Herkes gibi, WordPress sitemizde spam sorunları yaşıyoruz. Her ay önemli miktarda trafik alıyoruz ve garip bir konuyla karşılaştık. Contact Form 7 ile Really Simple Captcha eklentisini kullanıyoruz ve her gün hâlâ geçmekte olan bir avuç vakası dışında çoğu yerde (neredeyse tüm spam'leri kesiyor) harika çalışıyor. Elimizdeki form, üstbilgideki bir bağlantının üzerine geldiğinizde görünen bir iletişim iletişim formudur. Temelde sitede her sayfada var.WordPress Spam açık? Action = register URL
Gönderimden aldığımız e-postada, iletinin altta yazdırılmakta olduğu URL'ye sahibiz. Başarılı spam mesajlarının hepsinin ortak olduğu tek şey, gönderdikleri URL'lere "? Action = register" eklenir. Gönderilen bağlantıya gidersem ve URL'nin sonuna eklediğimde, form ve CAPTCHA hala çalışır (yani CAPTCHA'yı yanlış yazdığımda beni engeller). Yani bu garip.
"? Action = register" öğesinin, kullanıcıların siteye kayıt olmaları için genellikle wp-login.php dosyasına eklendiğini biliyorum. Ayrıca orada bir eklenti olduğunu biliyorum (https://wordpress.org/plugins/custom-registration-link/) bir dereceye kadar düzeltmek ama eklenti çok modası geçmiş ve sadece kayıt bağlantıyı değiştirmek için (aynı zamanda spam önlemek için).
Sitemize kayıt işlemini durdurduk, çünkü eğer biz bunu çözmek için kullanabileceğim bir çift yamayı bilmemiz gerekiyorsa kullanıcıları elle giriyoruz ($ _GET ['action'] için ayarlandığında insanları yeniden yönlendirin örnek), ancak bunun neden olabileceğini söylemiyor. Sadece bir GET değişkeniyle herhangi bir güvenlik açığı nasıl olur?
Bir bağlantı, kod veya daha fazla bilgi ... olmadan, bu soru yanıt vermek için çok geniş. – rnevius
yönlendirme $ _GET ['eylem'] gerçek kayıtları da doğru yönlendirebilir? Aldığınız spam, manuel captcha gönderimlerinden olabilir. Spam'i durdurmak için Honeypot yöntemini denediniz mi? – Karthik
Bu parametre nedeniyle ek bir güvenlik açığı yok.Yönlendiren URL’nin (iletinin geldiği URL’nin) sahte olması çok olasıdır. –