應該是每年都會有這麼一波人想要搞事情,前兩天薇曉朵技術論壇遇到了大批量的垃圾帖發佈情況。
由於很好奇這些人是通過哪種方式來發這些垃圾帖的,我們做了一系列的嘗試和測試,這是一個非常好玩兒有意思的過程:一方面我們不想影響用户體驗,另一方面我們想要抵禦這些垃圾入侵。
用户驗證機制弄的太複雜了會影響到新用户註冊體驗,但要是太過於簡單就會導致被濫用,此次垃圾信息和註冊機防禦測試記錄可查看技術論壇的這篇帖子:https://bbs.weixiaoduo.com/topic/31115
記錄時間:2019 年 4 月 3 日 – 下午 8:34
猶如前幾年我們遇到的幾次垃圾信息攻擊,今天是即時觀測了一上午,一方面是測試我們系統的安全性,另一方面是看看哪些防禦措施有效。
最後發現使用簡單是數學驗證碼和防護賬號註冊頁面可以起作用。
1 、先説下注冊方面的問題,因為我們站的是 Ultimate Member 自定義前端註冊表單,所以除非是人工手動添加的註冊機字段否則是無法註冊成功的。一開始以為是人工註冊,後面發現是機器在批量的生成賬號。
那就只能是註冊一個封一個。
2 、論壇被髮垃圾貼的問題,不知道發垃圾貼的人對我們站是不是有什麼誤解,或者是認為技術論壇收錄的快,權重高,所以就拿我們站來當垃圾桶。
發垃圾貼的一共有三個類型,莆田系的垃圾醫院推廣,澳門或者線上的賭博信息。
還有一類就是 趙小姐 的信息。這裏就不貼了。
3 、處理垃圾信息和註冊機的辦法,製造障礙和信息認證方式。
我們論壇現在開啓了一個數學驗證碼,發帖和回覆的時候需要先做算術題。數學不好的朋友不用擔心,這些題都很初級,但顯示認證和填入答案的位置是隨機的。
測試開啓這個驗證碼後,基本上垃圾貼就發不出來了,及時註冊機註冊了賬號也發不了。必須要人工手動的輸入數字答案。
4 、加強 bbPress 論壇和 WordPress 網站註冊時的安全性。
插件我們一共用的就兩個,非常簡單,但去年因為不想給用户製造太多障礙就關閉了,現在的話,調整了下安全規則,重新開啓了。
數學驗證碼
https://wenpai.org/plugins/wp-math-captcha/
WPBruiser
這裏特別説下 WPBruiser 這個插件,這個插件的好處是用户看不見或者無需輸入驗證碼信息,但實際使用的時候我們遇到過用户登錄被鎖死的問題。後來就停掉了。
現在因為還沒開啓註冊用户驗證,就先開啓一段時間,保護規則我們是設置了註冊頁面。
本來垃圾信息要杜絕就不容易,只能説是一步一步的攻防守護,我們能處理的這些信息自動化的要比手動的一篇帖子一篇帖子的去刪方便的多。
記錄時間:2019 年 4 月 3 日 – 下午 8:45
除了上面的這些方式,其實還試過封 IP 和清理刪除這些用户,但發現沒效率,因為手工刪是最愚蠢的方式,你刪一個機器註冊十個,還是對症下藥的方式比較好。
貼一下後台統計流量的信息,算是做個記錄。
同時也感謝這些人 「豎中指」,讓我們網站變得更安全。
記錄時間:2019 年 4 月 4 日 – 上午 11:00
抵得過機器註冊,抵不過人心險惡,能有那個精力手動發垃圾帖的,我們也沒辦法,只好開啓郵箱驗證了。
今天之後註冊的用户都需要進過驗證激活才能正常登陸。
後記,在開啓了郵箱驗證後,我們還對網絡上大部分免費的臨時郵箱 (一次性郵箱) 後綴地址進行了封禁屏蔽,從原本可以非常方便的機器註冊,變成了現在必須人工手動註冊和驗證。
現在如果發垃圾貼的還有那個精力和時間,歡迎你註冊我們站來幫我們測試和完善安全機制,你註冊一個賬號的時間由原本的三秒鐘,變成了現在至少需要三分鐘,再加上論壇限制了發帖時間,手動不間斷的發佈也限制了一分鐘一篇帖子。
就是説現在發一篇帖子的時間成本是 5 分鐘。而對於我們來説,反正你註冊一個我們封一個,點幾下鼠標而已。