GNU/Linux >> Tutoriels Linux >  >> Linux

Sécurisez WordPress contre les spams falsifiés et jetables

Dans ce guide, nous montrerons comment utiliser le plug-in Fiddlemail Wordpress pour sécuriser votre installation Wordpress contre l'utilisation d'adresses e-mail jetables (également appelées adresses e-mail fausses ou poubelles).

Que sont les adresses e-mail jetables et pourquoi les bloquer ?

Les adresses e-mail jetables sont souvent utilisées pour s'inscrire à divers services utilisant de fausses données. Les e-mails arrivant dans la boîte aux lettres correspondante sont visibles par le public et pour la plupart supprimés peu de temps après, par ex. g. dix minutes. Aucune inscription n'est requise pour lire les e-mails arrivant dans cette boîte aux lettres.

En tant que fournisseur de services ou propriétaire d'un site Web, vous ne voulez normalement pas que les utilisateurs s'inscrivent avec une adresse comme celle-ci, car cela signifie que vous ne pourrez pas les contacter plus tard. Les utilisateurs d'une fausse boîte de réception ne vérifieront pas leurs boîtes aux lettres pour une autre raison que d'obtenir le lien d'activation - la boîte aux lettres peut être considérée comme morte .

Prérequis

  • Wordpress récent, au moins 3.8
  • PHP 5.4+

Installer le plugin

Allez dans Plugins -> Ajouter nouveau

Entrez le mot-clé Fiddlemail dans le champ de recherche et attendez que les résultats se chargent. Cliquez ensuite sur le bouton Installer maintenant dans la boîte du plugin.

Activez le plugin en cliquant sur le bouton Activer dans la boîte du plugin.

Configurer le plugin

À ce stade, vous avez besoin d'une clé API de fiddlemail.com.

Inscrivez-vous à Fiddlemail

Saisissez votre adresse e-mail et choisissez un mot de passe (sécurisé). Cliquez ensuite sur le bouton Enregistrer.

Peu de temps après, vous recevrez un e-mail contenant un lien de vérification sur lequel vous devrez cliquer pour activer votre compte.

Après cela, vous pouvez vous connecter avec vos informations d'identification.

Obtenir une clé API gratuite

Dans la vue d'ensemble du compte, faites défiler jusqu'aux forfaits API et cliquez sur le bouton Choisir sous la case Fiddlemail Free.

Cela créera immédiatement une clé API qui apparaîtra sur la page de votre compte.

Vous pouvez afficher les détails de votre/vos clé(s) en cliquant sur le bouton i à droite du champ clé.

Copiez la clé dans le presse-papiers.

Activer la clé dans Wordpress

Allez dans Paramètres -> Fiddlemail

Collez la clé dans le champ Clé API. Cliquez ensuite sur enregistrer. Une fois la clé vérifiée, vous pouvez voir l'état de votre clé sur la page des paramètres. Les informations dépendent du type de clé que vous avez obtenu (forfait gratuit ou payant).

  • Forfait API
    Cela indique le forfait (gratuit ou premium) que vous utilisez actuellement.
  • Clé active
    Indique si la clé est actuellement active et peut être utilisée.
  • Valable jusqu'au
    Sur les forfaits payants, cela vous indique combien de temps votre clé est encore valide ou quand votre abonnement est renouvelé.
  • Fonctionnalité de score disponible
    Oui ou Non. Indiquez si votre clé est autorisée à utiliser la fonction de requête étendue ou non. Cela indiquera "oui" sur les forfaits payants, "non" sur le forfait gratuit.
  • Emplacements IP utilisés
    Vous pouvez utiliser une seule clé API sur plusieurs adresses IP (serveurs). Cela vous montre combien de vos emplacements IP disponibles sont déjà utilisés. Les informations peuvent ne pas être à jour si certains de vos serveurs sur lesquels vous avez défini la clé n'ont pas encore effectué de requêtes API.
  • Requêtes de dernière minute/heure/jour/mois
    Cela vous montre l'utilisation de votre clé et les limites correspondantes (le cas échéant).

Le plugin est maintenant prêt à être utilisé, mais nous allons modifier certains paramètres pour l'adapter à nos besoins.

Paramètres étendus

Cliquez sur l'onglet Paramètres.

Les paramètres par défaut sont corrects, mais si vous souhaitez les modifier, par ex. g. parce que vous ne voulez pas que les commentaires soient envoyés dans le dossier spam au lieu d'être bloqués directement, choisissez le paramètre approprié ici.

De plus, vous pouvez choisir de ne pas filtrer tous les champs liés aux e-mails, mais uniquement de bloquer les commentaires ou les inscriptions à l'aide d'adresses e-mail jetables.

Cliquez sur l'onglet Paramètres étendus.

Pour obtenir de meilleurs résultats avec l'API Fiddlemail, vous pouvez choisir d'envoyer l'adresse e-mail complète au lieu du domaine de messagerie uniquement. Cela permet à l'API de renvoyer un score qui indique une probabilité que l'adresse soit fausse. Cependant, ce paramètre n'est disponible que sur les forfaits payants.

Le score du filtre est à 75 par défaut. Je préfère le baisser à 50 pour être plus strict dans le blocage des adresses e-mail suspectes.

En plus de l'API Fiddlemail, vous pouvez choisir de vérifier les domaines par rapport au Spamhaus DBL et à l'URIBL. Ces services maintiennent une liste de domaines de spam ou de phishing, il est donc généralement judicieux d'utiliser également ces services.

Veuillez garder à l'esprit que ces services sont gratuits pour une utilisation non commerciale uniquement (voir les pages de termes de Spamhaus/URIBL pour plus de détails).

Cliquez sur l'onglet Liste noire/Liste blanche.

À cet endroit, vous pouvez entrer certains domaines que vous ne voulez en aucun cas bloquer, par ex. g. le ou les domaines de votre entreprise comme gmail.com (qui est déjà sur liste blanche chez Fiddlemail). De plus, vous pouvez entrer des domaines que vous souhaitez toujours bloquer, par ex. g. les domaines dont vous recevez des commentaires de spam mais qui ne sont pas traités comme des domaines de spam par Fiddlemail, Spamhaus ou URIBL. Un domaine qui est souvent utilisé pour les commentaires de spam ou les faux enregistrements, par exemple, est mail.ru. Comme il s'agit d'un service de courrier gratuit russe, il n'est pas considéré comme un fournisseur de courrier jetable par Fiddlemail.

Testez votre configuration

Ouvrez un article ou une page sur votre Wordpress (qui a des commentaires activés) et faites défiler jusqu'au formulaire de commentaire. Assurez-vous que vous n'êtes pas connecté.

Entrez un texte de commentaire, un nom et une adresse e-mail de test, par ex. g. [email protected] et soumettez le commentaire. Vous devriez voir un message comme celui-ci :

Vérifier les journaux

Après un certain temps (ou quelques tests de votre part), vous pouvez consulter le journal du plug-in Fiddlemail. Accédez à l'onglet Filtrer le journal sur la page des paramètres de Fiddlemail.

Ici vous voyez quelques exemples d'actions effectuées par le plugin. Vous trouverez ci-dessous une explication des différents messages d'état des résultats :

  • suspect
    L'adresse saisie est suspectée d'être fausse ou de spam et a été bloquée pour s'inscrire/commenter sur votre blog.
  • suspect [cache]
    Pour économiser les appels API, le plugin met les résultats en cache localement pendant quelques heures et n'interroge pas la même adresse plusieurs fois de suite. Il en va de même pour les différents autres codes d'état.
  • bloqué :spamhaus / bloqué:uribl
    Le domaine interrogé est répertorié dans la liste noire correspondante et sa publication sur votre blog a été bloquée.
  • liste blanche
    Vous avez ajouté ce domaine à la liste blanche localement.
  • liste noire
    Vous avez mis ce domaine sur liste noire localement.
  • d'accord
    Le domaine/l'adresse n'a pas été suspecté d'être un faux ou un spam.
  • erreur
    Une erreur s'est produite lors de l'interrogation de l'API.

Il y a quelques colonnes supplémentaires dans la table de journal, mais celles-ci devraient être explicites.

Je vous souhaite un blog sans spam !


Linux

  1. SSH - Générer et travailler avec des clés ssh

  2. Clé de série Vsphere et Vcenter 6.5

  3. Comment installer et sécuriser Redis sur Ubuntu 18.04

  4. Comment installer et sécuriser MongoDB 4 dans CentOS 8

  5. PubkeyAcceptedKeyTypes et type de clé ssh-dsa

Comment sécuriser le serveur de messagerie contre le piratage avec VPN (CentOS/RHEL)

Traitement de la mise à jour et des vulnérabilités de WordPress 4.9.4

Qu'est-ce que l'API WordPress Heartbeat et comment la contrôler

Comment installer et sécuriser phpMyAdmin dans Ubuntu 14.04

Comment installer et sécuriser Memcached sur Ubuntu 18.04

Comment installer et sécuriser phpMyAdmin sur CentOS 8