應該是每年都會有這麼一波人想要搞事情,前兩天薇曉朵技術論壇遇到了大批次的垃圾帖釋出情況。
由於很好奇這些人是透過哪種方式來發這些垃圾帖的,我們做了一系列的嘗試和測試,這是一個非常好玩兒有意思的過程:一方面我們不想影響使用者體驗,另一方面我們想要抵禦這些垃圾入侵。
使用者驗證機制弄的太複雜了會影響到新使用者註冊體驗,但要是太過於簡單就會導致被濫用,此次垃圾資訊和序號產生器防禦測試記錄可檢視技術論壇的這篇帖子:https://bbs.weixiaoduo.com/topic/31115
記錄時間:2019 年 4 月 3 日 – 下午 8:34
猶如前幾年我們遇到的幾次垃圾資訊攻擊,今天是即時觀測了一上午,一方面是測試我們系統的安全性,另一方面是看看哪些防禦措施有效。
最後發現使用簡單是數學驗證碼和防護賬號註冊頁面可以起作用。
1 、先說下注冊方面的問題,因為我們站的是 Ultimate Member 自定義前端登入檔單,所以除非是人工手動新增的序號產生器欄位否則是無法註冊成功的。一開始以為是人工註冊,後面發現是機器在批次的生成賬號。
那就只能是註冊一個封一個。
2 、論壇被髮垃圾貼的問題,不知道發垃圾貼的人對我們站是不是有什麼誤解,或者是認為技術論壇收錄的快,權重高,所以就拿我們站來當垃圾桶。
發垃圾貼的一共有三個型別,莆田系的垃圾醫院推廣,澳門或者線上的賭博資訊。
還有一類就是 趙小姐 的資訊。這裡就不貼了。
3 、處理垃圾資訊和序號產生器的辦法,製造障礙和資訊認證方式。
我們論壇現在開啟了一個數學驗證碼,發帖和回覆的時候需要先做算術題。數學不好的朋友不用擔心,這些題都很初級,但顯示認證和填入答案的位置是隨機的。
測試開啟這個驗證碼後,基本上垃圾貼就發不出來了,及時序號產生器註冊了賬號也發不了。必須要人工手動的輸入數字答案。
4 、加強 bbPress 論壇和 WordPress 網站註冊時的安全性。
外掛我們一共用的就兩個,非常簡單,但去年因為不想給使用者製造太多障礙就關閉了,現在的話,調整了下安全規則,重新開啟了。
數學驗證碼
https://wenpai.org/plugins/wp-math-captcha/
WPBruiser
這裡特別說下 WPBruiser 這個外掛,這個外掛的好處是使用者看不見或者無需輸入驗證碼資訊,但實際使用的時候我們遇到過使用者登入被鎖死的問題。後來就停掉了。
現在因為還沒開啟註冊使用者驗證,就先開啟一段時間,保護規則我們是設定了註冊頁面。
本來垃圾資訊要杜絕就不容易,只能說是一步一步的攻防守護,我們能處理的這些資訊自動化的要比手動的一篇帖子一篇帖子的去刪方便的多。
記錄時間:2019 年 4 月 3 日 – 下午 8:45
除了上面的這些方式,其實還試過封 IP 和清理刪除這些使用者,但發現沒效率,因為手工刪是最愚蠢的方式,你刪一個機器註冊十個,還是對症下藥的方式比較好。
貼一下後臺統計流量的資訊,算是做個記錄。
同時也感謝這些人 「豎中指」,讓我們網站變得更安全。
記錄時間:2019 年 4 月 4 日 – 上午 11:00
抵得過機器註冊,抵不過人心險惡,能有那個精力手動發垃圾帖的,我們也沒辦法,只好開啟郵箱驗證了。
今天之後註冊的使用者都需要進過驗證啟用才能正常登陸。
後記,在開啟了郵箱驗證後,我們還對網路上大部分免費的臨時郵箱 (一次性郵箱) 字尾地址進行了封禁遮蔽,從原本可以非常方便的機器註冊,變成了現在必須人工手動註冊和驗證。
現在如果發垃圾貼的還有那個精力和時間,歡迎你註冊我們站來幫我們測試和完善安全機制,你註冊一個賬號的時間由原本的三秒鐘,變成了現在至少需要三分鐘,再加上論壇限制了發帖時間,手動不間斷的釋出也限制了一分鐘一篇帖子。
就是說現在發一篇帖子的時間成本是 5 分鐘。而對於我們來說,反正你註冊一個我們封一個,點幾下滑鼠而已。