Kako zaščititi WordPress obrazce pred zlorabami? (reCaptcha)

Nezaščiteni kontaktni obrazci so pogosto tarča spletnih napadov.

Zakaj prihaja do napadov?

Zlorab kontaktnih obrazcev največkrat ne povzročajo resnične osebe, ki bi se na spletno stran želele registrirati ali pa preko obrazca lastniku spletnega mesta poslati sporočilo, temveč nepridipravi z namenom odkrivanja raznovrstnih ranljivosti.

Vzroki takšnemu ravnanju so različni, njihov namen pa je mnogokrat zlonameren:

  • pošiljanje neželene pošte,
  • pridobivanje dostopa do baze kontaktov,
  • iskanje ranljivosti spletnega mesta,
  • oglaševanje zlonamernih vsebin.

Neugodne so tudi posledice, ki jih uporabnik ob tem lahko občuti. Mednje denimo sodijo prejemanje velike količine neželene e-pošte, zapolnitev poštnega predala, možnost umestitve na blackliste in podobno.

Kako poskrbeti za zaščito na strani tipa WordPress?

Zaščita kontaktnih obrazcev

V kolikor kontaktnega obrazca ne potrebujete, je smiselno, da ga odstranite iz spletne strani. Če pa bi ga vseeno želeli ohraniti, je priporočljivo, da ga zaščitite z reCaptcha zaščito.

Kaj je reCaptcha?

Gotovo ste pri obisku kakšne spletne strani, kjer se je potrebno registrirati, ali pa pri izpolnjevanju spletnega kontaktnega obrazca, že kdaj opazili, da vam je spletna stran prikazala sliko, s katere je bilo pred registracijo oziroma oddajo obrazca potrebno prepisati naključno zaporedje znakov.

Gre za način varnostnega preverjanja, ki ga poznamo pod imenom CAPTCHA – Completely Automated Public Turing test to tell Computers and Humans Apart. Test diferira, ali ga je izpolnil človek ali robot (program). Tehnologija CAPTCHA se uporablja tudi za druge namene, najbolj znana pa je njena uporaba prav pri preverjanjih pristnosti.

Tej tehnologiji podoben je Googlov sistem reCAPTCHA. Pri tem sistemu mora uporabnik na spletni strani – preden lahko na primer pošlje kontaktni obrazec – le klikniti v okenček in s tem potrditi, da ni robot.

Izvede se vrsta testiranj, ki potrdijo pristnost uporabnika. Včasih za to zadošča že navedeni klik, v kolikor pa je sistem zaznal sumljivo aktivnost, pa je potrebno še dodatno preverjanje, na primer označevanje vseh slik, na katerih je prikazan prometni znak. Če je preverjanje pristnosti uspešno, je izpolnjen kontaktni obrazec na spletni strani mogoče poslati.

Google reCAPTCHA je sicer na voljo v več oblikah. V kontekstu integracije za najenostavnejšo velja reCAPTCHA V2, ki je primerna za zaščito posameznih obrazcev na spletni strani. Pristnost se preverja na način klika v okno widgeta z napisom I’m not a robot. Sistem bo uporabnika kot pristnega prepoznal takoj, ali pa mu bo ponudil dodatno validacijo.

Kako zaščito uredimo?

Urejanje reCaptcha zaščite poteka v dveh delih. Najprej je za spletno mesto potrebno pridobiti par API ključev, nato pa te nanj tudi umestiti.

Par ključev pridobimo tako, da prijavljeni v svoj Google račun obiščemo Google reCAPTCHA.

V nadzorni plošči z izpolnitvijo obrazca registriramo svojo spletno stran. Izpolniti je potrebno naslednja polja:

  • Label: vnesemo opis strani
  • Choose the type of reCAPTCHA: izberemo reCAPTCHA V2, v kolikor obrazcev nimamo na vseh podstraneh
  • Domains: vnesemo domeno, na kateri je objavljena spletna stran
  • potrdimo pogoje uporabe in kliknemo Register

Generira se par ključev (Site Key in Secret Key), ki ga je nato potrebno integrirati na spletno stran.

Par ključev na spletno stran lahko integriramo na več načinov. Ti so odvisni od tega, kateri vtičnik za kontaktni obrazec uporabljamo, oziroma od načina, kako je kontaktni obrazec dodan na spletno stran. Velikokrat je dovolj že to, da par ključev v administrativnem okolju WordPress strani vnesemo v nastavitve vtičnika za kontaktni obrazec, izberemo želen način testiranja uporabnika ter spremembe shranimo.

Priporočila

Priporočljiva je uporaba namenskih in preverjenih vtičnikov za kontaktni obrazec. Med bolj razširjene tonamenske vtičnike v WordPressu sodijo Gravity Forms, Ninja Forms, WPForms in Contact Form 7.

Zaščita obrazca za registracijo:

a) če registracije ne potrebujete

V kolikor ne želite, da se na vaši spletni strani registrirajo novi uporabniki, lahko to opcijo v administrativnem okolju WordPress strani preprosto izklopite. To storite tako, da v levem meniju kliknete na Nastavitve, nato Splošno, naposled pa odkljukate okvirček ob Članstvo ter spremembe shranite.

b) če potrebujete možnost registracije

V kolikor želite obiskovalcem spletne strani ponuditi možnost registracije, a bi radi zagotovili, da se na strani registrirajo le resnične osebe, je smiselno zaščititi tudi obrazec za registracijo.

Ena od možnosti je namestitev vtičnika Google Captcha (reCAPTHCA) by BestWebSoft. Po namestitvi in aktivaciji vtičnika pod njegovimi nastavitvami pod Authentication vnesete pridobljena ključa, nato pa pod General izberete, katere obrazce bi želeli zaščititi z Google reCaptcho.

Zaščita pred neželenimi komentarji:

a) če komentarjev ne potrebujete

Podobno kot pri možnosti proste registracije je mogoče tudi oddajo komentarjev onemogočiti v WordPress nadzorni plošči. To storimo tako, da v levem meniju kliknemo na Settings, nato na Discussion settings in nato odkljukamo opcijo ob Allow people to post comments on new articles.

b) če potrebujete možnost komentiranja

Neželene komentarje lahko omejite že s primernimi nastavitvami v Seetings -> Razprava (npr. Komentar je treba odobriti ročno, Uporabniki morajo biti registrirani).

Druga možnost je namestitev prej omenjenega vtičnika Google Captcha (reCAPTHCA). V zavihku General izberete, katere obrazce bi želeli zaščititi z Google reCaptcho.

Potrebujete pomoč pri nastavitvi reCaptche?

Čeprav je namestitev reCaptche zelo enostavna, je nekatere nastavitve bolje prepustiti WordPress strokovnjaku. Pri ureditvi vam lahko pomaga tudi ekipa Domence. Preverite storitve, ki jih nudimo za naše stranke, ali pa nam pišite za več informacij.

Podobni članki