近几天总收到一些不明来源的用户注册提醒邮件,也没放在心上,因为成为订阅用户与访客的权限没有区别,博客也没有注册会员等级规则和特权。出于好奇还是看了下后台数据,看看这些用户是从哪里来的,发现WP并没记录用户注册时的IP地址。博客通过电子邮箱注册,筛选后发现106个用户使用Gmail邮箱的有31个,其他用户邮箱的后缀是一些别国域名或小众域名。
这些注册用户的目的是什么呢?我开始寻找他们的使用踪迹,只有少部分用户修改了个人说明及网站地址的内容,这不得不让我联想到SEO外链,增加外链是SEO优化常用手段。
为了防止用户恶意注册看来需要做点什么了。最简单的方法是关闭注册功能,一刀切段所有可能,还有一个方法是使用验证码插件增加注册难度防止机器人注册。
随后我决定关闭注册功能,毕竟像我这样小的博客不需要大家注册会员,评论区开放并且所有人工审核,广告营销不合时宜的评论回复直接驳回删除。
之前有一个日访问1K-2K的网站,表单数据经常被刷,但是又是非常重要的用户注册、收集用户注册的途径,考虑了下还是加了recaptcha v3 验证。
wp就是这样子经常有这些垃圾评论和垃圾注册账号.
针对这些垃圾的策略也很多,WP不适合裸奔
我看了我的后台设置,还好没开放注册
WP的插件挺多的,可以试试插件。
而且我觉得个人博客,完全没必要开通注册功能。
最后,我我觉得这些人真的太无聊了。
这些人确实无聊,也不知道他们看中的啥
我也是直接关闭注册功能,评论也不设置网站了,更简单省事,但有时还是有垃圾评论,在考虑要不要做验证设置,但太鸡肋。
还关闭啥注册功能呀,直接把注册文件删除,事心省事。
wp-login.php包含注册、登录、找回密码,功能太多不好删除。
加入验证码和reCAPTCHA会没那么多垃圾
刚开始用typecho就把注册关了 因为只有我自己 没必要留着注册功能
我连后台都隐藏了,主要是因为机器人太多了,尤其是针对wp程序的。
保护性措施不可无
还是给博客套个有WAF的 CDN 比较保险呀!发现恶意行为立马拦截屏蔽!
WAF还是很有必要的,小博客攻击的价值太小,最多会被拿来练手。
看到这篇文章,发现我新上线的小屋也没设置注册与评论的东西,我马上也去装个插件!!还有wp系统好像真的会有很多不知道哪路的人来刷的,也不知道为何。。。以前用过也有这种问题。
WP能有40%的成绩,主要是全球流行,所以会有不知来路的广告和垃圾,也因为语言不通过滤这些内容的方法也简单
前段时间我的也是不恶意评论霸屏,后来插件搞定。
这么多人注册啊,可能想通过你的博客通往康庄大道
我想让他们另辟蹊径
也没什么人会注册,没什么黏性。
最大的黏性是自己,定位决定一切
你不也说没什么人注册嘛,我们这些都是属于个人博客,注册的人的确会少很多。如果是那种博客平台,大家都可以进来发表文章这主线性质可能会不一样。
看起来,我应该也要设置一些验证码一类的,哈哈哈
验证码也是反人类,能不装就别装,实在没办法了再装
Blocksy免费主题似乎有个漏洞,黑客可以利用这个漏洞往WP的主题文件夹注入一个PHP文件。不知道你这边有没有遇到过?
没遇到这样的情况,如果能注入php文件,想干啥都能干啥了
我是收到了两封腾讯云的安全警告邮件,收到第一封的时候还把恶意文件删了,然后过了一两天又收到了一封,发现确实又有一个新的恶意文件在主题文件夹里面。
出现这个问题的网站是我一个稍微有点流量的英文网站,已经把Blocksy主题换了,目前中文博客暂时没遇到这个情况。
腾讯云还不错,能够检测出恶意文件。
我的wp还试过被人通过漏洞提升了访客权限,实现管理员操作,发布了一堆ad。。。而我疏于管理,还一段时间后才发现。。。
漏洞一直有,没有绝对安全的系统
我的博客之前评论是放开的,结果大部分都是垃圾信息。
现在评论全部默认进入审核状态,虽然有时候还要删一删,但垃圾信息减少了很多很多。
酱真,个人博客访问量比较有限,的确没必要建立一套会员系统之类的,呵呵。
太复杂的东西不适合个人博客
被老外注册了吧。我朋友服务器在日本,之前开评论,总有一些老外给留言!
明显是被老外的机器人盯上了,开验证码就好了
Wp的强大之处,默认就带了注册功能?
自带的,关闭选项有点奇怪名为“用户必须注册并登陆后才可以发表评论”
好像wordpress更容易被垃圾评论盯上
使用WordPress系统的站点比较多,好在垃圾过滤类的插件也很多。