草庐IT

php - ?action=register URL 上的 WordPress 垃圾邮件

coder 2023-08-12 原文

像所有人一样,我们在 WordPress 网站上遇到了垃圾邮件问题。我们每个月都有大量的流量,但我们遇到了一个奇怪的问题。我们正在使用带有联系表 7 的真正简单的验证码插件,它在大多数情况下都非常有效(它减少了几乎所有的垃圾邮件),除了每天仍有少数案例仍然通过。我们拥有的表单是一个弹出式联系表单,当您将鼠标悬停在标题中的链接上时会显示该表单。它基本上在网站的每个页面上。

在我们从提交中收到的电子邮件中,我们在底部打印了消息来源的 URL。所有成功的垃圾邮件都有一个共同点,即“?action=register”附加到它们发送的 URL 之后。如果我转到发送它的链接并将其附加到 URL 的末尾,则表单和 CAPTCHA 仍然有效(即,如果我输入的 CAPTCHA 错误,它会将我拒之门外)。所以这很奇怪。

我知道“?action=register”通常附加到 wp-login.php 以供用户在网站上注册。我也知道有一个插件( https://wordpress.org/plugins/custom-registration-link/ )可以在一定程度上修复它,但该插件已经过时了,它也只是更改注册链接(不一定是为了防止垃圾邮件)。

我们在我们的网站上关闭了注册,因为我们在需要时手动输入用户,所以我知道我可以使用几个补丁来解决这个问题(例如,在设置 $_GET['action'] 时将人们重定向到其他地方),但是它没有回答为什么会发生这种情况。只有一个 GET 变量怎么会有漏洞?

最佳答案

有许多技术可以阻止垃圾邮件发送者,但没有一种是 100% 有效的。有些很容易,但可能会出现可访问性问题,如果您对此感到担忧(所有欧洲人都应该如此)。有些相当复杂,但仍可能导致误报,从而阻止合法用户。您可以实现多种技术的组合,但大量方法会减慢页面加载速度。

使用现有的插件是最简单的,但是如果您可以编写合理的代码并愿意投入时间,我认为尝试各种技术来阻止和迷惑垃圾邮件发送者会很有趣。如果您有一个特别感兴趣的网站,一个非常有效的方法是简单地要求注册人正确回答一个您的目标受众可以轻松回答但无法通过 Google 搜索的问题。这些问题有时需要轮换和更改,因为有人类垃圾邮件发送者为每个垃圾邮件支付了几分之一,他们在解决这些难题时特别高兴。一旦他们这样做了,他们就会向自己的同伴吹嘘,然后每个垃圾邮件发送者都会知道答案。

下面的链接可能对你有帮助

https://wordpress.org/support/topic/anti-spam-registrations
http://w3guy.com/wordpress-plugin-combat-stop-spam-bot-registration/

EDIT there is a one more solution. you can stop users who hit url directly by the following htaccess. 


RewriteCond %{REQUEST_URI} "^/wp-login.php$" [NC]
RewriteCond %{QUERY_STRING} "action=register" [NC]
RewriteCond %{HTTP_REFERER} "!^http://([^.]+.)?domain.com/.*$"
RewriteRule (.*) "/wp-login.php?" [L,R]

我想这可能对你有帮助。

关于php - ?action=register URL 上的 WordPress 垃圾邮件,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28122126/

WordPressregistersection发送者phphtmlcaptcha

有关php - ?action=register URL 上的 WordPress 垃圾邮件的更多相关文章

  1. ruby-on-rails - rails : How to make a form post to another controller action - 2

    我知道您通常应该在Rails中使用新建/创建和编辑/更新之间的链接,但我有一个情况需要其他东西。无论如何我可以实现同样的连接吗?我有一个模型表单,我希望它发布数据(类似于新View如何发布到创建操作)。这是我的表格prohibitedthisjobfrombeingsaved: 最佳答案 使用:url选项。=form_for@job,:url=>company_path,:html=>{:method=>:post/:put} 关于ruby-on-rails-rails:Howtomak

  2. ruby-on-rails - date_field_tag,如何设置默认日期? [ rails 上的 ruby ] - 2

    我想设置一个默认日期,例如实际日期,我该如何设置?还有如何在组合框中设置默认值顺便问一下,date_field_tag和date_field之间有什么区别? 最佳答案 试试这个:将默认日期作为第二个参数传递。youcorrectlysetthedefaultvalueofcomboboxasshowninyourquestion. 关于ruby-on-rails-date_field_tag,如何设置默认日期?[rails上的ruby],我们在StackOverflow上找到一个类似的问

  3. ruby-on-rails - openshift 上的 rails 控制台 - 2

    我将我的Rails应用程序部署到OpenShift,它运行良好,但我无法在生产服务器上运行“Rails控制台”。它给了我这个错误。我该如何解决这个问题?我尝试更新ruby​​gems,但它也给出了权限被拒绝的错误,我也无法做到。railsc错误:Warning:You'reusingRubygems1.8.24withSpring.UpgradetoatleastRubygems2.1.0andrun`gempristine--all`forbetterstartupperformance./opt/rh/ruby193/root/usr/share/rubygems/rubygems

  4. ruby-on-rails - 相关表上的范围为 "WHERE ... LIKE" - 2

    我正在尝试从Postgresql表(table1)中获取数据,该表由另一个相关表(property)的字段(table2)过滤。在纯SQL中,我会这样编写查询:SELECT*FROMtable1JOINtable2USING(table2_id)WHEREtable2.propertyLIKE'query%'这工作正常:scope:my_scope,->(query){includes(:table2).where("table2.property":query)}但我真正需要的是使用LIKE运算符进行过滤,而不是严格相等。然而,这是行不通的:scope:my_scope,->(que

  5. ruby-on-rails - 如何在 Rails Controller Action 上触发 Facebook 像素 - 2

    我有一个ruby​​onrails应用程序。我按照facebook的说明添加了一个像素。但是,要跟踪转化,Facebook要求您将页面置于达到预期结果时出现的转化中。即,如果我想显示客户已注册,我会将您注册后转到的页面作为成功对象进行跟踪。我的问题是,当客户注册时,在我的应用程序中没有登陆页面。该应用程序将用户带回主页。它在主页上显示了一条消息,所以我想看看是否有一种方法可以跟踪来自Controller操作而不是实际页面的转化。我需要计数的Action没有页面,它们是ControllerAction。是否有任何人都知道的关于如何执行此操作的gem、文档或最佳实践?这是进入布局文件的像素

  6. ruby-on-rails - 优雅的 Rails : multiple routes, 相同的 Controller Action - 2

    让多条路线去同一条路的最优雅的方式是什么ControllerAction?我有:get'dashboard',to:'dashboard#index'get'dashboard/pending',to:'dashboard#index'get'dashboard/live',to:'dashboard#index'get'dashboard/sold',to:'dashboard#index'这很丑陋。有什么“更优雅”的建议吗?一个类轮的奖励积分。 最佳答案 为什么不只有一个路由和一个Controller操作,并根据传递给它的参数来

  7. ruby-on-rails - Ruby - 如何从 ruby​​ 上的 .pfx 文件中提取公钥、rsa 私钥和 CA key - 2

    我有一个.pfx格式的证书,我需要使用ruby​​提取公共(public)、私有(private)和CA证书。使用shell我可以这样做:#ExtractPublicKey(askforpassword)opensslpkcs12-infile.pfx-outfile_public.pem-clcerts-nokeys#ExtractCertificateAuthorityKey(askforpassword)opensslpkcs12-infile.pfx-outfile_ca.pem-cacerts-nokeys#ExtractPrivateKey(askforpassword)o

  8. 带有 attr_accessor 的类上的 Ruby instance_eval - 2

    我了解instance_eval和class_eval之间的基本区别。我在玩弄时发现的是一些涉及attr_accessor的奇怪东西。这是一个例子:A=Class.newA.class_eval{attr_accessor:x}a=A.newa.x="x"a.x=>"x"#...expectedA.instance_eval{attr_accessor:y}A.y="y"=>NoMethodError:undefinedmethod`y='forA:Classa.y="y"=>"y"#WHATTT?这是怎么回事:instance_eval没有访问我们的A类(对象)然后它实际上将它添加到

  9. ruby-on-rails - rails 上的 ruby : radio buttons for collection select - 2

    我有一个集合选择:此方法的单选按钮是什么?谢谢 最佳答案 Rails3中没有这样的助手。在Rails4中,它是collection_radio_buttons. 关于ruby-on-rails-rails上的ruby:radiobuttonsforcollectionselect,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.com/questions/18525986/

  10. ruby-on-rails - 验证电子邮件地址是 Paypal 用户 - 2

    我想验证一个电子邮件地址是否是PayPal用户。是否有API调用来执行此操作?是否有执行此操作的ruby​​库?谢谢 最佳答案 GetVerifiedStatus来自PayPal'sAdaptiveAccounts平台会为您做这件事。PayPal没有任何codesamples或SDKs用于Ruby中的自适应帐户,但我确实找到了编写codeforGetVerifiedStatusinRuby的人.您需要更改该代码以检查他们拥有的帐户类型的唯一更改是更改if@xml['accountStatus']!=nilaccount_status

随机推荐