Am scris deja o postare de recenzie despre posibilități. Am mai scris un articol despre (site-uri și magazine online) pe 1C-Bitrix. Această postare va fi din aceeași serie, despre instrumentele de securitate care sunt disponibile în Bitrix imediat din cutie. Le voi enumera pe toate, vă voi spune ce instrument este disponibil în ce ediție de Bitrix și vă voi spune pe scurt și nu foarte mult despre scopul fiecăruia.

Știu din experiența de lucru cu clienții că securitatea nu este ultima problemă care îi interesează. Adevărat, clienții de obicei nu înțeleg detaliile și pur și simplu se tem de hackeri, de piratarea site-ului sau de spargerea site-ului. Dar, în general, au dreptate în preocupările lor.

Dacă alegeți un CMS pentru un site web sau magazin online și securitatea este unul dintre criterii, atunci postarea mea vă va permite să vă dați seama dacă Bitrix vă oferă suficientă încredere.

Concluziile mai intai

Articolul s-a dovedit a fi lung, iar subiectul era destul de plictisitor. Prin urmare, am decis să scriu concluziile chiar de la început pentru a crește șansele să le citești. Deci, uitându-ne la lungimea acestei postări, poate părea că este ușor să fii confundat în toată varietatea de instrumente de securitate Bitrix. Dar asta nu este adevărat. Toate sunt destul de simple.

Pentru un utilizator obișnuit care nu este foarte versat în detaliile tehnice ale dezvoltării site-ului web, este suficient să știe unde să se uite la un raport privind securitatea actuală a unui site web, să poată lansa un scanner de securitate și un monitor de calitate (ambele pot se face cu un singur clic). Există locuri în care puteți vizualiza rapoarte unificate - simple și clare. Prin urmare, nu trebuie să fii un specialist în securitate pentru a monitoriza securitatea în Bitrix la fel cum nu trebuie să fii un expert în analiză web pentru a analiza traficul către site-ul tău în LiveInternet sau Yandex.Metrica.

Securitatea site-ului este ceva ce nu poate fi ignorat. Sau poți, până la prima dată nu sunt probleme. Bitrix este foarte bine dezvoltat din punct de vedere al securității. Și cel mai important, îi oferă proprietarului site-ului instrumente clare pentru a evalua securitatea (precum și multe alte lucruri mici importante). Toate acestea vor fi discutate în articol.​

Merge.

Protecție proactivă împotriva hackingului de site-uri web

Bitrix are o serie de instrumente tehnice și măsuri de securitate organizaționale, care sunt combinate sub denumirea de „Protecție proactivă”.

Toate instrumentele enumerate în această secțiune sunt disponibile din ediția 1C-Bitrix „Standard” și mai sus (nu sunt disponibile în ediția „Start”). Unele necesită modulul Web Analytics, acest lucru este discutat separat.

Filtru proactiv(Firewall aplicație web)

Protejează site-ul de hacking prin cele mai cunoscute atacuri. Filtrul identifică potențialele amenințări și blochează intruziunile pe site, analizează toate datele care vin de la vizitator și le filtrează pe cele pe care le consideră suspecte. Filtrul protejează site-ul de hacking, inclusiv din cauza erorilor de securitate făcute de dezvoltatori. Filtrul proactiv înregistrează încercările de atac într-un jurnal special și, de asemenea, informează administratorul site-ului despre cazurile de intruziune. Filtrul vă permite să blocați un atacator adăugând adresa lui IP la lista de oprire.

Trebuie remarcat că uneori unele acțiuni ale vizitatorilor site-ului pot părea suspecte, deși nu reprezintă o amenințare, atunci filtrul va avea un fals pozitiv. Dar acesta este un tribut adus vigilenței. Ca o alarmă prea sensibilă la mașina vecinului tău sub geamuri :-).

Scaner de securitate pentru site-uri web

Acesta este un serviciu care vă permite să verificați securitatea unui site web, să identificați posibile vulnerabilități în software și să identificați setările de securitate incorecte ale CMS, PHP și server.

Pentru proprietarul mediu de magazin online, un scaner de securitate oferă un motiv suplimentar pentru a dormi mai bine. Puteți efectua singuri teste de securitate, puteți vedea ce este în neregulă și puteți înțelege cum să protejați site-ul web, să contactați dezvoltatorul pentru sfaturi și/sau depanare.

Vă rugăm, dacă se descoperă ceva, nu eliberați imediat toți câinii de pe programatori. Scanerul este adesea prea pretențios.

Un instrument excelent pentru a verifica dacă totul este în regulă cu securitatea proiectului dumneavoastră. O verificare similară, un audit simplu de securitate a site-ului și un raport cu recomandări de la experți în acest domeniu vor costa între 10-15 mii de ruble. și mai sus.

Scanarea începe cu un singur buton. După finalizarea scanării, rezultatele sunt afișate cu o listă cu toate amenințările de securitate găsite pe site:

• Scanerul va arăta defecte în organizarea internă a site-ului, de exemplu, dacă sesiunile sunt stocate în siguranță.
• Acesta va arăta ce capacități de sistem pentru a asigura securitatea site-ului nu sunt utilizate (nu sunt activate) și ce setări nu au fost finalizate.
• Modulul va afișa, de asemenea, toate punctele de securitate nepericuloase, dar potențial slabe (parolă simplă a bazei de date, nivel de securitate redus pentru administratori), etc. lucruri mărunte care totuși se dovedesc adesea utile. De exemplu, când un dezvoltator a uitat să corecteze ceva „după nevoie” după ce a terminat lucrul.

Scannerul poate căuta, de asemenea, potențiale vulnerabilități în codul PHP al proiectului. Oricine este interesat de modul în care este implementat poate citi mai multe pe blogul Bitrix.

Verificarea securității codului PHP pe site.

Pentru majoritatea utilizatorilor pentru care detaliile tehnice nu sunt prea importante, voi spune principalul lucru - acesta este un instrument pentru un dezvoltator care poate uita să ofere ceva în ceea ce privește securitatea unui proiect web sau pur și simplu nu știe. Acest instrument vă permite să identificați posibilele probleme și să le afișați astfel încât să le puteți elimina. Dar pentru ca dezvoltatorul să nu uite să-l folosească și să nu piardă din vedere o mulțime de alte lucruri mici legate nu numai de securitate, 1C-Bitrix este prezent „Monitor de calitate”, se va discuta și în acest articol.

Pe lângă rezultatele verificării site-ului pentru vulnerabilități, sunt oferite recomandări specifice pentru eliminare. Punctele deosebit de importante din raport sunt evidențiate cu roșu și indicate cu o pictogramă specială.

Antivirus web. Protejează site-ul de viruși.

Cel mai simplu mod de a proteja un site web de un virus este să folosești un antivirus pe computer. Un site web este infectat cu un virus de obicei de la computerul administratorului, care are acces la el, și nu pentru că site-ul petrece mult timp pe Internet :-). Prin urmare, sarcina principală a unui antivirus web este de a notifica administratorul site-ului despre infecție. Un virus pe site înseamnă că poate exista un virus pe computerul administratorului și trebuie luate măsuri.

Antivirusul web funcționează pe site-ul web și nu pe computerul administratorului, așa că este cu siguranță necesar un antivirus obișnuit.

În funcție de setările care vor fi setate în acesta, Web Anti-Virus poate fie să informeze administratorul site-ului decât despre suspiciunea unui virus, fie să detecteze automat zonele periculoase din codul HTML al site-ului și să „decupeze” cadrele iframe și javascript suspecte. Este posibil să adăugați excepții, astfel încât antivirusul să nu mai răspundă la părți sigure, dar suspecte (în opinia sa) ale codului.

Mai simplu spus, un antivirus web face o faptă bună - blochează răspândirea unui virus de către magazinul tău online.

Ce înseamnă asta în practică? Aceasta înseamnă că vizitatorii dvs. nu vor primi un avertisment din partea antivirusului sau a browserului că site-ul dvs. nu poate fi de încredere. Și asta e bine!

De câte ori ați întâlnit dvs. mesajul alarmant „Acest site amenință securitatea computerului dvs.” sau „Acest site are probleme de securitate”. În plus, motoarele de căutare nu vor exclude site-ul dvs. din rezultatele căutării pentru răspândirea virușilor. Este exact ceea ce se întâmplă dacă un site a fost infectat de mult timp.

Lista de oprire. Interzice ticăloșii!

Uneori doriți să blocați (interziceți) unii utilizatori sau roboți pentru a refuza accesul la site. Acest lucru poate fi util dacă utilizatorii fac comenzi de testare într-un scop neclar, scriu în mod sistematic comentarii nepotrivite, spam cu publicitate sau creează activități inutile. Pentru astfel de cazuri, 1C-Bitrix oferă o „listă de oprire”.

Utilizatorii nedoriți pot fi adăugați la lista de oprire manual sau automat pe baza anumitor evenimente.

Lista de opriri are mai multe caracteristici utile:

• Pentru a nu uita să deblocați un utilizator, iar acest lucru poate fi util, deoarece multe adrese IP sunt dinamice și nu sunt atribuite aceluiași utilizator pentru o perioadă lungă de timp, puteți seta timpul în care blocarea va rămâne în vigoare, după care va fi eliminat automat.
• Puteți afișa un mesaj personalizat vizitatorilor blocați, de exemplu, „Adresa dvs. IP a fost blocată din cauza activității crescute”. Sau, ceea ce este mai interesant în opinia mea, redirecționați către site-uri terțe. Pentru concurenți, de exemplu. Lasă-i să-și conducă activitățile distructive.
• Accesul la vizitatori și boți poate fi restricționat nu numai prin adresa IP, ci și prin mască de rețea și UserAgent (dacă este disponibil modulul Web Analytics), care este util în special pentru blocarea roboților nedoriți.

Când utilizați o listă de oprire, trebuie să aveți grijă să nu interziceți accidental jumătate din Internet, toți utilizatorii oricărui browser sau robot spider din motorul dvs. de căutare preferat.

Funcționalitatea listei de oprire este conectată cu alte instrumente de securitate (de exemplu, cu „Filtrul proactiv” sau „Controlul activității”), ceea ce face posibilă blocarea infractorilor (inclusiv automat) care au fost identificați de alte instrumente.

Monitorizarea activității suspecte pe site. Cine e acolo?

Multe bune și multe rele. Prin urmare, activitatea excesivă pe site, în special provenită de la roboți, trebuie blocată. Desigur, nu există nici un rău anume din cauza acestuia, dar nu există nici beneficii. De exemplu, dacă site-ul dvs. este găzduit pe o găzduire partajată obișnuită, care poate gestiona cu ușurință 500-700 de vizitatori pe zi, atunci o încercare de a vă descărca întregul site în 10 fire folosind TeleportPro poate îngreuna alți utilizatori sau poate duce la eșec. . Ca să nu mai vorbim cine a trebuit să descarce site-ul tău și în ce scop.

Aici controlul activității vine în ajutor. Vă permite să blocați utilizatorii excesiv de activi, roboții, protejează împotriva atacurilor DDoS nu deosebit de masive, plus, ceea ce este foarte important, interzice încercările de a ghici parola pentru site. Și pentru ca totul să fie îngrijit, iar administratorul site-ului să poată controla procesul dacă dorește, toate acțiunile sunt înregistrate automat într-un jurnal, unde administratorul le poate vizualiza din când în când.

În setări, puteți seta o serie de parametri: Ce activitate este considerată „inutilă”, după care acțiune ar trebui luată, pentru cât timp să blocați sursa activității, ce mesaj să îi afișați sau unde să o redirecționați.

După cum puteți vedea, lucrul este destul de util și va fi folosit în funcționarea site-ului. Dar, din păcate, acest instrument este disponibil doar în edițiile cu modulul „Analisi web” („Expert” și „Afaceri”).

Protecția părții administrative

Inima sitului este partea administrativă. Acesta este centrul de comandă de unde este gestionat proiectul Skynet. După ce a obținut acces la panoul de administrare, un atacator (sau pur și simplu un angajat experimental strâmb) poate cauza o mulțime de probleme care vor dura mult timp pentru a rezolva. Cu cât parola este mai complexă, cu atât mai mult doriți să o salvați pe desktop într-un fișier „ Site-ul web password.txt„, sau în browser, de unde, de asemenea, de obicei nu este greu să-l obțineți.

Protejarea părții administrative prin adresa IP este o altă linie de apărare. Pentru asta este conceput acest instrument. Utilizarea acestuia face ca atacurile XSS asupra computerului administratorului/editorului de site-uri/managerului de conținut să nu aibă sens. Nici furtul parolei nu va face nimic.

Configurarea interzicerii accesului la partea administrativă.

Protejarea părții administrative vă permite să deschideți accesul pentru a gestiona site-ul numai din anumite adrese sau intervale IP.

Pentru ușurință de configurare, sistemul arată adresa IP curentă a utilizatorului. În plus, verifică dacă utilizatorul și-a blocat accesul la sine. Dar dacă se întâmplă să vă aflați în continuare blocat, de exemplu, adresa dvs. IP s-a schimbat și nu vă puteți conecta la panoul de administrare, puteți elimina restricția privind adresele IP creând (prin FTP sau prin panoul de control al găzduirii) un fișier special (cu orice conținut, poate fi gol), dar de-a lungul unei anumite căi și cu numele dorit. Calea către fișier și numele acestuia sunt specificate în setările modulului Apărare proactivă. Asigurați-vă în prealabil că în caz de blocare știți ce fișier trebuie creat și unde.

Calea și numele fișierului care trebuie notate în cazul în care v-ați blocat.

Monitorizarea integrității fișierelor

În 1C-Bitrix, există posibilitatea de a monitoriza modificările în fișiere, atât nucleul sistemului, cât și partea publică a site-ului.

Această funcționalitate poate fi folosită, de exemplu, pentru a monitoriza activitatea unui programator terță parte pentru a înțelege ce fișiere au fost modificate, ce fișiere noi au fost adăugate și dacă nucleul a fost modificat.

Pentru o mai mare securitate, este posibil să se verifice integritatea scriptului în sine care efectuează controlul.

Protecția sesiunii

Dacă un atacator obține acces la o sesiune de administrator autorizată, acesta va putea obține acces la site. Pentru a proteja site-ul de acest tip de hacking, 1C-Bitrix oferă protecție de sesiune, a cărei utilizare face furtul de sesiune inutil.

Pe lângă funcționalitatea de protecție a sesiunii disponibilă în setările grupului de utilizatori, instrumentul de protecție a sesiunii vă permite să stocați sesiunile utilizatorilor într-o bază de date, ceea ce împiedică accesul la acestea în cazul setărilor de securitate incorecte pe găzduirea partajată. În plus, puteți seta durata de viață a ID-ului sesiunii astfel încât să se schimbe la intervale specificate. Atunci chiar și sesiunea furată va înceta să mai fie relevantă după această perioadă de timp. Valoarea implicită este 1 minut.

Protecție împotriva afișării site-ului în cadre

Cel mai simplu exemplu este dacă te uiți la sursele de trimiteri către site-ul tău, vei vedea că unele link-uri sunt propriul tău site doar cu o altă adresă. Aceasta este deschiderea din cadru. Există servicii precum snip.ly, care vă permit să plasați linkuri prin ele și să afișați reclame pe un site terță parte. De exemplu, dacă dați clic pe acest link, veți accesa blogul lui Tyoma Lebedev, unde anunțul meu va fi mai jos. Dacă doriți, puteți atașa avatarul lui Tema la această reclamă, atunci eficiența va fi și mai mare.

Pentru a preveni astfel de lucruri pe site-ul dvs. web, Bitrix are protecție pentru cadre.

Și iată ce scriu băieții de la Bitrix despre asta:

Interzicerea afișării paginilor site-ului în cadre ale altor domenii vă permite să protejați proiectul de Clickjacking (inserarea unui cadru invizibil dintr-o resursă țintă pentru a obține un clic de la un vizitator), Framesniffing și reduce semnificativ probabilitatea atacurilor Cross-site scripting.

Protecție împotriva redirecționărilor de la phishing

Phishingul este un tip de fraudă pe internet.

În Bitrix, ca și în orice CMS sau serviciu în care este necesară numărarea clicurilor, este posibil să se creeze link-uri prin redirecționări. De exemplu, în modulul „Publicitate”. Pentru a preveni atacatorii să le folosească în scopurile lor insidioase, trebuie să activați protecția împotriva redirecționării.

Redirecționarea către un alt site despre care se știe că este sigur (poate fi setat în setări). Acolo, în setări, puteți seta un text care avertizează utilizatorul despre o posibilă încercare de phishing.

Gazde/domenii

Modul împiedică falsificarea antetului HTTP Host. Mai simplu spus, împiedică deschiderea site-ului dvs. către orice alte adrese decât cele permise de dvs. Puteți configura fie blocarea unor astfel de încercări de deschidere a site-ului, fie redirecționarea vizitatorului către adresa autorizată de care aveți nevoie.

Panoul de securitate

Există multe instrumente de securitate în Bitrix, pentru a simplifica configurarea și a determina starea curentă a fiecăruia, este furnizat un panou de securitate. Aceasta este o secțiune în care toate informațiile despre securitatea actuală a site-ului în acest moment sunt reunite și structurate pe o singură pagină. Aici, dacă este necesar, sunt date recomandări pentru îmbunătățirea securității. Este furnizat imediat un link către instrumentul corespunzător care trebuie activat sau configurat.

Pentru a determina nivelul de securitate al site-ului creat, trebuie doar să accesați panoul de securitate.

Autentificare sigură fără SSL

Dacă trebuie să lucrați cu site-ul din diferite locuri, inclusiv prin puncte Wi-Fi deschise, compromiteți securitatea site-ului, riscând ca numele dvs. de utilizator și parola, prin care intri pe site, să fie obținute de atacatori. Interceptarea parolei nu este o problemă mare decât dacă site-ul acceptă criptarea sau nu utilizați o conexiune VPN.

În Bitrix, este posibil să securizeze autorizarea fără a fi nevoie să vă conectați SSL. Pentru a face acest lucru, în panoul administrativ, în setările Modulului principal, trebuie să activați această caracteristică bifând caseta corespunzătoare. După aceasta, parolele vor fi criptate folosind algoritmul RSA cu o cheie de 1024 de biți și transferate pe server în această formă. Va fi imposibil să le piratați.

Jurnalul intruziunilor

În 1C-Bitrix, toate acțiunile neobișnuite sau rău intenționate sunt înregistrate automat în jurnalul de intruziuni. Acest lucru oferă administratorului site-ului posibilitatea de a detecta tentativele de atac atât imediat, în momentul implementării (de exemplu, prin primirea unei notificări corespunzătoare prin e-mail), cât și să blocheze adresa IP a atacatorilor, cât și prin vizualizarea evenimentelor în jurnal mai târziu. În funcție de principalele tipuri de atacuri, în jurnal se fac înregistrări corespunzătoare: injecție SQL, atacuri XSS, încercare de injectare PHP. Jurnalul de intruziune este un instrument excelent pentru administratorul site-ului, permițându-vă să efectuați prevenirea și prevenirea încercărilor de hacking prin analiza înregistrărilor.

Jurnalul intruziunilor.

Autentificare în doi pași și parole unice

Pentru a intra pe site, se folosesc în mod tradițional un login și o parolă. Dar dezavantajul este că nu este deosebit de dificil să le furi. Există keylogger și viruși care vă pot „snoop” parola și o pot transmite răufăcătorilor. Parola poate fi furată de la cele stocate în browser sau auzită în rețelele wi-fi neprotejate.

Prin urmare, în toate locurile critice, cum ar fi conectarea la Internet banking, atunci când se transferă bani în sistemele de plată, sunt folosite parole unice.

Bitrix poate face și asta. Parolele unice pot fi generate de un dispozitiv special, de o cheie de dimensiunea unei unități flash sau de o aplicație instalată pe un smartphone cu Android la bord.

„Portate pentru chei” pentru generarea de parole unice.

Protecția site-ului împotriva DDoS

Un filtru proactiv protejează într-o oarecare măsură site-ul de atacurile DoS, permițându-vă să adăugați automat utilizatori și roboți care sunt excesiv de activi pe site la lista de oprire și, prin urmare, să reduceți încărcarea pe care o generează pe server. Dar acest lucru nu este suficient împotriva DDo-urilor grave.

Destul de recent, în cea de-a 15-a versiune a Bitrix, a apărut o nouă oportunitate de a activa rapid protecția împotriva atacurilor DDoS oferite de serviciul Qrator. Acest lucru se poate face atât din panoul de administrare, cât și dintr-o pagină specială de pe site-ul web Bitrix (dacă panoul de administrare Bitrix de pe site-ul dvs. nu este disponibil din cauza unui atac DDos). Licența include 1 protecție gratuită a site-ului împotriva ddos ​​​​pe an pentru o perioadă de 10 zile. Mai mult pentru bani. Un astfel de serviciu va fi de interes în primul rând pentru proiectele mari. Dar vorbind despre instrumentele de securitate încorporate în Bitrix, este imposibil să nu menționăm asta.

Lucruri mici importante

Există încă lucruri mici care se referă la siguranță, dar nu la fel de cool precum cele pe care le-am descris mai sus. Dar din moment ce este imposibil să nu vorbesc deloc despre ele în acest articol, le voi enumera fără a intra în detalii. Tot ce este listat în această secțiune este disponibil în Bitrix începând cu ediția pentru juniori „Start”.

Politici de securitate a site-ului pentru grupuri de utilizatori

Pentru diferite grupuri de utilizatori în Bitrix, sunt setate drepturi corespunzătoare care limitează accesul la module și conținut de pe site. Pentru ca utilizatorii din diferite grupuri să aibă acces doar la informațiile și operațiunile logice de care au nevoie pentru a funcționa.

În plus, pentru fiecare grup de utilizatori vă puteți configura propria politică de securitate: legați o sesiune la o adresă IP sau la o rețea folosind o mască, determinați durata sesiunii și timpul până când autorizarea rămâne activă, determinați câte autorizații simultane pot fi efectuat pentru un utilizator, setați lungimea parolei și complexitatea acesteia.

Astfel, pentru un grup de utilizatori care nu au alte drepturi pe site decât vizualizarea conținutului în partea publică, puteți seta nivelul de securitate la scăzut, iar pentru grupul Administratori, îl setați la înalt sau chiar activați cele două autorizarea pasului discutată mai sus.

Jurnalul de evenimente

Pe lângă jurnalul de intruziuni, despre care am scris deja mai sus, Bitrix mai are unul - jurnalul de evenimente. Aici sunt înregistrate evenimente legate de autorizarea și înregistrarea utilizatorilor, munca diferiților utilizatori cu drepturi de acces, editarea acestora de fișiere și meniuri, lucrul cu conținut în blocuri de informații (știri, produse, fotografii etc.), ceea ce vă permite să monitorizați acțiuni de bază în sistem.

Nu toate funcțiile de înregistrare sunt activate în mod implicit, trebuie să le activați pentru modulul principal (bifând casetele corespunzătoare) și să faceți același lucru în setările fiecărui bloc de informații.

Configurarea parametrilor jurnalului de evenimente în modulul principal.

Setări parametrii pentru jurnalul de evenimente în blocul de informații.

La prima vedere, este un lucru plictisitor și inutil. Dar uneori ajută să ne dăm seama cine are dreptate și cine este extrem. De exemplu, atunci când apare o dispută între managerii de conținut despre cine a editat ultima dată acest articol sau acel articol pe site-ul web sau produsul din catalog și a greșit serios. Atunci poate fi foarte util să te uiți la jurnalul de evenimente. Jurnalul de evenimente ajută, de asemenea, la identificarea încercărilor de a selecta automat login și parola pe site. Încercările nereușite sunt vizibile în jurnal, dacă sunt multe, pot fi luate măsuri preventive.

Monitor de calitate

Nu se poate nega faptul că securitatea unui site, precum și celelalte caracteristici ale acestuia (de exemplu, viteza), depind în mare măsură de calitatea dezvoltării. Pentru a ajuta proprietarul site-ului să evalueze cât de bine este realizat proiectul său, dacă toate nuanțele importante au fost luate în considerare și/sau incluse și configurate de către dezvoltator, acest instrument este implementat în Bitrix.

Rezultatele testării automate pe amplasament de către un monitor al calității.

Acesta este un set de teste automate pentru a verifica calitatea dezvoltării site-ului dvs. web, integrarea designului, analiza securității, performanța, setările de găzduire și multe altele. Monitorul de calitate nu doar semnalează defectele, ci oferă recomandări pentru eliminare.

Nu ar trebui să suni imediat dezvoltatorul și să înjuri dacă rulezi testul și arată o mulțime de elemente obligatorii care nu sunt îndeplinite pe site-ul tău. Adesea durează doar câteva minute pentru a elimina unul sau altul „defect”.

Configurare CAPTCHA detaliată

CAPTCHA este un instrument vechi bun pentru protejarea împotriva acțiunilor botului. Captch-urile standard au un mare dezavantaj pot fi rezolvate cu ușurință semi-automat. 1C-Bitrix are capacitatea de a configura în mod flexibil captcha. Setați o mulțime de parametri în afișarea acestuia, schimbați fontul, determinați ce caractere vor fi afișate în captcha și care nu. Această setare este foarte convenabilă. De exemplu, o opțiune excelentă este captcha cu alfabet chirilic. Și pentru ca utilizatorii să nu se încurce în legătură cu ce literă trebuie să scrie, engleză sau rusă, puteți lăsa doar numere și litere ale alfabetului care nu sunt în alfabetul latin. Adesea, acest lucru este suficient pentru a înșela atât roboții, cât și indienii care fac comerț cu rezolvarea captch-urilor.

Configurarea parametrilor de afișare captcha.

Protecție împotriva înregistrărilor automate

Pentru a preveni înregistrarea automată a roboților pe site, în setările modulului principal este posibil să activați confirmarea înregistrării prin e-mail și pentru a împiedica boții să se înregistreze de două ori din același e-mail, activați o verificare a unicității. Acolo, în setările modulului principal, puteți activa Captcha pentru înregistrarea de noi utilizatori.

Protecție cu parolă

În Bitrix, protecția împotriva ghicirii automate a parolei este implementată în două moduri. Prima este ieșirea unui captcha după un anumit număr de încercări de autorizare nereușite. Al doilea este blocarea unui utilizator care creează activitate sporită pe site. Adică, dacă robotul care selectează autentificarea și parola o face prea repede, atunci filtrul proactiv îl va bloca pur și simplu, va anunța administratorul site-ului despre acest lucru și va înregistra acțiunea în jurnalul de intruziune.

Performanța site-ului

Securitatea site-ului nu se referă doar la protecția împotriva hackerilor. Aceasta este, de asemenea, o oportunitate de a restabili rapid amplasamentul în cazul unui accident. Prin urmare, acest articol va discuta despre aceste instrumente, printre altele.

Toate caracteristicile enumerate în această secțiune sunt disponibile în Bitrix începând cu ediția pentru juniori „Start”.

Backup

Un site web este software și informații. Software-ul în sine nu se poate rupe. Dar hardware-ul pe care funcționează toate lucrurile tale se poate rupe. Hosterii iau în serios acest tip de securitate, dar există încă șanse de a pierde tot ceea ce a fost dobândit printr-o muncă grea. Puteți găsi multe cazuri pe Internet în care, după un accident de hoster, un client și-a pierdut site-ul. Din anumite motive, hosterul nu avea copii de rezervă și nici proprietarul nu le avea. Mai rămâne o singură opțiune - să comanzi din nou site-ul / magazinul online. Așteptați câteva luni până când totul este gata, umpleți-l cu materiale, promovați-l.

Pentru a preveni acest lucru, utilizatorii inteligenți fac copii de rezervă și le păstrează într-un loc diferit, nu în același coș în care își zac toate ouăle. Nu toată lumea știe cum să facă acest lucru, așa că în Bitrix opțiunea de backup este implementată foarte simplu și în diferite opțiuni. De fapt, în câteva clicuri de mouse. Ce este mai exact:

Restrângeți întregul site într-o arhivă

În acest caz, întregul site (sau opțional, conținut / nucleu / bază de date) va fi pliat într-o arhivă îngrijită și plasat într-un folder special de pe site. Există o setare prin care puteți dezactiva copierea de rezervă a unui anumit folder sau a fișierelor de un anumit tip. De exemplu, dacă un videoclip este stocat pe site, puteți exclude acest folder din backup, astfel încât să nu fie prea mare. Sau dacă știi că nucleul site-ului tău nu s-a schimbat, dar lucrezi cu date în fiecare zi, poți doar să faci copii de rezervă pentru partea publică și baza de date.

Dacă site-ul este mare, arhiva va fi tăiată automat în părți, dimensiunea fiecărei părți poate fi setată manual sau lăsată implicit. Dacă se dorește, arhiva poate fi protejată cu o parolă.

Setările de compresie sunt bine gândite și potrivite pentru orice hoster. Puteți seta timpul de rulare a scriptului și pauzele în lucru, astfel încât procesul să nu expire. Puteți dezactiva compresia pentru a reduce încărcarea procesorului. Atunci arhiva va fi mare, dar se va face rapid. Există o casetă de selectare prin care, la finalizarea arhivării, arhiva va fi verificată pentru erori.

Backup-uri automate regulate

Pentru a reduce munca manuală și factorul uman („Am uitat să fac următoarea copie de rezervă”), puteți configura backup-uri programate automate în Bitrix.

Acest lucru simplifică foarte mult viața și vă permite să aveți copii de rezervă actualizate. Pentru a preveni copiile de rezervă să ocupe tot spațiul de pe server în timp, puteți configura ștergerea automată a copiilor vechi.

Backup automat în cloud

Dar există un dezavantaj în stocarea copiilor de rezervă în același loc în care se află site-ul - în cazul unei probleme grave pe server, copia de rezervă se va pierde și ea. Prin urmare, trebuie să stocați copia de rezervă separat de site. Aceasta înseamnă că din când în când trebuie să copiați copii de siguranță pe alt server/hosting/cloud sau pe computer.

Regula pentru backup fiabil este: „Trebuie să stocați backup-ul pe un alt server decât cel pe care se află ceea ce faceți backup”.

Pentru a scuti utilizatorul de această rutină, Bitrix are capacitatea de a face copii de rezervă direct în cloud. Totul este la fel ca cel descris mai sus, dar după ce arhivarea este finalizată, copia este încărcată automat în spațiul de stocare cloud Bitrix sau într-un spațiu de stocare cloud extern conectat la site, de exemplu Amazon S3. Avantajul pentru utilizatorul obișnuit este că stocarea în cloud este încorporată în Bitrix și nu este nevoie să vă conectați sau să configurați nimic.

În cloud-ul său, 1C-Bitrix alocă gratuit pentru fiecare licență o anumită cantitate de spațiu pentru stocarea copiilor de rezervă:

• 1 GB. Pentru editori Start,
• 2 GB. Pentru "Standard"
• 6 GB. Pentru editorii „Expert”,
• 4GB. Pentru „Întreprinderi mici”
• 10 pentru ediția Business.

Nu prea mult, dar suficient pentru a păstra în siguranță 1-2 backup-uri recente. Dacă se dorește, spațiul liber din cloudul Bitrix poate fi extins pur și simplu prin achiziționarea acestuia. Sau conectați un cloud terță parte.

Suport de stocare în cloud

Acest lucru nu are nicio legătură directă cu securitatea, dar de când am început să vorbesc despre stocarea în cloud, trebuie să spun că norii se conectează fără probleme și funcționează nu doar pentru backup. Un modul special este responsabil pentru aceasta, disponibil în toate edițiile, începând cu „Start”. După conectarea cloud-ului la Bitrix, îl puteți configura pentru a stoca fișiere de orice tip. De exemplu, pentru ca toate videoclipurile încărcate pe site să fie plasate automat în cloud și difuzate utilizatorului de acolo. Pentru unele sarcini, acest lucru este util, vă permite să ușurați găzduirea și să accelerați încărcarea informațiilor de către vizitatori.

Inspector de șantier

Serviciul cloud de la 1C-Bitrix, care vă permite să monitorizați câțiva parametri simpli, dar importanți, pe site-urile și magazinele online care funcționează sub controlul Bitrix:

• Monitorizează performanța site-ului. Indiferent dacă site-ul se deschide sau nu, cât timp a fost inactiv. Yandex.Metrica face acest lucru, dar acest serviciu arată informațiile mai detaliat.
• Verifică când expiră domeniul și te anunță prin e-mail. Sesizează și registratorul, dar sunt cazuri când responsabilul site-ului și cel căruia îi este înregistrat domeniul sunt persoane diferite. Atunci este posibil ca persoana responsabilă pentru site să nu primească un e-mail de la registratorul de domenii. Pentru a preveni acest lucru, inspectorul de șantier îl va anunța.
• Data de expirare a licenței 1C-Bitrix. S-ar părea că nu prea important. De fapt economisește bani. La urma urmei, achiziționarea unei reînnoiri preferențiale reprezintă 20% din costul licenței. Principalul lucru este să aveți timp să îl cumpărați în 30 de zile de la expirarea licenței. Nu am avut timp, data viitoare va trebui să plătim 60% din cost. Prin urmare, este important să nu ratați data potrivită.
• Verificați dacă site-ul răspunde utilizând protocolul https.
• Perioada de valabilitate a certificatului SSL. Acesta vă va verifica și vă va reaminti când este timpul să vă reînnoiți certificatul SSL.

Bifăm căsuțele pe care vrem să le inspectăm.

Așa arată rezultatele inspecției.

Concluzie

Este greu de argumentat că securitatea site-ului web este importantă. Mai ales dacă este un magazin online sau un site web al unei companii, de a cărui activitate depind reputația și câștigurile. Bitrix oferă instrumente excelente pentru lucrul cu securitatea. Nu presupun să spun, dar cred că, în ceea ce privește securitatea, acesta este unul dintre cele mai bune CMS-uri din lume.

Am adus toate concluziile din acest articol până la început. Nu are rost să le repet aici. Sper că acest articol te-a ajutat. Dacă da, vă rog să repostez, voi fi mulțumit :-)

(Conectați-vă pentru a șterge pagina.) Când ne înregistrăm pe aproape fiecare site, ne confruntăm cu protecția împotriva înregistrării automate - pare o imagine în care, printre gunoaie (de neînțeles pentru tot felul de roboți, dar de înțeles pentru oameni), trebuie să deslușești imaginea litere sau cifre și introduceți-le în formularul de înregistrare. Unii au mers mai departe, oferindu-se să adauge sau să înmulțească câteva numere și să scrie în răspuns. Și într-o zi un utilizator necunoscut (numele său a fost pierdut, dar am fi recunoscători pentru informații despre el) a sugerat această opțiune pentru protecție împotriva roboților. Opțional, poate fi folosit pentru a elimina interlocutorii de pe forumul matematicienilor sau pur și simplu savanților, astfel încât orice proști să nu se amestece și oamenii inteligenți să nu interfereze cu comunicarea lor.

Dar, serios, protecția împotriva înregistrării automate se numește CAPTCHA (din limba engleză „Completely Automated Public Turing test to tell Computers and Humans Apart” și este un test Turing public complet automatizat pentru a face distincția între computere și oameni) - o marcă înregistrată a Universității Carnegie Mellon , computer un test folosit pentru a determina dacă o persoană utilizează sistemul. Termenul a apărut în 2000.

În cea mai comună versiune a CAPTCHA, utilizatorului i se cere să introducă caractere care sunt de obicei descrise într-o formă distorsionată în imaginea care i se oferă, uneori cu adaos de zgomot sau transluciditate. Mai puțin utilizate sunt CAPTCHA-urile bazate pe recunoașterea vorbirii (în principal ca alternativă pentru persoanele cu deficiențe de vedere) sau alte variante ale sarcinilor de inteligență artificială.

CAPTCHA este folosit cel mai adesea atunci când este necesar pentru a împiedica roboții să folosească serviciile de Internet, în special pentru a preveni înregistrarea automată, descărcarea fișierelor, trimiterile de corespondență în masă etc.

Există programe care recunosc implementări specifice ale CAPTCHA, de exemplu, PWNtcha. În plus, este posibil să conectați module de la programe de recunoaștere a textului de uz general (de exemplu Fine Reader) la programe terțe pentru recunoașterea imaginilor CAPTCHA.

Recunoaștere manuală

Există, de asemenea, o metodă de „recunoaștere manuală” care utilizează oameni și resurse de pe site-uri cu trafic ridicat, de exemplu, site-uri porno. Robotul descarcă CAPTCHA de pe un serviciu de internet și îl arată utilizatorului site-ului porno, cerându-i să introducă codul pe care îl vede în imagine. În schimb, utilizatorul are acces la resursă, iar robotul recunoaște codul afișat în imagine („metoda lemming”). O variantă a acestei metode este serviciul Captcha Exchange Server, lansat în martie 2007 și care vizează ocolirea imaginilor CAPTCHA utilizate de serviciile de găzduire a fișierelor. Principiul de funcționare al serviciului se bazează pe un sistem de puncte, pe care utilizatorul le poate câștiga prin recunoașterea imaginilor pentru alți utilizatori, iar ulterior cheltuiește prin rularea unui program de descărcare automată de la serviciile de găzduire a fișierelor, iar imaginile vor fi recunoscute de alți utilizatori. a serviciului. În acest fel, utilizatorul își poate optimiza cheltuirea timpului și a banilor, adunând puncte atunci când se află încă la computer și cheltuindu-le atunci când îi este mai convenabil să descarce (de exemplu, dacă accesul la Internet este mai ieftin noaptea) .

În ciuda vulnerabilităților, acest lucru nu înseamnă că orice protecție CAPTCHA este lipsită de sens. Aici observăm eternul principiu al competiției dintre arme și apărare.

Robert Basyrov

Dificultatea lecției:

Nivelul 4- dificil, necesită concentrare, atenție la detalii și respectarea strictă a instrucțiunilor.

Nu este disponibil în ediții:

Fara restrictii

Mai multe moduri de a combate înregistrarea automată a botului.

Adăugați un câmp invizibil la formularul de înregistrare și ascundeți-l folosind CSS. Ascundeți ținând cont de faptul că roboții deosebit de avansati detectează afișajul: niciunul . Câmpul invizibil trebuie să fie numit ceva atractiv pentru roboți în contextul conținutului site-ului: Companie, telefpone. Puteți adăuga un semn în acest câmp * , - botul va decide că formularul nu va fi trimis fără completarea acestuia.

Aceasta este urmată de o condiție software care, dacă acest câmp este completat, blocați utilizatorul sau returnați-i același răspuns ca la înregistrarea cu succes.

O altă opțiune: înlocuiți câmpul Nume. Pentru bot va fi standard, pentru utilizatori va fi cel pe care l-ați numit, iar în timpul înregistrării puteți modifica valorile. Algoritmul de înregistrare nu se va modifica; botul va continua să introducă câmpul „nume (standard)” și nu va fi supus înregistrării.

Protecție IP

in primul rand, există posibilitatea de a elimina o persoană obișnuită care:

• are un proxy cu acest IP,
• a primit un IP dinamic care se află în baza de date (probabilitate foarte mică),
• o persoană care a ajuns accidental în baza de date.

În al doilea rând, există mii și zeci de mii de aceste adrese IP și nu este convenabil să le gestionați eficient. Nu are rost să te încurci cu ei de dragul roboților, este mult mai ușor să folosești tehnici non-standard pentru a te proteja împotriva înregistrării automate. În plus, mai multe forumuri specializate au deja un serviciu de înregistrare a conturilor nu printr-un proxy, ci cu IP-ul unor persoane reale. Se pare că sunt folosite rețele bot.

Măsuri organizaționale de protecție

Această opțiune este posibilă: după înregistrare, utilizatorul intră în grup Începători cu drepturi minime. El poate completa doar un profil și răspunde pe forum. Sunt interzise mesajele personale, postarea de link-uri, adăugarea de fișiere, deschiderea unui subiect nou etc. Imediat ce lasă N mesaje pe forum (la alegerea administratorului), merge la grup Utilizatori Înregistrați, care are drepturi de utilizator de bază.

De asemenea, puteți crea un grup Utilizatori activi, care va avea un set extins de drepturi și utilizatorul va ajunge acolo după ce a tastat mesajele M.

În mod regulat în Cadrul Bitrix Acest lucru nu va fi posibil; sunt necesare unele îmbunătățiri. Exemplu de cod posibil:

//la adaugarea unui mesaj pe forum, daca numarul de mesaje este mai mare decat FLS_NUM_POSTS, //atunci vom atribui utilizatorul unui grup special define("FLS_NUM_POSTS", 50); define("FLS_FORUM_GROUP", 27); AddEventHandler ("forum", "onAfterMessageAdd", "FlsOnForumMessageAdd"); funcția FlsOnForumMessageAdd($ID, $arFields) ( $arGroups = CUser::GetUserGroup($arFields["AUTHOR_ID"]); if(!in_array(FLS_FORUM_GROUP, $arGroups)) ( $arProfile = CForumUser:_Get($BUSER:_Get) "AUTHOR_ID"]); if(intval($arProfile["NUM_POSTS"]) >= FLS_NUM_POSTS-1) ( //adăugați la grupul $arGroups = FLS_FORUM_GROUP; //scrieți un nou grup CUser::SetUserGroup($arFields[ "AUTHOR_ID "], $arGroups //actualizează sesiunea pentru utilizatorul curent if($GLOBALS["USER"]->GetID() == $arFields["AUTHOR_ID"]) CUser::SetUserGroupArray($arGroups) ;)))

Pot fi prevăzute următoarele măsuri organizatorice:

Atunci când utilizați măsuri organizatorice, modulul plătit Moderator poate fi util, permițându-vă să emiteți avertismente și recompense utilizatorilor, să blocați utilizatorii pe site și pe forum, să ascundeți și să ștergeți mesajele de la un anumit utilizator și multe altele.

Cea mai grea cale. Nu în ceea ce privește implementarea tehnică, ci în ceea ce privește confortul pentru utilizatori. Ideea este simplă: înregistrarea se realizează în mai multe etape.

Numai boții special creați pentru un anumit proiect pot fi supuși unei astfel de înregistrare. Sau manual, înregistrarea umană se realizează cu transferul ulterior al contului către roboți.

Există o opțiune mai blândă, când autorizarea are loc într-o singură etapă, dar la final, utilizatorii sunt rugați să completeze autorizarea completând încă câteva câmpuri. Utilizatorii pot fi autorizați pe site imediat după completarea câmpurilor minime obligatorii. Și oferă-le posibilitatea de a folosi site-ul. Dar cei care nu au completat autorizația (adică nu au completat câmpurile pe care li s-a cerut să le completeze) cad sub suspiciunea că sunt roboți. În viitor, acestea pot fi șterse sau drepturile lor limitate (plasate în grupul suspect) până când sunt completate.

Și vă voi prezenta una dintre cele necesare pluginuri(extensii), și anume un mijloc pentru protejarea site-ului dvs. de spam. Mai exact, vom vorbi despre Plugin KeyCAPTCHA.

Se știe că în prezent spam(trimiterea neautorizată de e-mailuri, comentarii pe un site web sau postări pe un forum care nu au legătură cu subiectul de discuție, care sunt în principal de natură publicitară) și înregistrarea automată pe site-uri web și forumuri s-au răspândit atât de mult încât au devenit un epidemie. Mai mult, această muncă este încredințată unor programe special dezvoltate - roboți.

Pentru a se proteja împotriva acestui lucru, au fost dezvoltate instrumente speciale pentru a elimina astfel de roboți și pentru a se asigura că acțiunile sunt efectuate de o persoană reală și nu de o mașină automată. Desigur, hackerii lucrează în contra pentru a îmbunătăți inteligența roboților și există întotdeauna un fel de competiție - cine va câștiga.

Unul dintre aceste instrumente este (captcha). Aceasta este o abreviere pentru cuvintele în limba engleză „Test Turing public complet automat pentru a distinge computerele și oamenii” - tradus ca un test Turing complet automat pentru a face distincția între computere și oameni. Cu alte cuvinte, aceasta este o problemă care poate fi rezolvată cu ușurință de către o persoană, dar care este imposibil (sau extrem de dificil) să înveți un computer să o rezolve.

CAPTCHA-urile sunt folosite pentru a preveni mai multe înregistrări automate și mesaje de la roboți. Adică, sarcina CAPTCHA este de a proteja împotriva spam-ului, inundațiilor și preluarii conturilor.

Cel mai adesea, un CAPTCHA arată ca un număr aleatoriu zgomotos, cuvânt sau altă inscripție, prezentat sub forma unei imagini, pe care utilizatorul trebuie să o citească și să introducă rezultatul citit, cum ar fi un captcha standard în Joomla.

În prezent, unul dintre cei mai noi și mai greu de evitat roboți este conecteaza Este conceput pentru mai multe dintre cele mai comune (CMS), cum ar fi Joomla, Drupal, WordPress și motoare de forum vBulletin, SMF, IPB, phpBB și alte site-uri PHP.

După cum s-a spus, captch-urile se bazează de obicei pe ghicirea caracterelor de text distorsionate, care sunt, de asemenea, reprezentate nu prin text, ci printr-o imagine. În schimb, KeyCAPTCHA oferă vizitatorului finalizați o sarcină interactivă simplă. Fie prin asamblarea unei imagini din fragmente (puzzle), fie găsirea unei perechi de imagini bazate pe subiect.

Arata cam asa:

Dacă KeyCAPTCHA este rezolvată incorect, pagina nu se reîmprospătează, ceea ce împiedică utilizatorul să completeze din nou câmpurile din formular. Acest lucru se realizează prin trimiterea unei cereri de verificare captcha către serverele KeyCAPTCHA înainte de a trimite formularul completat către serverul web protejat.

Nu este dificil pentru o persoană să colecteze o poză, deoarece Precizia absolută a montajului nu este deloc necesară, este suficient să colectați aproximativ corect.

Fiabilitate munca este asigurata prin urmatoarele masuri.

1. Pentru operarea serviciului KeyCAPTCHA se folosește un geo-cluster, care include servere situate în diferite centre de date din Europa. Unele dintre servere sunt situate în centre de date speciale rezistente la DDoS din Elveția, ceea ce asigură funcționarea fiabilă a serviciului 24x7x365.
2. KeyCAPTCHA blochează spammerii care folosesc dispozitive de anonimizare sau proxy HTTP anonimi pentru a trimite spam manual.
3. Browserul vizitatorului nu are informații despre soluția corectă pentru captcha.
4. Sarcina este verificată corect pe serverul KeyCAPTCHA.
5. Toate transmisiile de date între serverul dvs. web, browserul web al vizitatorului și serverul KeyCAPTCHA sunt protejate de o semnătură digitală.
6. Fiecare mesaj primit pe serverul KeyCAPTCHA sau pe serverul dvs. web este verificat pentru corectitudinea semnăturii digitale.
7. La generarea unei semnături digitale, se folosește o parolă de lungime variabilă (112-165 biți).
8. KeyCAPTCHA este un cod de program executat în browserul web al vizitatorului, și nu o imagine statică, ca în captch-urile obișnuite.
9. Odată ce primim captcha-ul nostru, acesta nu poate fi transmis unor terțe părți pentru a finaliza sarcina, așa cum fac spammerii ocolind captch-urile obișnuite.
10. Probabilitatea de a ghici răspunsul prin plasarea aleatorie a obiectelor în mișcare este de 1/30.000.000.
11. Imaginile folosite în captcha sunt transmise în formă criptată.

KeyCAPTCHA acceptă două moduri de operare: Flash și HTML5. Modul HTML5 asigură că KeyCAPTCHA funcționează în majoritatea browserelor moderne, cum ar fi Mozilla FireFox, Google Chrome, Safari, precum și pe iPhone și iPad. Modul Flash este proiectat să funcționeze în browserele web Internet Explorer și Opera. La încărcare, KeyCAPTCHA își determină automat modul de funcționare în funcție de browserul vizitatorului.

Acest captcha în legătură cu Joomla, conform dezvoltatorilor (nu l-am verificat eu însumi), acceptă următoarele populare extensii: JComments, yvComment, K2 Comments, JXtened comments, VirtueMart, Community Builder, JomSocial, AlphaRegistration, K2 Registration, DFContact, ALFcontact, Carte de oaspeți Phoca, Easybook Reloaded, FlexiContact, JoomlaDonation, ChronoForms, AdsManager, QContact, HiContact, QContact , Integrator JWHMCS.

În plus față de acest captcha pentru Joomla protejează formularele standard Joomla: Înregistrare, Contactați-ne, Resetați parola și Reamintiți numele de utilizator.

Pentru a descărca pluginul și a putea lucra cu el, aveți nevoie înregistrare gratuită pe site-ul web https://www.keycaptcha.com/. Specificați pe ce site-uri veți folosi pluginul, indicați tipul CMS și versiunea acestuia și primiți un link de descărcare și unul unic special pentru dvs. cheie secretă personală și cod de script. Inserați aceste date în parametrii pluginului când îl activați.

Asta e tot pentru azi.

Pentru a nu rata nimic publicat, poți abonați-vă la una dintrefeed-uri RSS: Toate știrile site-ului, Știrile secțiunii „Poveștile vechiului utilizator” sau Știrile secțiunii „Lumea Android”.

Acest articol poate fi discutat la

9 februarie 2011 la ora 00:28

Cum să protejați un forum alimentat de phpBB de înregistrările automate

• Spam și antispam

Motorul de forum phpBB are o mulțime de avantaje este convenabil atât pentru utilizatori, cât și pentru moderatori și, prin urmare, este foarte popular. Dar tocmai popularitatea sa dă naștere principalului său dezavantaj - este spam și automat. După ceva timp, un flux constant de înregistrări de noi utilizatori falși și mesaje spam de la aceștia pot strica nervii administrației site-ului.

PhpBB versiunea 3.* în pachetul de bază conține până la 4 opțiuni captcha care pot fi oferite utilizatorilor la înregistrarea pe forum. Există chiar și recaptcha, cu toate acestea, pentru cei care trimit automat, așa cum arată practica, aceasta nu este o piedică.

Aceste programe știu cum arată punctele de intrare tipice către paginile de înregistrare ale diferitelor motoare de forum. Această cunoaștere se bazează pe recunoașterea modelelor DOM ale paginilor web care conțin formulare pentru înregistrarea de noi utilizatori, pentru postarea de mesaje etc. Adică, de exemplu, în cazul phpBB, robotul știe că punctul de intrare pentru înregistrare se află la /ucp.php?mode=register și că pe această pagină există un buton de genul:

Fără a intra în detalii tehnice, voi reține că puteți găsi și face clic pe acest buton într-un document HTML cel puțin după id sau nume.

Imediat ce robotul ajunge la pagina cu captcha, primește imaginea captcha și încearcă să o recunoască. Aici pot fi folosite diverse tehnologii, în funcție de sofisticarea programului, de la algoritmi OCR până la simpla recunoaștere captcha de către o persoană în viață. Acesta este motivul pentru care protecția nu funcționează. Interzicerea adreselor IP pe forum este, de asemenea, absolut inutilă, deoarece roboții spam prin numeroase servere proxy. În acest sens, nu are nicio diferență să interziceți adresele sau să curățați noile înregistrări automate, totul se rezumă la pierderea timpului.

Se pare că singura modalitate de a tăia autotrimitetorii este de a modifica ușor marcajul punctului de intrare pe forum într-un mod unic. Acum doi sau trei ani am făcut acest truc pentru phpBB2 și a funcționat - înregistrările automate s-au oprit. Același lucru a fost confirmat recent și pe un alt site, deja pe motorul phpBB3.

În continuare, voi da un exemplu specific dovedit de modificare a paginii de înregistrare phpBB. Cu toate acestea, aș dori să fac o rezervare că această postare oferă un concept de protecție împotriva înregistrărilor automate pe forumuri, și nu metode specifice. Totul depinde de mâinile și de șeful administratorului forumului. Este recomandabil să aveți cunoștințe de bază de html și css. Dacă cititorii încep să copieze această metodă în masă, atunci spammerii vor programa această „euristică” în software-ul lor și înregistrările automate vor continua.

Deci, în setările forumului phpBB, selectați cel mai simplu captcha „CAPTHA fără GD”.
Arată așa în browser (FF3):

Dacă te uiți la marcajul paginii de înregistrare din zona imaginii captcha, arată astfel:

Cod de confirmare:

De fapt, atributul src din eticheta img conține imaginea cu captcha. Deschideți un folder cu subiectul curent instalat pe forum. În cazul meu este prosilver: /forum/styles/prosilver/template. În el găsim fișierul captcha_default.html. Dacă te uiți la acest șablon, poți vedea locul în care se formează marcajul de mai sus:

(L_CONFIRM_CODE):

Să facem viața mai dificilă pentru cei care trimit automat cu un gest ușor:

Cod de confirmare:

Acum va arăta astfel în browser:

Sunt de acord, nu este foarte frumos, dar acum nervii administratorului vor fi bine. Utilizatorii obișnuiți se pot înregistra în continuare. Desigur, atunci când actualizați motorul la o versiune mai nouă, va trebui să vă amintiți să faceți din nou această remediere. Sper că utilizatorii curajoși de phpbb nu vor rămâne obosiți de acest exemplu, ci vor veni cu alte modalități de a schimba punctul de intrare conform conceptului de securitate propus.