¿Foi spamado coas inscricións de boletíns falsos? Aprende a protexer os teus formularios usando dobre opt-in, CAPTCHA e Cloudflare.
Backstory
Acordei ata 200 novos subscritores na newsletter do meu sitio,Vídeo.com¿Foi o meu sitio web finalmente viral?
Despois de comprobar os novos subscritores, notei que ninguén verificara os seus enderezos de correo electrónico, nin sequera un, que definitivamente non é unha confianza.
Despois de algunhas investigacións rápidas, entendín que realmente fora spam. pero todos os correos electrónicos parecen lexítimos.
[email protected]
[email protected]
[email protected]
[email protected]
Despois de algunha investigación inicial (introducindo os correos electrónicos enHábitosEditar), parece que a maioría destes enderezos de correo-e foron en algún tipo de hack ou violación.
Como podo evitar isto no futuro?
Alguén decidiu usar enderezos de correo electrónico comprometidos para spam meu formulario. ou para contaminar o meu boletín, para ver o lonxe que poderían ir, ou só porque poden?
O que aprendín
Cando fai algo dispoñible publicamente en Internet, haberá spammers, haberá bots e haberá persoas que intentan hackealo.
Acontece que este tipo de ataque de spam é máis común do que pensas (especialmente xa que o meuNewsletter do blogOs bots rastrexan a web e buscan formularios, xeralmente boletíns ou formularios de contacto, e logo comezan a enviar enderezos de correo electrónico "leaked".
Pero por que? aquí están algunhas razóns que cheguei con:
- que
- Para contaminar a súa lista de correo-e (se isto é un ataque persoal, o que non creo que sexa neste caso) que
- Para comprobar a validez dos correos electrónicos?? que
- Para molestar os propietarios de enderezos de correo electrónico perdidos ao subscribirse a miles de boletíns que
- Para molestar ao propietario do sitio web (me) que
Como o fixen
Teño algunhas solucións para este problema.
Paso 1: habilita a opción Double Opt-in
O primeiro e máis importante paso é asegurarse de que todos os seus boletíns sexan "doble opt-in", o que significa que o usuario debe confirmar o seu enderezo de correo electrónico antes de subscribirse.
En Listmonk (o software de boletíns que estou a usar), asegúrese de que a lista á que está subscribindo os seus usuarios édouble opt in.
Isto significa que mesmo se o seu formulario recibe spam, pode simplemente eliminar todos os enderezos que non verificaron o seu correo electrónico (despois dun par de días / semanas).
Queres saber como configurar o teu propio boletín auto-hostado con Listmonk?Como configurar unha newsletter auto-hosted usando Listmonk. .
Paso 2: Engadir Captcha ou Cloudflare JS Challenge
O segundo paso que tomei foi habilitar algún tipo de captcha. Inicialmente, configurei un HCaptcha a través de Listmonk. Pero non creo que sexa a mellor solución, xa que é unha especie de molestia.Vídeo.comnewsletter. Se vostede está interesado en como facelo, aquí está como:
- que
- Abre a listaMonk Web UI que
- Ir ás configuracións que
- En Seguridade, habilite captcha e introduza unha clave de API de hCaptcha.com (precisará primeiro rexistrarse en hcaptcha.com) que
Con todo, con esta configuración, se está a usar formularios personalizados (como o formulario de subscrición de correo electrónico abaixo), o proceso de envío será un pouco roto.
Así que, en vez diso, o que eu vin e estou a usar actualmente en4oGalicia.comNewsletter é usar Cloudflare JS Challenge nun subdominio específico.
A forma en que configurei a miña newsletter de correo electrónico é que teño Listmonk en execuciónnewsletter.4rkal.comun subdominio separado.
Isto significa que podo configurar ese subdominio específico como "baixo ataque" en Cloudflare e pedir aos usuarios que ás veces completen un captcha.
Para facer isto:
- que
- Ir a cloudflare.com que
- Inicie sesión e vaia ao dashboard do seu dominio específico que
- En Seguridade seleccione WAF que
- Fai clic en Crear unha regra que
- Dálle calquera nome que
- En Campo seleccione nome de host e en Operador seleccione wildcard, en Valor introduza o subdominio, no meu caso, que é newsletter.4rkal.com. A expresión debería parecer así (http.host wildcard "newsletter.4rkal.com") que
- En Seleccione unha acción seleccione JS Challenge que
- Fai clic en gardar que
E iso é sobre iso.
Resumo
Obter o seu sitio web spam nunca é divertido, pero espero que este artigo puidese dar claridade ás persoas que pasan polo mesmo problema que eu.
Subscrición
Únete á nosa newsletter aquí:https://newsletter.4rkal.com/subscription/form
