Magento – đăng ký Spam như khách hàng hay cho các bản tin

Nó bây giờ đến ngày càng phổ biến, mà cửa hàng Magento được chuyển cho việc gửi SPAM. Với mục đích này, một trong hai “Giả mạo”-tài khoản của khách hàng được tạo ra và / hoặc sản xuất thuê bao nhận bản tin.

Nhiều ngạc nhiên-như họ băn khoăn- “Tại sao họ làm điều đó?” hoặc “ở điểm nào?”. Một câu trả lời rõ ràng tôi có thể đưa ra nhưng không phải là một cách tiếp cận:

Trong khi những nỗ lực đang được tự động tạo ra bởi các tài khoản bot khách hàng, nhưng các địa chỉ email được sử dụng là không sai. Trong những trường hợp gần đây, đã có chủ yếu là e-mail tài khoản từ @ mail.ru, @ gmail.ru, @ inbox.ru, @ Bk.ru, @ List.ru và thư Nga khác lưu trữ. Nói chung, có lẽ hầu hết các địa chỉ mail và do đó có sẵn sau khi đăng nhập vào các cửa hàng tương ứng một email xác nhận từ đó = do đó nó được email đúng từ một cửa hàng thực (-người gởi) gửi cho những người thực. Đó sẽ là để ý 1. Bây giờ câu hỏi “Tại sao? Nó chỉ là một đăng ký xác nhận email thông thường…”. và, NHƯNG nó là chương trình sử dụng cho họ “thông điệp quảng cáo” tên khách hàng. Do đó, một văn bản dài cũng có rất. Như một ví dụ,:

Theo Google Translate điều này có lẽ khá thô

Chúng tôi nhận thấy một số “thời gian” trong tin nhắn. Nhưng chúng ta tưởng tượng, rằng tên này trong thư mục “Xin chào [Tên] và chào mừng đến X-Shop!”-E-mail được sử dụng để xác nhận việc đăng ký trong cửa hàng trực tuyến. Thực ra chẳng có ý nghĩa… So với Spam, chúng tôi nhận mỗi ngày có thể là một mịn 6.

Có gì ý nghĩa sâu sắc hơn điều này làm hoặc làm thế nào hiệu quả nó là, Tôi không thể nói, Nhưng thực tế là, rằng chức năng đăng ký của các cửa hàng Magento được sử dụng vì lợi ích mà nhiều. Trong trường hợp hiện tại của chúng tôi, như hầu hết 300 Hiện tại 12 giờ.

bạn có thể làm gì? Thật không may, không có câu trả lời rõ ràng rằng câu hỏi, vì vấn đề đi sâu. Tôi muốn giới thiệu các phương pháp sau đây:

1. Magento Captcha: Magento có phiên bản 1.7 một tính năng Captcha built-in sẵn sàng. Điều này chỉ cần được kích hoạt, Để đăng ký khách hàng, den Đăng nhập, các “Mật khẩu Quên mật”-sẽ được sử dụng chức năng và Checkout (điều chỉnh có thể cần thiết cho mẫu của mình). Để kết thúc này, dưới hệ thống > cấu hình > khách hàng / cấu hình khách hàng / đi CAPTCHA.

Có thì bạn có thể kích hoạt các Captcha cho các khu vực khác nhau trong frontend.

Đối với đăng ký Bản tin hoặc các hình thức liên lạc, đây không phải là tiêu chuẩn.

2. Google reCaptcha: Có lẽ hiện thường gặp nhất trên Internet (tái)Captcha. Để sử dụng trong Magento có ở một bên với một tài khoản Google tài khoản reCaptcha để Sở hữu / tên miền được tạo ra, sau đó sử dụng các phím do đó thu được trong cửa hàng. Để hiển thị chính tả là có nhiều cách khác nhau. Từ thực hiện riêng của bạn thông qua các phần mở rộng khác nhau (miễn phí và lệ phí). Cá nhân tôi sẽ tìm kiếm trong các bản mở rộng, rằng không cần thiết “bloatware” mitinstalliert, vì nó dành riêng cho sự hội nhập của một “Widgets” những, không nên cần thay đổi cơ sở dữ liệu lớn bằng cách mở rộng và chức năng bổ sung không cần thiết. Amasty dạy công cụ miễn phí của mình ví dụ. cả một với người kia cũng – Vì vậy, tôi đã kiềm chế. Tuy nhiên, cũng trong phần mở rộng miễn phí của Turiknox không được thực hiện nhiều hơn so với nhu cầu được.

3. IP-Sperre: Nếu một đánh giá các bản ghi máy chủ từ, ai nhận ra IP nguồn rất rõ ràng tương đối thường xuyên. Trong trường hợp của chúng tôi, chủ yếu là từ Nga. Nó có thể giúp ngăn chặn những IP hoặc dải IP. Này, chúng tôi đã thực hiện qua .htaccess trong đó chúng ta

<file index.php>
để Deny,Cho phép
Từ chối XXX.XXX.XXX.XXX
Từ chối XXX.XXX.
</Các tập tin>

đã nhập. Bạn có thể viết ra hoàn toàn IP hoặc khu vực duy nhất, bởi chỉ viết phần (thường phía trước). Bạn càng ít viết, bị chặn hơn. tất nhiên, nhưng nguy cơ bị tắc nghẽn không mong muốn cũng làm tăng.

4. Vì nhiều mục cho các khách hàng mới KHÔNG “reulär” tạo ra thông qua kịch bản front-end, nhưng qua nó, mang lại Captcha (1 và cũng 2) trong một số chương trình không có gì. Họ tiếp tục dễ dàng tạo ra các tài khoản khách hàng. Nếu một đánh giá các bản ghi từ, có thể được tìm thấy ở đây nhiều lần các cuộc gọi / khách hàng / tài khoản / tạo bài. Có gì nói chung là đúng vâng. Tuy nhiên, sự khác biệt nằm trong lịch sử hay. bối cảnh.

Tôi làm cho một người dùng bình thường một tài khoản, xem đây trong nhật ký như thế này:

Meine.IP.Adresse.hier - - [05/Jun / 2018:12:02:28 +0200] "GET /index.php/customer/account/create/ HTTP / 2.0" 200 10055 "https://www.hiermeineshopurl.de/" "Mozilla / 5.0 (windows NT 6.1; Win64; x64; rv:60.0) Gecko / 20100101 Firefox / 60,0"
Meine.IP.Adresse.hier - - [05/Jun / 2018:12:02:53 +0200] "GET /index.php/customer/account/createpost/ HTTP / 2.0" 302 - "-" "Mozilla / 5.0 (windows NT 6.1; Win64; x64; rv:60.0) Gecko / 20100101 Firefox / 60,0"

Tạo một bot một User Account, tuy nhiên, nó trông như thế này:

Die.Bot.IP.Hier - - [05/Jun / 2018:12:11:20 +0200] "GET /index.php/customer/account/create HTTP / 1.1" 200 10054 "https://www.hiermeineshopurl.de/index.php/customer/account/login/" "Mozilla / 5.0 (áo tơi đi mưa; Intel Mac OS X 10.13; rv:60.0) Gecko / 20100101 Firefox / 60,0"
Die.Bot.IP.Hier - - [05/Jun / 2018:12:11:21 +0200] "POST /index.php/customer/account/createpost/ HTTP / 1.1" 302 - "https://www.hiermeineshopurl.de/index.php/customer/account/create/" "Mozilla / 5.0 (áo tơi đi mưa; Intel Mac OS X 10.13; rv:60.0) Gecko / 20100101 Firefox / 60,0"
Die.Bot.IP.Hier - - [05/Jun / 2018:12:11:22 +0200] "GET /index.php/customer/account/index/ HTTP / 1.1" 200 9542 "https://www.hiermeineshopurl.de/index.php/customer/account/create/" "Mozilla / 5.0 (áo tơi đi mưa; Intel Mac OS X 10.13; rv:60.0) Gecko / 20100101 Firefox / 60,0"

Bất thường en masse. Chúng tôi đã kiểm tra một cơ sở vô hiệu hóa trong cửa hàng này, các đôi chức năng opt-in trong việc áp dụng và nó rơi vào, đã được đăng nhập ngay lập tức, gửi một địa chỉ khách hàng.

5. Hũ mật ong: Trong ví dụ là ví dụ. Những điều tích hợp trên mặt, không thấy con người, và do đó sẽ không được nhận thức. một bot “ngoại hình” Tuy nhiên, họ và phản ứng phù hợp. Đây có thể là một lĩnh vực hoặc một hộp kiểm. Tôi đã sử dụng phần mở rộng miễn phí Magento-Hackathon HoneySpam. Điều này thêm một trường URL đăng ký. Đây không phải là chu đáo cho người dùng bình thường- và do đó không fillable. nó sẽ rất đầy, đó là một bot và đăng ký bị từ chối.

6. Nước-Block: Có khả năng toàn bộ quốc gia(ID) để khóa và không thể đứng về phía sự. Đối với điều này có hướng dẫn sử dụng khác nhau, mà có thể được tìm thấy trên Google và một số Extensions. nhưng điều này nên luôn luôn là phương sách cuối cùng và do đó vẫn ace cuối cùng của tôi lên tay áo của mình, các

7. Blacklist email: Có một số phần mở rộng, có thể được cấu hình để, rằng định nghĩa trong mail đăng ký hoặc một phần của địa chỉ email bị từ chối. Như một ví dụ, các phần mở rộng của Amasty cho không có gì (nhưng nó mang lại “bloatware” cơ sở Amasty với trong cùng một cách như dưới cửa hàng 2 mô tả). Với phần mở rộng này bạn có thể làm rất nhiều với thẻ hoang dã * công việc. Như vậy sẽ là một khối *@ mail.ru vv. có thể được.
Khả năng này đòi hỏi các nguy cơ người dùng không mong muốn để chặn, nhưng không phải là khá nghiêm ngặt như số. 6.

Tất cả trong tất cả, chúng tôi đã cho đến nay trào lưu của đăng ký thư rác hạn chế chỉ mạnh mẽ nhưng không ngăn cản. Nếu có cái gì đó mới đây, chúng tôi viết. nhưng chúng tôi cũng mong muốn được thư hoặc. bình luận.

cập nhật từ 07.06.2018

Sau khi đánh giá các bản ghi máy chủ mới và các xét nghiệm khác, Tôi muốn thêm biết thêm.

1. Tôi thử nghiệm lần tạo một người dùng mới và đặt tên đầu tiên và họ bạn một văn bản nhỏ kết hợp, làm cho lưu ý của một siêu miền. phần “Commercers mit IP XYZ [Lưu ý.: IP Tôi đã gọi, vì vậy tôi có thể tìm kiếm các bản ghi máy chủ sau khi ngày mai chỉ IP của tôi) – trang web tuyệt vời tại www.commercers.com” mà có thể so sánh với các thông tin, mà kết hợp các chương trình. Và bạn có thể thấy rõ, rằng cả hai chủ đề mail và nội dung email làm cho không có ý nghĩa thực tế. Tôi sẽ không đưa ra ý tưởng phải trả một hóa đơn xuất sắc bị cáo buộc, vì nó là trong một bối cảnh như vậy.
2. Tôi cũng quan sát thấy hiện tượng đăng ký khách hàng mang tính hệ thống. Các đôi opt-in cho khách hàng đăng ký được kích hoạt. Mỗi khách hàng trước tiên phải bấm vào liên kết trong email trước khi có thể đăng nhập, cho ví dụ. để lưu trữ dữ liệu địa chỉ (theo hình thức đăng ký được truy vấn NO địa chỉ!). Đáng ngạc nhiên, tuy nhiên, tất cả các tài khoản được tạo ra bởi chương trình với một địa chỉ đầy đủ (tất cả từ Úc) gửi. Vì vậy, các chương trình có tùy chọn để gửi các địa chỉ đã đăng ký trong, như bạn có lẽ có thể giả định, rằng người Nga angespamte khó sẽ tiến hành ký, tiền gửi đến một địa chỉ Úc 😉
3. Đây là một chiết xuất hiện từ nhật ký máy chủ:

   Hier.die.BOT.IP - - [06/Jun / 2018:20:04:45 +0200] "POST / khách hàng / tài khoản / createpost HTTP / 1.1" 302 - "https://www.hiermeineshopurl.de/customer/account/create" "Mozilla / 5.0 (windows NT 6.1; Win64; x64) AppleWebKit / 537,36 (KHTML, như Gecko) Chrome / 62.0.3202.94 Safari / 537,36"
   Hier.die.BOT.IP - - [06/Jun / 2018:20:04:49 +0200] "GET /index.php/customer/account/index/ HTTP / 1.1" 302 - "https://www.hiermeineshopurl.de/customer/account/create" "Mozilla / 5.0 (windows NT 6.1; Win64; x64) AppleWebKit / 537,36 (KHTML, như Gecko) Chrome / 62.0.3202.94 Safari / 537,36"
   Hier.die.BOT.IP - - [06/Jun / 2018:20:04:51 +0200] "GET /index.php/customer/account/login/ HTTP / 1.1" 200 9870 "https://www.hiermeineshopurl.de/customer/account/create" "Mozilla / 5.0 (windows NT 6.1; Win64; x64) AppleWebKit / 537,36 (KHTML, như Gecko) Chrome / 62.0.3202.94 Safari / 537,36"

4. Một người truy cập thường xuyên vào trang web cũng là Mail.RU_Bot / 2.0 với các mục sau đây

   Hier.die.Bot.IP - - [06/Jun / 2018:00:19:53 +0200] "GET /robots.txt HTTP / 1.0" 200 67 "-" "Mozilla / 5.0 (tương hợp; Linux x86_64; Mail.RU_Bot / 2.0; +http://go.mail.ru/help/robots)"

   Thật là thú vị, rằng nó rõ ràng là đọc robots.txt trên khán đài, rằng ông nên làm từ lĩnh vực này vui lòng. nhưng ngứa ông không phải là rất, vì nó nhận được công việc siêng năng phù hợp với việc đọc này và bên cạnh chỉ báo bằng ví dụ:

   Hier.die.Bot.IP - - [06/Jun / 2018:01:51:34 +0200] "GET /index.php/contacts/ HTTP / 1.1" 200 9208 "-" "Mozilla / 5.0 (tương hợp; Linux x86_64; Mail.RU_Bot / 2.0; +http://go.mail.ru/help/robots)"

   (URL http://cách go.mail.ru/help/robots, không giúp đỡ thêm. Nhưng tôi không nghĩ rằng, bot tự nó là một vấn đề, như Mail.ru là nhà cung cấp email pháp lý. nhưng phải có ở bên anh không được nêu ra.)

5. Nói tóm lại cho ngày hôm nay:
   • Các chương trình sử dụng một khả năng tại tạo tài khoản bình thường để đi qua. Vì vậy, nó không được giữ reCaptcha trên.
   • Các chương trình cũng có thể chỉ cần ra khỏi registry cho đến địa chỉ. Nhìn vào register.phtml để, các trường địa chỉ được lưu trữ ở đó,, tuy nhiên “giấu”. Do đó, họ không quan tâm cho người dùng bình thường- và để điền. vì vậy đây sẽ là một phù hợp Hũ mật ong.

cập nhật từ 12.06.2018

Sau khi tất cả đã làm không quá nhiều, Tôi cố gắng một lần nữa các Magento Captcha riêng. Tôi vô hiệu hóa reCaptcha Google và kích hoạt Captcha mặc định. Mặc dù trước đây tôi cài đặt nó đã chỉ (S. ảnh chụp màn hình ở trên) có, Tôi cố gắng một lần nữa. Lo và kìa: nó làm việc. Kể từ đó, không có đăng ký Spam hơn. Theo bản ghi máy chủ sẽ tiếp tục cố gắng truy cập Cửa hàng, bởi .htaccess và (có lẽ) nhưng Captcha không đăng ký chương trình bằng.

Chúng ta hãy xem. Nếu có cái gì đó mới, tôi đăng nhập.

Sử dụng cờ trong Magento 1.9