私の個人のフォーラムでも以前はスパム登録に悩まされていましたが、最近はかなり減りました。今は1日1〜2件、最大でも(今日のように)5件程度です。スパムアカウントをこまめに削除してブロックリストに追加するだけで効果的です。「新しいユーザーアカウントへのサイトアクセスを許可する前に、スタッフの承認が必要」という設定を有効にしているため、新しいユーザーは便利なレビューキューに追加され、あっという間に処理できます。さらに、明らかなスパマーを特定するためにカスタム質問を追加するのも効果的です。
仕事用のフォーラムでは、wp-discourse WordPressプラグインとSSOを使用し、非常に長い登録フォームを採用しています。この方法では、スパム登録はほとんど発生しません。
新しいサインアップ/ログインプラグインはスパム防止の解決策になりますか?
そのようなデータを抽出する方法を教えていただけますか?
好奇心から、これらはどのようにCaptchaを通過できるのですか?サインアッププロセスはCaptchaを解決せずに完了できますか?
このような場合、あまりにも多くのフォームスパムが配布されると、あなた自身のメールサーバーがブラックリストに載ってしまう可能性があることも覚えておくべきです。
ボットが登録に実際のメールアドレスを使用した場合、これは非常に速く起こり得ます。
私は、私のディスコースDockerインスタンスのプロキシとして外部nginxを使用し、fail2banでログファイルを監視することでこれを解決しました。つまり:
/etc/fail2ban/filter.d/nginx-discourse.conf
[Definition]
failregex = ^<HOST>.*"GET /u/account-created HTTP/2.0" 200.*$
/etc/fail2ban/jail.d/defaults-debian.conf
[nginx-discourse]
enabled = true
port = http,https
filter = nginx-discourse
logpath = /var/log/nginx/your.discourse.access.log
bantime = 43200
findtime = 3600
maxretry = 3
banaction = ufw
この例は、誰かが1時間以内に同じIPから3回登録を試みた場合、そのIPが12時間ブロックされることを意味します。
これらの値は、あなたの目的とシステム環境に合わせて調整してください!
こちらも同じです。
彼らが投稿しなければ、攻撃的ではありません。非アクティブユーザーの新しいアカウントは訪問者や通常のユーザーには見えず、ユーザープロフィールもインデックスされません。したがって、これらのスパムアカウントは基本的に管理者やモッズ以外には見えず、定期的なクリーンアップのサイドキックジョブのおかげでしばらくすると自動的に削除されます。
投稿はできないものの、検索クエリを実行したり、
認証システムをハッキングしようとしたりするような、ランダムなことをしています。
Job exception: Net::SMTPAuthenticationError
(google_oauth2) Authentication failure! invalid_credentials: OAuth2::Error, invalid_grant: Bad Request { "error": "invalid_grant", "error_description": "Bad Request" }
(google_oauth2) Authentication failure! csrf_detected: OmniAuth::Strategies::OAuth2::CallbackError, csrf_detected | CSRF detected