужные данные.

Решение – прекращаем спам

Первое ,что пришло в голову, получив такой вопрос, это было решение воспользоваться решением Google – ReCaptcha – проверка “человечности” пользователя. (Спойлер – не спасло). Были установлены видимые простые каптчи (“Я не робот”) на формы обратной связи, комментариях, регистрациях. Количество спам комментариев уменьшилось, но фейковые регистрации не прекратились. Добавили невидимую капчу нового поколения – результат тот же.

В итоге приняли решение обойтись без дополнительных плагинов и добавили несколько строк кода, маскирующих поля, которые боты заполняют, а обычные пользователи не видят – для них все остается по-прежнему.

Как это сделать? Рассказываем (если есть такая проблема и желание решить все самому)

Необходимо зайти по FTP в корень вашего сайта и открыть для редактирования файл wp-login.php, сохранить оригинал на всякий случай и

Далее (для версии 4.9.4) перейти на строку 777, там будет вот этот код:

$user_login = $_POST[‘user_login’];

и сразу после него добавить строки:

if(!empty($user_login)) wp_die(‘Хакер чтоль, или спам-бот? ;)’);
$user_login = $_POST[‘nospam_user_login’];

потом необходимо перейти на строку 806 (вероятнее всего) или воспользоваться поиском этого кода:

и заменить его на такой:

Заключение

Вот и все, мы, без дополнительных плагинов не нагружая систему, добавив лишь несколько строчек кода, лишили возможности спам-ботов автоматически регистрироваться. Для обычных пользователей не изменилось ничего. Конечно, после обновления системы управления, эти действия необходимо выполнять заново, или воспользоваться одним из расширений. Рекомендовать конкретно какой-нибудь плагин мы не будем (это дело вкуса, к тому же бесплатные решения могут работать с ошибками или не так, как ожидается –  все зависит от многих факторов).

Но если вам  будет необходима наша помощь – обращайтесь. Поможем настроить безопасность и обеспечить комфортную работу вашего интернет-сайта. Заодно поможем проверить и настроить безопасность сервера.

Вероятнее всего вам понадобится такая услуга, если вы не задумывались о безопасности вашего сайта ранее. Мы более чем уверены, вас ждет много новых открытий.