Un usuario preguntó 👇
Hola, gracias por crear un excelente plugin.
Teníamos una pregunta de que estamos recibiendo muchos registros de spam y necesitamos muchos dominios adicionales y activar la recuperación y no todos estos usuarios tenían ninguno de esos dominios.
Así que hice algunas pruebas y descubrí que no se requería validación más que usuario, correo electrónico, pase cuando intenté firmar usando un cliente REST, así que creo que así son los spammers. ven, avísame si necesitas más información.
(@joevistatech)
Hace 1 año, 8 meses
Tuvimos la misma pregunta. Una vez que marque la casilla «cualquiera puede registrarse», la puerta se abre al resto del mundo.
El problema está del lado del marco de WordPress. Por lo tanto, necesitará reCaptcha en wp-login.php. Hicimos esto con otro plugin: “Login No Captcha reCAPTCHA” (https://wordpress.org/plugins/login-recaptcha/).
Después de instalar y activar este plugin, vaya a Configuración del panel de WP> Inicio de sesión de NoCaptcha, luego ingrese las claves de su sitio reCaptcha aquí. Esto parece haber hecho el truco
(@omarkasem)
Hace 1 año, 8 meses
Estamos bloqueando que cualquiera acceda a wp-login y redirigiéndolos a nuestra página de registro con el formulario, puede probarlo en su página de programa personalizado con cualquier cliente REST y verá que puede realizar toda la validación derivación.
(@ rumesh38)
Hace 1 año, 8 meses
Hola @omarkasem,
¿Está seguro de que los usuarios están registrados a través de nuestro plugin? Porque no admitimos la API REST en nuestro plugin. WordPress REST Las API de WordPress pueden estar abiertas. ¿Tiene algún consejo que pueda proporcionarnos para asegurarse de que los usuarios se registraron a través de nuestro plugin? Para que podamos depurar aún más el problema. Como mencionaste, «usuario, correo electrónico y pasaporte» solo deben registrarse a través de la API REST. Son datos básicos que WordPress Core requiere para los usuarios. ¿Puede consultar el perfil de usuario de correo no deseado en busca de campos adicionales que haya agregado en el creador de formularios de registro de usuario?
Gracias y Saludos.
(@joevistatech)
Hace 1 año, 8 meses
@omarkasem probablemente ya lo sepa … pero, podría ayudar con la solución de problemas -> si agrega /wp-login.php?action=register al final de la URL de su sitio, solo verá que solo solicita el nombre de usuario y el correo electrónico. Cuando vi eso para mi sitio, me di cuenta de que así era como se registraba la afluencia de usuarios aleatorios (y no reales). Pudieron omitir todos los demás campos esenciales que había configurado en el plugin, porque en realidad no se estaban registrando a través de un plugin.
Con «cualquiera puede registrarse» marcado; literalmente, cualquiera puede registrarse. Sin embargo, lo más probable es que utilice un cliente API REST simple para registrar usuarios en su sitio de WordPress (no a través del plugin de registro de usuarios) a través de una página de inicio de sesión de WP real. Después de buscar este problema, encontré una pantalla publicada por alguien (lo siento, desearía poder compartirla con ustedes nuevamente), que mostraba un cliente de API REST (cartero o algo similar ) registrar nuevos usuarios haciendo llamadas a un example.com/wp-login.php?action=register (nuevamente, omita el registro del plugin) y POST nuevos usuarios. Después de instalar / activar / configurar el plugin que mencioné en mi primera respuesta, todos los registros de usuarios (solo con nombre de usuario y contraseña) para mi sitio finalizaron. Con reCaptcha habilitado en la página de registro «principal» de WordPress, el cliente no puede manejar eludir el reCaptcha. Probablemente haya otra forma de llevar el proceso de registro de WP central un paso más allá durante el fin de semana; para detener los registros fraudulentos, pero esta fue la solución más rápida que pude hacer.
Es un buen recurso para probar las vulnerabilidades / fallas de seguridad de su sitio de WordPress. https://github.com/wpscanteam/wpscan – esto también puede darle una idea de cómo las personas (o robots) escanean los sitios de WordPress; para encontrar una falla de seguridad que puedan aprovechar. Lo mismo ocurre con los buckets de Amazon S3, etc.
(@ rumesh38)
Hace 1 año, 8 meses
Hola,
Puede iniciar sesión y ocultar el registro predeterminado de WordPress agregando un código en el archivo function.php de su tema. Aquí está nuestro documento para esto:
https://docs.wpeverest.com/docs/user-registration/how-to/how-to-hide-wordpress-default-login-page-and-use-user-registration-login-page/
Espero que esto resuelva el problema.
Gracias y Saludos.
¿Solucionó tu problema??
0 / 0