Плагин BuddyPress превращает любую установку WordPress в богатую социальную сеть, включающую форумы, запросы друзей и … бесчисленное количество поддельных пользователей ботов, которые будут комментировать спам до смерти, если вы не защитите свой сайт. Несмотря на то, что вы, вероятно, установили BuddyPress, чтобы обеспечить большую заинтересованность и взаимодействие между вашими посетителями в надежде создать процветающее сообщество, вы скоро пожалеете о том дне, когда установили его, если не примете меры предосторожности для предотвращения фальшивых пользователей.
Отказ от ответственности: действительно не может быть окончательного руководства по остановке пользовательских агентов и спам-ботов, так как методы атаки постоянно развиваются. Как только решение по их блокированию становится широко распространенным, возникают новые угрозы в обход этих гарантий. Тем не менее, вот несколько рекомендаций, которые защитят большинство установок BuddyPress от спам-ботов, но при этом разрешат законным посетителям оставлять комментарии и регистрироваться.
Удалить текст нижнего колонтитула по умолчанию
Большинство спаммеров не ориентированы специально на установки BuddyPress посредством ручного поиска и регистрации. Это большая работа, и они предпочитают выпускать своих ботов, чтобы искать конкретные критерии, которые указывают на установку BuddyPress, находить страницы регистрации по умолчанию и регистрировать учетные записи десятками или даже сотнями.
Первый уровень безопасности — изменить текст нижнего колонтитула, чтобы удалить упоминания о WordPress и BuddyPress. Спаммеры нацелены на слова «гордо работающие на WordPress и BuddyPress» в поисковых системах, чтобы найти сайты, которые они могут поставить под угрозу. Убедитесь сами, выполнив следующий поиск в Google: «inurl: / register / Details Account». Работает на WordPress и BuddyPress »и посмотрите, сколько сайтов с таргетингом отображается. Строка поиска дает нам подсказку о другом исправлении, которое мы рассмотрим в следующем разделе, но сначала давайте исправим файл нижнего колонтитула BuddyPress.
Расположение кода зависит от используемой темы, но вы ищете что-то вроде:
|
1
|
<?php printf( __( ‘Proudly powered by <a href=»%1$s»>WordPress</a> and <a href=»%2$s»>BuddyPress</a>.’, ‘BuddyPress’ ), ‘http://WordPress.org’, ‘http://BuddyPress.org’ );
|
Удалить это.
Возможно, вам придется немного покопаться, чтобы найти этот код. Например, в популярной теме пользовательского сообщества Themekraft вы должны перейти к theme-generator.php находится в папке «wp-content -> themes -> custom-community -> core -> includes -> theme-generator», и удалить его. следующее:
|
1
|
<div class=»credits»><?php printf( __( ‘%s is proudly powered by <a class=»credits» href=»http://WordPress.org»>WordPress</a> and <a class=»credits» href=»http://BuddyPress.org»>BuddyPress</a>. ‘, ‘cc’ ), bloginfo(‘name’) );
|
Примечание: многие темы требуют, чтобы их собственные ссылки оставлялись в покое как условие для свободного использования темы, поэтому убедитесь, что вы не удаляете ни одну из их ссылок без проверки условий использования.
«Спаммеры нацелены на слова« гордо работающие на WordPress и BuddyPress »в поисковых системах, чтобы найти сайты, которые они могут скомпрометировать».
Переименуйте Слаг регистрации по умолчанию
В BuddyPress URL-адресом по умолчанию для страницы регистрации является «http: /yoursitedomain.com/register». Вот почему спам-боты включают «insite: register» при выполнении поиска, описанного в приведенном выше разделе. Сделайте так, чтобы им было труднее найти ваш сайт, легко изменив стандартную слаг для BuddyPress в вашем файле wp-config.php . Просто вставьте следующее где-нибудь над строкой с надписью /* That's all, stop editing! Happy blogging. */ /* That's all, stop editing! Happy blogging. */ /* That's all, stop editing! Happy blogging. */ к нижней части файла:
|
1
|
define( «BP_REGISTER_SLUG», «your-new-slug» );
|
Это заблокирует отображение страницы в поиске «insite: register» и позволит вашим посетителям без промедления перейти на «http://yourdomain.com/your-new-slug», когда они захотят зарегистрироваться.
Добавить секретный вопрос на страницу регистрации
Капча или другой секретный вопрос добавляет поле, которое помогает помешать автоматической регистрации ботов. Мне лично не нравятся эти непонятные волнистые буквы и я стараюсь не использовать их всякий раз, когда это возможно, так как они могут мешать работе пользователей и заставлять некоторых законных пользователей избегать регистрации на сайте, для которого требуется две или три попытки.
Я предпочитаю использовать простые вопросы, написанные разборчивыми буквами, например, простые математические задачи. Один плагин, который обеспечивает это, является подходящим названием Captcha .
Вот еще один инструмент Captcha, который использует другой подход, позволяющий регистрироваться только после того, как посетитель выбирает и перетаскивает правильный значок, который называется Sweet Captcha .
Настройте ваш .htaccess файл
Файл .htaccess расположенный в корневой папке вашего сайта, используется для управления взаимодействием ваших посетителей с вашим сайтом. Он позволяет вам блокировать IP-адреса и даже целые домены от доступа к вашему сайту, очень полезная вещь против известных ботов, пытающихся создать поддельные учетные записи пользователей BuddyPress.
Как только вы определили конкретный проблемный IP-адрес, скажем, просматривая журналы доступа на вашем сервере, заблокируйте их от повторного доступа к вашему сайту, добавив это в ваш файл .htaccess , заменив 0 на IP-адрес, который вы хотите заблокировать:
|
1
|
deny from 000.000.00.000
|
Списки доменов, в которых скрываются спам-боты, были опубликованы различными разработчиками и экспертами WordPress. Один отличный базовый — это Ultimate htaccess Blocklist от Джеффа Старра из Perishable Press. Джефф предоставляет весь код, который вы можете скопировать и вставить в свой собственный файл .htaccess чтобы значительно сократить количество регистраций ботов в BuddyPress, спам в комментариях и другие нежелательные действия. Для еще более обширного списка, проверьте список 4G, который содержит более 8000 спаммеров.
WordPress Must Use Tutorials предоставляет еще одну специфическую для BuddyPress настройку .htaccess . Замените «yourbpsignupslug» и «yourhomedomain» соответствующими данными для вашего сайта. Вы также можете выбрать, куда отправлять атакующих ботов, изменив http://die-spammers.com/ на любой URL, который вам нравится.
|
1
2
3
4
5
6
7
|
# BEGIN ANTISPAMBLOG REGISTRATION
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .yourbpsignupslug*
RewriteCond %{HTTP_REFERER} !.*yourhomedomain.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) http://die-spammers.com/ [R=301,L]
# END ANTISPAMBLOG REGISTRATION
|
Будьте в курсе событий с помощью эксплойтов и защит
Будьте в курсе последних подвигов, затрагивающих блоги и плагины. Владелец блога, в конечном счете, единственный, кто отвечает за поддержание различных уровней защиты, необходимых для безопасности сайта. Это можно сделать, только если вы будете в курсе событий и будете в курсе того, что переживает остальное сообщество WordPress и BuddyPress, и их решений. Регулярно посещайте форумы поддержки WordPress и форумы поддержки Buddypress . Следуйте @buddypressdev в Твиттере.
Шпионить за врагом
Еще один отличный источник информации — это посещение форумов хакеров / SEO, если вы смелы. Спамеры не делают то, что делают, просто ради удовольствия, спам — серьезное дело, и стоит знать их мотивацию и видеть разговоры между ними. Это поможет вам понять их мышление и увидеть некоторые программы и скрипты, которыми они делятся, что позволит вам лучше защитить свой сайт. Я не буду ссылаться ни на один из этих сайтов напрямую, но поиск по запросу «blackhat SEO» вызовет немало. Убедитесь, что ваша антивирусная программа обновлена и ваш браузер защищен от вредоносных скриптов … на всякий случай.
Используйте плагины безопасности
Будьте осторожны, пытаясь использовать каждый отдельный плагин безопасности под солнцем, так как это замедляет работу вашего сайта и увеличивает нагрузку на обслуживание, так как у вас появляется больше возможностей для обновления и прохождения в случае поломки. Во-первых, придерживайтесь самых высоких оценок, которые зарекомендовали себя со временем многими пользователями. Одним из таких плагинов, который настоятельно рекомендуется многими пользователями BuddyPress и WordPress, является Bad Bahavior . Этот плагин не только заблокирует много спама, но и сделает ваш сайт невидимым для многих ботов в первую очередь и тем самым предотвратит поддельные регистрации.
Хорошим местом для начала изучения плагинов является WordPress Plugin Directory .
Вывод
Обязанность составления подобной статьи о передовом опыте заключается в том, что какой-то угол обязательно будет упущен, поскольку черные шляпы всегда стремятся разрабатывать эксплойты для BuddyPress и WordPress из-за количества пользователей и легкости в поиске их веб-сайтов. Хотя советы в этой статье помогут защитить ваш сайт от наиболее распространенных угроз, единственный реальный способ защитить установку BuddyPress — это, к сожалению, постоянная бдительность против нежелательной активности и обучение новым средствам защиты.