Nezaščiteni kontaktni obrazci so pogosto tarča spletnih napadov. Namen napadov je najpogosteje pošiljanje neželene pošte, pridobivanje dostopa do baze kontaktov, iskanje ranljivosti spletnega mesta ali oglaševanje zlonamernih vsebin. Posledice napada se izražajo v veliki količini prejete neželene e-pošte, umestitev na t.i. blacklisto ipd.
Kako poskrbeti za zaščito WordPress strani?
Gotovo ste pri obisku kakšne spletne strani že opazili, da vam je spletna stran prikazala sliko, s katere je bilo pred registracijo oziroma oddajo obrazca potrebno prepisati naključno zaporedje znakov.
Gre za način varnostnega preverjanja, ki ga poznamo pod imenom CAPTCHA – Completely Automated Public Turing test to tell Computers and Humans Apart. Test diferira, ali ga je izpolnil človek ali robot (program). Tehnologija CAPTCHA se uporablja tudi za druge namene, najbolj znana pa je njena uporaba prav pri preverjanjih pristnosti.
Tej tehnologiji podoben je Googlov sistem reCAPTCHA. Pri tem sistemu mora uporabnik na spletni strani – preden lahko na primer pošlje kontaktni obrazec – le klikniti v okenček in s tem potrditi, da ni robot.
Izvede se vrsta testiranj, ki potrdijo pristnost uporabnika. Včasih za to zadošča že navedeni klik, v kolikor pa je sistem zaznal sumljivo aktivnost, pa je potrebno še dodatno preverjanje, na primer označevanje vseh slik, na katerih je prikazan prometni znak. Če je preverjanje pristnosti uspešno, je izpolnjen kontaktni obrazec na spletni strani mogoče poslati.
Google reCAPTCHA je sicer na voljo v več oblikah. V kontekstu integracije za najenostavnejšo velja reCAPTCHA V2, ki je primerna za zaščito posameznih obrazcev na spletni strani. Pristnost se preverja na način klika v okno widgeta z napisom I’m not a robot. Sistem bo uporabnika kot pristnega prepoznal takoj, ali pa mu bo ponudil dodatno validacijo.
Zaščita kontaktnega obrazca
Urejanje reCaptcha zaščite poteka v dveh delih. Najprej je za spletno mesto potrebno pridobiti par API ključev, nato pa te nanj tudi umestiti.
Par ključev pridobimo tako, da prijavljeni v svoj Google račun obiščemo Google reCAPTCHA.
V nadzorni plošči z izpolnitvijo obrazca registriramo svojo spletno stran. Izpolniti je potrebno naslednja polja:
- Label: vnesemo opis strani
- Choose the type of reCAPTCHA: izberemo reCAPTCHA V2, v kolikor obrazcev nimamo na vseh podstraneh
- Domains: vnesemo domeno, na kateri je objavljena spletna stran
- potrdimo pogoje uporabe in kliknemo Register
Generira se par ključev (Site Key in Secret Key), ki ga je nato potrebno integrirati na spletno stran.
Par ključev na spletno stran lahko integriramo na več načinov. Ti so odvisni od tega, kateri vtičnik za kontaktni obrazec uporabljamo, oziroma od načina, kako je kontaktni obrazec dodan na spletno stran. Velikokrat je dovolj že to, da par ključev v administrativnem okolju WordPress strani vnesemo v nastavitve vtičnika za kontaktni obrazec, izberemo želen način testiranja uporabnika ter spremembe shranimo.
Priporočljiva je uporaba namenskih in preverjenih vtičnikov za kontaktni obrazec. Med bolj razširjene tonamenske vtičnike v WordPressu sodijo Gravity Forms, Ninja Forms, WPForms in Contact Form 7.
Zaščita registracijskega obrazca
V kolikor ne želite, da se na vaši spletni strani registrirajo novi uporabniki, lahko to opcijo v administrativnem okolju WordPress strani preprosto izklopite. To storite tako, da v levem meniju kliknete na Nastavitve, nato Splošno, naposled pa odkljukate okvirček ob Članstvo ter spremembe shranite.
V kolikor želite obiskovalcem spletne strani ponuditi možnost registracije, a bi radi zagotovili, da se na strani registrirajo le resnične osebe, je smiselno zaščititi tudi obrazec za registracijo.
Ena od možnosti je namestitev vtičnika Google Captcha (reCAPTHCA) by BestWebSoft. Po namestitvi in aktivaciji vtičnika pod njegovimi nastavitvami pod Authentication vnesete pridobljena ključa, nato pa pod General izberete, katere obrazce bi želeli zaščititi z Google reCaptcho.
Zaščita pred neželenimi komentarji
Podobno kot pri možnosti proste registracije je mogoče tudi oddajo komentarjev onemogočiti v WordPress nadzorni plošči. To storimo tako, da v levem meniju kliknemo na Settings, nato na Discussion settings in nato odkljukamo opcijo ob Allow people to post comments on new articles.
Neželene komentarje lahko omejite že s primernimi nastavitvami v Seetings -> Razprava (npr. Komentar je treba odobriti ročno, Uporabniki morajo biti registrirani).
Druga možnost je namestitev prej omenjenega vtičnika Google Captcha (reCAPTHCA). V zavihku General izberete, katere obrazce bi želeli zaščititi z Google reCaptcho.
Potrebujete pomoč pri ureditvi reCaptche?
Pri zaščiti pred zlonamernimi napadi vam lahko pomaga tudi ekipa Domovanja! Preverite storitve, ki jih nudimo našim strankam >