Za zlorabo prijavnega obrazca se pogosto uporabljata angleška izraza Sign-up Form Spam in User Registration Form Spam. Gre za lažne registracije na spletnih straneh, ki jih spletni napadalci opravljajo z uporabo avtomatiziranih skript. Velika večina omenjenih registracij torej ni izvedena ročno, temveč samodejno. Pri tem so uporabljeni izmišljeni, lažni podatki.
Motivi za zlorabo prijavnih obrazcev so različni:
- Enostavnejši dostop do varnostnih lukenj. V nekaterih primerih spletni napadalci lažje poiščejo varnostne luknje, če se jim uspe registrirati v sistem. Na ta način stran lažje kompromirajo s spletnim virusom, s katerim povzročijo takšne in drugačne težave. Nekateri to počnejo tudi z namenom pridobitve dostopa do baze e-poštnih naslovov, na katere nato pošiljajo neželena, pogosto tudi zlonamerna e-sporočila.
- Vnos neželenih vsebin in povezav. Registracija novih uporabnikov lahko omogoči dodajanje novih vsebin in komentiranje obstoječih. Tako spletni virusi to izkoristijo na način, da na stran dodajo veliko količino neželenih vsebin, v katerih se pogosto nahajajo številne povezave do tujih spletnih mest. Mnogokrat povezave vodijo do strani z vsebinami sumljivega izvora (npr. do opisov raznih farmacevtskih izdelkov).
- Namerno povzročanje škode. Pri večini spletnih sistemov je tako, da ko se registrira nov uporabnik, se le-temu pošlje e-sporočilo s povezavo za aktivacijo računa. Obenem se tudi lastniku spletnega mesta pošlje obvestilo, da je bil registriran nov uporabnik. Težava ni le v tem, da se e-poštni predal z veliko količino takšnih sporočil lahko hitro zapolni, temveč predvsem v tem, da konča na “črnem” seznamu pošiljateljev neželene e-pošte (ang. Blacklist). Posledica tega je nezmožnost pošiljanja e-sporočil na legitimne naslove oziroma to, da sporočila pogosto končajo v mapi z neželeno e-pošto (ang. Spam).
Omenjeni seznam pošiljateljev neželene e-pošte je pravzaprav baza domen in IP naslovov. Obstajajo seznami različnih organizacij, med katerimi za pomembnejše veljajo Spamhaus, Barracuda, Invaluement in Microsoft. Če se bo vaša domena znašla na seznamu, bo z njega odstranjena le stežka.
Pogosto pošiljanje samodejnih sporočil na e-poštne naslove lažnih uporabnikov, ki uporabljajo storitev Hotmail, Yahoo, Live, Outlook, Microsoft, Onedrive, Yandex, Zoho, Mail.com, ProtoMail, Elude ali Tutanota, bo prej ali slej pripeljalo do tega, da se bo vaš e-poštni naslov znašel na seznamu pošiljateljev neželene e-pošte.
Zloraba prijavnega obrazca torej lahko zelo negativno vpliva na vašo spletno stran in na vaš posel. Zato je izjemno pomembno, da poskrbite za učinkovito preventivo in zlorabo preprečite. V nadaljevanju si preberite, kako to storite v sistemih WordPress, Joomla in phpBB.
Kako zavarovati prijavni obrazec v WordPress?
Če privzetih nastavitev po namestitvi sistema WordPress niste spreminjali, z registracijo lažnih uporabnikov ne boste imeli težav. Registracija novih uporabnikov je namreč privzeto izključena. Vključiti jo je na primer smiselno, ko za urejanje vaše spletne strani skrbi več administratorjev ali ko sprejemate vsebine drugih piscev.
Se vam dogaja, da v svoj e-poštni predal prejemate obvestila o novih registracijah, vendar bi bilo bolje, da bi bila možnost registracije izključena? Vpišite se v WordPress administracijo, nato se z miško postavite če Nastavitve (ang. Settings) in kliknite na povezavo Splošno (ang. General). Pod Članstvo (ang. Membership) odpravite možnost registracije in shranite spremembe.
Vam omenjena rešitev ne ustreza, saj želite imeti možnost ustvarjanja novih uporabniških računov vključeno? Brez skrbi, z uporabo namenskega vtičnika lahko zavarujete prijavni obrazec. V nadaljevanju vam predstavljamo dve učinkoviti rešitvi.
Vtičnik: Google Captcha (reCAPTCHA)
Uporaba vtičnika Google Captcha (reCAPTCHA) je povsem enostavna, a hkrati tudi zelo učinkovita. Z njim boste poskrbeli za zaščito prijavnega obrazca, saj bo moral uporabnik pred izvedeno registracijo dokazati, da ni “robot”. Najprej bo moral obkljukati polje I’m not a robot, v kolikor bo sistem zaznal, da gre morda vseeno za avtomatizirano skripto, pa bo iz skupine slik potrebna še izbira točno določenih (npr. slik s prehodom za pešce).
Zaščito prijavnega obrazca z reCAPTCHA sistemom opravite v dveh korakih:
- Vpišite se v svoj Google račun (npr. Gmail) in obiščite povezavo https://www.google.com/recaptcha/admin. Ko boste tu določili URL svoje spletne strani, boste prejeli ključ za spletno stran (ang. Site key) in skrivni ključ (ang. Secret key).
- V svoji WordPress administraciji namestite vtičnik Google Captcha (reCAPTCHA) in ga vključite. V nastavitvah vtičnika nato dodajte oba pridobljena ključa in določite, katere spletne obrazce želite zaščititi. Kot boste videli, so vam v nastavitvah na voljo tudi nekatere druge možnost (npr. barva reCAPTCHA preverjevalnika).
Vtičnik: Spam protection by CleanTalk
Alternativo zgornji rešitvi predstavlja vtičnik Spam protection, AntiSpam, FireWall by CleanTalk. Tudi uporaba tega vtičnika je zelo enostavna, z njim pa lahko svojo spletno stran zavarujete pred lažnimi registracijami, naročili na e-novice, sporočili prek kontaktnih obrazcev, komentarji, spletnimi naročili in rezervacijami.
- Najprej v WordPress administraciji namestite omenjeni vtičnik. Nato poskrbite za uvoz API ključa. Odločite se lahko za samodejen uvoz, lahko pa ga uvozite tudi ročno. Po uvozu ključa boste zagledali obvestilo, da je bila zaščita aktivirana.
- Preverite še napredne nastavitve (ang. Advanced settings), saj boste tam lahko določili, katere obrazce želite z vtičnikom zaščititi. Sama zaščita bo izvedena v ozadju in uporabnikom spletne strani torej ne bo vidna.
Z uporabo vtičnika Spam protection by CleanTalk lahko pred lažnimi registracijami zavarujete tudi določene sisteme, povezane z WordPressom, na primer WooCommerce, BuddyPress in bbPress.
Kako zavarovati prijavni obrazec v Joomla?
Je vaša spletna stran postavljena v sistemu Joomla? Namestitev namenskega vtičnika za zaščito prijavnega obrazca v tem primeru ne bo potrebna, saj Joomla to možnost že ima. Gre za vtičnik CAPTCHA – reCAPTCHA, ki je sicer privzeto izključen.
Pred uporabo vtičnika morate najprej pridobiti ključa, ki smo ju v današnjem prispevku že omenili – Site key in Private key. Če na hitro ponovimo, to naredite po naslednjem postopku:
- Obiščite stran Google reCAPTCHA (prijavljeni morate biti v svoj Google račun).
- Dodajte svojo spletno stran in izberite možnost reCAPTCHA.
- Nato boste prejeli ključa, ki ju boste potrebovali pri nastavitvi vtičnika.
Zdaj vam preostane še to, da v svoji Joomla administraciji nastavite vtičnik. Sledite postopku:
- V vrhnji navigaciji izberite Extensions in nato Plugins.
- Kliknite na vtičnik CAPTCHA – reCAPTCHA, ki ga najdete na seznamu.
- V nastavitvah izberite različico 2.0. Nato vpišite oba ključa in na desni strani vtičnik vključite.
- Shranite spremembe s klikom na gumb Save & Close.
- V vrhnji navigaciji se z miško postavite na System in izberite Global Configuration.
- Poiščite nastavitve spletišča (ang. Site Settings) in nato v vrstici Default Captcha izberite možnost Captcha – ReCaptcha.
- Ponovno shranite spremembe s klikom na gumb Save & Close.
Obrazec za registracijo novega uporabnika bi zdaj moral biti uspešno zaščiten. Najbolje bo, da obiščete svojo stran z obrazcem in preverite, ali je po novem viden tudi Googlov reCAPTCHA test.
Podobno kot WordPress lahko tudi sistem Joomla zaščitite z uporabo razširitve Antispam by CleanTalk. V tem primeru test I’m not a robot ne bo viden, saj bo zaščita izvedena v ozadju. Omenjena razširitev je primerna tudi za anti-spam zaščito foruma Kunena.
Kako zavarovati prijavni obrazec v phpBB?
En izmed najbolj popularnih sistemov za postavitev spletnega foruma je phpBB. Oznaka BB je kratica angleškega izraza Bulletin Board, prvi del imena pa kaže na to, da je sistem napisan v PHP programskem jeziku. Gre za brezplačen, odportokoden forum, ki je danes preveden že v več kot 50 jezikov.
Forum phpBB ima privzeto dodano možnost uporabe sistema CAPTCHA, ki pa zaradi naprednih zlonamernih skript ni več učinkovit. Svetujemo vam, da se namesto privzete rešitve odločite za uporabo naprednejše, s katero boste dosegli ustrezno zaščito.
Če uporabljate omenjeni forum in imate težave z registracijo lažnih uporabnikov oziroma z neželenimi objavami, vam priporočamo uporabo razširitve Anti-Spam by CleanTalk. Preverite navodila, kako razširitev namestiti in poskrbeti za učinkovito anti-spam zaščito.
Obrazec za registracijo uporabnikov ter dodajanje novih objav lahko učinkovito zaščitite tudi z vtičnikom reCAPTCHA phpBB2. Več o njegovi uporabi si preberite na označeni povezavi.