这个月的WPToronto 东区见面会聚焦于安全和隐私。Don Tai分享了一个关于打击垃圾邮件的深度演讲WordPress,引发了一些关于各种相关话题的热烈讨论。
多年前, 唐联系了他的托管提供商。他被告知, 他的网站使用的资源太多, 尽管是一个简单的个人博客。他们甚至威胁说, 如果问题得不到解决, 就关闭他的网站。
这就是他反对评论垃圾邮件的讨伐开始的地方。
您可以下载幻灯片 或者找到下面的外卖
为什么垃圾邮件发送者会针对您的网站?
那要看情况了你分不清他们的意图是什么。但我们确实知道, 它影响到各种网站。个人博客, 网上商店, 企业网站..。没有人可以幸免于被垃圾邮件发送者的打击。
有哪些类型的垃圾邮件?
我们在演示文稿中查看了三种类型的垃圾邮件: 评论垃圾邮件、引用垃圾邮件和幽灵垃圾邮件。
评论垃圾邮件是最明显的。唐把 "SEO 营销组织" 称为特别坏的罪犯。他们留下的评论带有无稽之谈的文字和链接, 指向他们所针对的任何网站。
如果您使用的是类似于 秋梅这些评论将被标记并过滤到您的评论屏幕上的垃圾邮件文件夹中WordPress。
推荐人垃圾邮件 是 seo 垃圾邮件的一种更狡猾的形式。垃圾邮件发送者打您的网站与一个假的 URL 定义为推荐人。如果搜索引擎抓取您网站的访问日志, 他们也会抓取假 Url。
引用垃圾邮件的目标是 (以某种方式) 通过从目标网站的访问日志中反向链接来增加网站的搜索排名。
幽灵垃圾邮件甚至是偷偷的。对于幽灵垃圾邮件, 垃圾邮件发送者使用您的 Google 分析 ID (通常是随机生成的) 并命中 GA 服务器。Google 将垃圾邮件发送者提供的 URL 与您的 Google 分析 ID 相关联, 因此该 URL 会显示在您的 Google 分析报告中, 即使垃圾邮件发送者从未实际访问过您的网站。(因此它是一个鬼!)
我们的目标是激起你的好奇心, 让你点击这些可疑的网址。虽然这已经够糟糕的了, 但这些 "访问" 人为地夸大了你的交通数字, 这给伤害增加了一点侮辱。
我们为什么要关心垃圾邮件?
您的网站可能会因为链接到不良网站而受到 Google 或其他搜索引擎的处罚。
垃圾邮件可以人为地夸大您的分析报告, 从而影响依赖于分析数据的重要决策。
垃圾邮件发送者可能会给您的托管带来不必要的压力, 从而影响网站的性能 (例如加载时间), 并花费您的资金 (例如, 支付更高资源密集型托管计划的费用)。
Don 在演讲中提到, 大约50% 的网络流量来自机器人。其中, 约30% 是恶意的。如果您能够识别并阻止30% 的恶意流量, 性能会有哪些改进?
"垃圾邮件就像一个网关药物, 用于向链上游移动, 测试插件的安全性, 并闯入您的网站。
一开始, 垃圾邮件似乎是一个微不足道的问题。但当垃圾邮件发送者戳和戳你的网站时, 他们也可能在寻找其他安全漏洞来利用。
这将导致恶意软件感染或劫持搜索结果等问题。这些比单独的垃圾邮件危害要大得多。但垃圾邮件是它的起点。
WordPress 是疯狂流行的建设网站。这意味着它也是垃圾邮件发送者和黑客的疯狂目标。
几年前 WordPress 网站被XMLRPC中的漏洞所攻击. 在此之前, tim夺. php 是一个受欢迎的目标.
用于检测这些安全漏洞 (爬网和扫描网站) 的方法与垃圾邮件发送者使用的方法相同。因此, 我们为打击垃圾邮件发送者所做的工作也有助于打击更具侵略性的攻击。
不要忘记原始访问日志。
原始访问日志提供了访问您网站的所有流量的完整记录。它比你从谷歌分析等公司发现的任何东西都要全面得多。
如果您使用的是共享托管提供商, 您可以通过 Cpanel 查看您的访问日志.(如果您不知道在哪里可以查找网站的访问日志, 请咨询您的托管提供商。
Don 建议下载原始访问日志, 然后在电子表格工具 (如 Microsoft Excel 或 Google 工作表) 中打开它。您将看到对应于以下对象的列:
- 访问您的网站的 IP 或主机名
- 他们连接的时间和日期
- 他们试图上传或下载的资源
- 他们的连接尝试的成功或失败
- 他们使用了多少数据
- 他们下载的内容
- 他们的推荐人 ID (可欺骗)
- 他们的用户代理, 例如使用的浏览器 (也是欺骗)
通过将这些数据与其他信息进行关联,例如您可以在您的评论垃圾邮件文件夹中WordPress找到的信息,您将更好地了解垃圾邮件发送者在您的网站上做了什么。
例如, 他们可能从一个 IP 地址对您的网站进行爬网,然后从另一个 ip 地址发布垃圾邮件评论。
你怎么能阻止垃圾邮件发送者?
第一步是安装安全插件。 Isosit 安全性 和 文字围栏 有两个推荐的选项。 Jetpack 还包括安全功能 ("Jetpack 保护")。
请注意:阅读有关安全插件的文档!你可能会不小心把自己锁在自己的网站之外。(例如, 最终被列入黑名单, 需要直接更改数据库才能修复。
接下来, 请确保您已安装并激活 秋梅.这将有助于筛选来自您网站的评论垃圾邮件。
考虑 完全禁用 xml-rpc.依赖于 XML-RPC 的应用将丢失某些功能, 但随着对 REST API 的支持不断增长, 这就不再是一个值得关注的问题。
最后 通用汽车方块机器人 是一个WordPress 插件,可以从您的Google Analytics报告中过滤已知的ghost/referrer垃圾邮件。
从那里, 你可以开始用更激进的战术来升级你的安全。
一种方法是禁止已知为恶意的 IP 地址。Is委安全和 Word围栏都有 "坏街区" 的列表, 它们在确定阻止哪些 Ip 时依赖这些社区。
不幸的是, 知识产权的禁止可能会影响无辜的用户。例如, 如果你受到来自俄罗斯的大量垃圾邮件流量的打击, 你可能会被诱惑阻止所有的俄罗斯 IP 地址。如果你对来自俄罗斯的人能够访问你的网站不感兴趣, 这应该不是问题。但如果你用俄语写博客呢?
此外, 由于 IPv6 不映射到地理区域, 因此 "阻止" 特定区域的想法不起作用。
另一种流行的方法是监视和筛选传入流量。 云耀斑 是一个流行的第三方服务, 做到这一点。如果 Cloudflare 发现可疑行为, 他们可能会要求网站访问者采取具体步骤到达网站。
不幸的是, 这些类型的安全检查不是十全十美的, 可能会导致无辜的用户被阻止从您的网站。
保持警惕。反对垃圾邮件的战争永远不会结束。
没有办法完全阻止垃圾邮件发送者。他们将继续设计新的方法来袭击我们的网站。我们能做的最好的事情就是采取预防措施, 保持警觉, 并在新的解决方案可用时使用它们。
再次感谢唐泰这个月的出席!有你自己的打击垃圾邮件的提示吗?在下面的评论中留下你的建议。
图像信用: 迈克·莫扎特经 Flickr
会议的伟大回顾!我很快就会把报告介绍给安迪。