No meu fórum, tenho esse campo personalizado quando os usuários se cadastram.
Mas parece que bots de spam criam contas com um valor nesse menu suspenso que não é selecionável. Isso quase faz com que funcione como um isca (honeypot) para determinar quais contas não foram feitas por humanos. Mas isso também poderia ser um problema de segurança?
Isso ocorre porque bots não utilizam o formulário de cadastro front-end que possui validadores. Esses bots de spam estão fazendo requisições automatizadas diretamente ao endpoint da API de cadastro. Acredito também que, quando os campos são opcionais, às vezes a validação no back-end não é rigorosa o suficiente e ainda salva o valor do payload no banco de dados.
Não tenho certeza qual seja a correção principal, mas você provavelmente precisará de alguma configuração ou ferramentas adicionais contra spam. (Eu uso um bot de spam com IA no meu fórum público e funciona muito bem, e também tenho campos opcionais no cadastro.)
Você pode encontrar todos os usuários do seu fórum usando o Explorador de Dados — acho que isso funcionará, embora eu não tenha testado (assumindo que o campo personalizado seja user_field_1):
SELECT user_id, value
FROM user_custom_fields
WHERE name = 'user_field_1'
AND value NOT IN ('Bro', 'Sis', '')
Se você alterou recentemente o campo de um campo de texto para uma lista suspensa, isso também pode explicar algumas dessas contas de bots com valores de campo incorretos.