Masowa rejestracja kont użytkowników w Joomla i K2

środa, 18 luty 2015 13:49 | Napisał:  Michał Trzepizur

Od jakiegoś czasu można zauważyć ogromną aktywność "spamerów", którzy wręcz masowo rejestrują konta na Joomla oraz zakładają profile w komponencie K2. Dlaczego tak się dzieje? Jak temu zaradzić?

Na dobry początek

Sprawdź czy na Twojej stronie nie są już zarejestrowane "podejrzane" konta. Wchodząc na zaplecze witryny sprawdzisz to klikając zakładkę Użytkownicy. Jeśli Twoja strona nie wymagała rejestracji użytkowników a pojawiło się tam sporo kont, Twoja strona z jakiegoś powodu umożliwia rejestrację kont (bez Twojej wiedzy).

Skąd wziął się problem

W internecie dostępne są programy (można je łatwo znaleźć), które w prosty sposób mogą automatycznie rejestrować konta użytkowników (w dowolnej ilości). Największym problemem jest tu komponent K2, który wraz z rejestracją użytkownika, umożliwia założenie jego profilu wraz z opisem. Dodanie opisu umożliwia także dodanie łącza zewnętrznego (dowolnego) z czego zapewne cieszą się "Pozycjonerzy".

Jak wiadomo, każdy (prawie) link prowadzący do naszej strony z innych jest wartościowy i podnosi pozycję naszej strony w wyszukiwarce Google. Oczywiście mogą tutaj odezwać się osoby, które powiedzą, że nie każdy i że to nie takie proste, ale dla uproszczenia opisu problemu posłużę się właśnie w/w opinią. Powstały zatem bazy stron, które umożliwiają założenie konta z profilem w K2, a tym samym generują dowolne linki do dowolnych stron - a wszystko to dzieje się na naszej witrynie bez naszej wiedzy. Bazy te można kupić i niewykluczone, że znajdują się w nich Wasze strony.

Jak Spamerzy zdobywają adresy stron

Sprawa w zasadzie jest prosta. Każdy komponent w Joomla ma swój niepowtarzalny adres, który w łatwy sposób można "wyłapać" z wyszukiwarki. Dla przykładu posłużmy się właśnie komponentem K2. Spróbujmy sprawdzić strony znajdujące się w domenie .pl i posiadające ten komponent. Oto przykład http://bit.ly/1MwD17V

Wystarczy zatem napisać program, skrypt, który będzie te dane nam zbierał i zapisywał, co w dość szybkim czasie da nam dostęp do tysięcy stron, które posiadają komponent K2.
Idźmy dalej .. Dla przykładu sprawdźmy, czy pojawiły się ostatnio jakieś nowe wpisy w profilach użytkowników K2 i czy przypadkiem nie zawierają spamu i linków do "dziwnych stron". Przykład wyszukiwania profili K2 - http://bit.ly/1CHfADk. Jeśli zajrzycie na strony, okaże się, że sporo tam rzeczy, których być nie powinno.

Jak bronić się przed tego typu praktykami?

W dalszej części kilka wskazówek, które pozwolą Wam uniknąć problemów ze spamem na waszej stronie lub zdecydowanie utrudnić życie spamerom.

Rejestracja użytkowników - czy jest Ci potrzebna?

Jeśli nie używasz na stronie praw dostępu dla użytkowników "zarejestrowanych" należy wyłączyć rejestrację w Joomla. Nie wiem czy zdajesz sobie sprawę, ale mimo, że nie masz nigdzie linku do rejestracji, jeśli jej nie wyłączysz w konfiguracji, każdy znając odpowiedni link, może się zarejestrować. Jak wygląda ten link? Spróbuj dokleić poniższy adres do adresu swojej strony.

/index.php?option=com_users&view=registration

Działa ? dziwne, prawda ?

Wyłącz całkowicie rejestrację użytkowników

Jeśli Twoja strona nie wymaga rejestracji użytkowników. Wyłącz ją całkowicie. Niestety domyślnie jest ona włączona zawsze po instalacji Joomla, więc jeśli jej nie wyłączysz - zawsze będzie aktywna a co za tym idzie, cały czas będzie można rejestrować się na Twojej stronie - bez Twojej wiedzy. Wystarczy przejść na zapleczu strony (panel administracyjny Twojej witryny) do zakładki "Użytkownicy" > "Użytkownicy" i kliknąć po prawej "Opcje".

 

j rejestracja1

j rejestracja2

 

Captcha - czy warto używać ?

Wbrew powszechnie powtarzanym opiniom, że Captcha od Google nie zabezpiecza już dobrze formularzy nie widziałem sensownych statystyk, które pokazywałyby ile procent "obrazków" udaje się odczytać robotom. Moim zdaniem zdecydowanie użycie Captcha utrudnia (jesli nie uniemożliwia) dodawanie lub rejestrowanie niepożądanych kont w Joomla. Oczywiście zawsze ktoś może dodać takie konto ręcznie, przepisując kod z obrazka, ale użycie Captcha zdecydowanie utrudni robotom dodawanie masowo kont w Joomla.

Gdzie ustawić Captcha dla naszej strony ?

Przede wszystkim będziemy musieli wygenerować dla swojej strony (domeny) odpowiednie klucze https://www.google.com/recaptcha/admin W poniższym przykładzie podałem swoje dane - oczywiście musisz podać tam własny opis i adres Twojej strony.

recaptcha register

 

Przykład wygenerowanych kluczy, które trzeba dodać w odpowiednim dodatku Joomla.

captcha klucze

Wygenerowane klucze będziemy musieli dodać w konfiguracji dodatku który znajdziemy na zapleczu naszej strony w Rozszerzenia > Dodatki > Captcha - ReCaptcha. Wprowadzamy tam wygenerowane klucze i włączamy dodatek. Następnie przechodzimy do konfiguracji globalnej witryny. System > Konfiguracja globalna i w polu wyboru "Domyślna Captcha" wybieramy opublikowany przez nas dodatek "Captcha - ReCaptcha".

 

 

konfiguracja captcha

 

Od tej chwili Twoja strona a w zasadzie, rejestracja, odzyskiwanie hasła itd będzie chroniona przez konieczność przepisania znaków z obrazka. To znacznie utrudni automatyczne rejestrowanie kont użytkowników przez roboty.

captcha3

 

Dalsza część artykułu została ukryta....
Chcesz wiedzieć więcej ?

 

K2 i problem ze spamem w profilach

Skąd wziął się problem z możliwością korzystania z automatycznego dodawania profili (rejestrowania użytkowników) w komponencie K2?. W zasadzie powód jest taki sam jak w przypadku samego Joomla. Domyślnie w K2 możliwość rejestracji jest włączona .. a co więcej K2 przejmuje proces rejestracji użytkownika, umożliwiając mu dodanie w opisie dowolnego tekstu oraz linków promujących często pornografię, leki na potencję, hazard itd. Nasza strona staje się swego rodzaju "farmą linków" a co za tym idzie może być ukarana przez Google.

Jeśli używasz K2 do prezentowania treści, ale tak jak w przypadku powyżej opisanej sytuacji nie ma konieczności rejestrowania użytkowników - Koniecznie wyłącz przechwytywanie rejestracji przez K2. Jest to bardzo proste i zajmie dosłownie 2 min. Zaloguj się na zaplecze swojej strony, przejdź do Komponenty > K2 >Parametry (prawy górny róg). Przejdź do zakładki opcje rozszerzone i odszukaj "Używaj profilu K2" - Koniecznie zmień tą wartość na NIE - to pozwoli całkowicie wyłączyć formularz rejestracyjny K2 a tym samym zablokuje możliwość dodawania niepożądanych treści w profilach użytkowników.

k2 profile off

A jeśli rejestracja w K2 jest mi potrzebna ?

W tym przypadku pozostaje nam włączenie Captcha dla K2. Wiecie już jak wygenerować klucze w Google. Tych samych kluczy, które wygenerowaliśmy dla dodatku w Joomla możemy użyć w K2. Klucze przypisywane są do domeny, więc jeden komplet kluczy może być użyty w wielu komponentach, dodatkach na naszej witrynie. 

Aby dodać zabezpieczenie Captcha dla K2 przejdź do Komponenty > K2 >Parametry (prawy górny róg), przejdź do zakładki opcje rozszerzone i odszukaj "Ustawienia antyspamowe". W tym miejscu możesz wprowadzić wygenerowane klucze aby rejestracja w K2 była chroniona przez konieczność przepisania kodu z obrazka.

 

K2 captcha on2

Co zrobić z zarejestrowanymi kontami spamerów.

Jeśli na stronie nie było nigdy konieczności rejestrowania się, możesz usunąć wszystkie konta poza swoim kontem (Super Administrator). Oczywiście jeśli na stronie dodane było jeszcze inne konto, które było potrzebne, również należy je zostawić.

Niestety jeśli na Twojej stronie rejestracja była otwarta i wymagana, czyli użytkownicy musieli się zarejestrować aby mieć dostęp do jakiś części serwisu, pozostaje ręczne sprawdzanie kont użytkowników w celu ich usunięcia. Na chwilę obecną, nie znalazłem rozwiązania, które pozwoliłoby automatycznie rozpoznać takie konta i usunąć tylko te, które zawierają w opisie jakiś "spam".

Podsumowanie:

Bez względu na wszystko, używaj zabezpieczenia Captcha zarówno dla samego Joomla jak i innych komponentów - jeśli to umożliwiają. Zablokuj przechwytywanie rejestracji przez komponent K2, jeśli nie jest ci ona potrzebna. Sprawdź listę użytkowników i usuń tych, którzy Twoim zdaniem nie powinni mieć konta na Twojej stronie. Zawsze aktualizuj Joomla i komponenty. I najważniejsze - często wykonuj kopię zapasową swojej witryny.

Prośba od Autora

Jeśli nie sprawi Ci to problemu, przekaż link do tego artykułu swoim znajomym, którzy również korzystają z Joomla i tak jak Ty, mogą mieć problem z masową rejestracją kont na swojej stronie. Każda ze stron, która obecnie znajduje się w ogólnodostępnych bazach dla programów K2Subbmiter czy Xneolinks podatna jest na tego typu atak. Strony, które zawierały będą ogromne ilości linków wychodzących mogą zostać "ukarane" przez Gogole spadkiem pozycji w wyszukiwarce lub gorszymi konsekwencjami.

 

{mmsociallocker}
Czytany 57582 razy Ostatnio zmieniany sobota, 16 wrzesień 2017 14:04
Oceń ten artykuł
(5 głosów)
Michał Trzepizur

Michał Trzepizur

Administrator Joomla! Wiceprezes Fundacji PCJ "Otwarte Źródła". Twórca programu JAMP (lokalny serwer dla Joomla!). Administrator Polskiego Centrum Joomla!. Zawodowo związany z branżą IT. Od wielu lat zajmuje się administracją witryn opartych o CMS Joomla!.

comments powered by Disqus