应该是每年都会有这么一波人想要搞事情,前两天薇晓朵技术论坛遇到了大批量的垃圾帖发布情况。
由于很好奇这些人是通过哪种方式来发这些垃圾帖的,我们做了一系列的尝试和测试,这是一个非常好玩儿有意思的过程:一方面我们不想影响用户体验,另一方面我们想要抵御这些垃圾入侵。
用户验证机制弄的太复杂了会影响到新用户注册体验,但要是太过于简单就会导致被滥用,此次垃圾信息和注册机防御测试记录可查看技术论坛的这篇帖子:https://bbs.weixiaoduo.com/topic/31115
记录时间:2019 年 4 月 3 日 – 下午 8:34
犹如前几年我们遇到的几次垃圾信息攻击,今天是实时观测了一上午,一方面是测试我们系统的安全性,另一方面是看看哪些防御措施有效。
最后发现使用简单是数学验证码和防护账号注册页面可以起作用。
1 、先说下注册方面的问题,因为我们站的是 Ultimate Member 自定义前端注册表单,所以除非是人工手动添加的注册机字段否则是无法注册成功的。一开始以为是人工注册,后面发现是机器在批量的生成账号。
那就只能是注册一个封一个。
2 、论坛被发垃圾贴的问题,不知道发垃圾贴的人对我们站是不是有什么误解,或者是认为技术论坛收录的快,权重高,所以就拿我们站来当垃圾桶。
发垃圾贴的一共有三个类型,莆田系的垃圾医院推广,澳门或者线上的赌博信息。
还有一类就是 赵小姐 的信息。这里就不贴了。
3 、处理垃圾信息和注册机的办法,制造障碍和信息认证方式。
我们论坛现在开启了一个数学验证码,发帖和回复的时候需要先做算术题。数学不好的朋友不用担心,这些题都很初级,但显示认证和填入答案的位置是随机的。
测试开启这个验证码后,基本上垃圾贴就发不出来了,及时注册机注册了账号也发不了。必须要人工手动的输入数字答案。
4 、加强 bbPress 论坛和 WordPress 网站注册时的安全性。
插件我们一共用的就两个,非常简单,但去年因为不想给用户制造太多障碍就关闭了,现在的话,调整了下安全规则,重新开启了。
数学验证码
https://wenpai.org/plugins/wp-math-captcha/
WPBruiser
这里特别说下 WPBruiser 这个插件,这个插件的好处是用户看不见或者无需输入验证码信息,但实际使用的时候我们遇到过用户登录被锁死的问题。后来就停掉了。
现在因为还没开启注册用户验证,就先开启一段时间,保护规则我们是设置了注册页面。
本来垃圾信息要杜绝就不容易,只能说是一步一步的攻防守护,我们能处理的这些信息自动化的要比手动的一篇帖子一篇帖子的去删方便的多。
记录时间:2019 年 4 月 3 日 – 下午 8:45
除了上面的这些方式,其实还试过封 IP 和清理删除这些用户,但发现没效率,因为手工删是最愚蠢的方式,你删一个机器注册十个,还是对症下药的方式比较好。
贴一下后台统计流量的信息,算是做个记录。
同时也感谢这些人 「竖中指」,让我们网站变得更安全。
记录时间:2019 年 4 月 4 日 – 上午 11:00
抵得过机器注册,抵不过人心险恶,能有那个精力手动发垃圾帖的,我们也没办法,只好开启邮箱验证了。
今天之后注册的用户都需要进过验证激活才能正常登陆。
后记,在开启了邮箱验证后,我们还对网络上大部分免费的临时邮箱 (一次性邮箱) 后缀地址进行了封禁屏蔽,从原本可以非常方便的机器注册,变成了现在必须人工手动注册和验证。
现在如果发垃圾贴的还有那个精力和时间,欢迎你注册我们站来帮我们测试和完善安全机制,你注册一个账号的时间由原本的三秒钟,变成了现在至少需要三分钟,再加上论坛限制了发帖时间,手动不间断的发布也限制了一分钟一篇帖子。
就是说现在发一篇帖子的时间成本是 5 分钟。而对于我们来说,反正你注册一个我们封一个,点几下鼠标而已。
发表回复