Probeer je WordPress registratie spam naar je website te stoppen?
Vanwege de enorme populariteit van WordPress is het platform een interessant doelwit voor spammers van over de hele wereld. Wat ze willen bereiken, kan verschillende vormen aannemen. Een deel wil misschien toegang krijgen tot je website, anderen spammen graag je community plat, bijvoorbeeld door je forum te vullen met spam.
Als je je WordPress website zo hebt ingesteld dat gebruikers zich openbaar kunnen registeren, kun je er donder op zeggen dat je problemen gaat krijgen met spamregistraties.
In dit artikel kom je erachter hoe je het aantal spamregistraties kunt verminderen door een mix van ingebouwde WordPress features en gratis plugins.
Het standaard registratieproces bij WordPress
Voordat we met de tactieken beginnen, is het handig om het eerst over het standaard registratieproces bij WordPress te hebben.
Als je openbare registratie toestaat op je website, is de standaard registratiepagina bij WordPress te vinden op https://jouwsite.com/wp-login.php?action=register:
Zoals je kunt zien is er weinig dat kwaadwillenden of bots tegenhoudt.
Bots kunnen rechtstreeks naar jouw registratiepagina gaan (of welke registratiepagina dan ook) door dezelfde “formule” toe te voegen aan het eind van elk WordPress domein. Er is niets dat ze weerhoudt.
Zo stop je WordPress registratiespam
Er zijn verschillende strategieën die je kunt toepassen om WordPress registratiespam te stoppen. Afhankelijk van je website en hoe ernstig het probleem is, hoef je maar één van deze strategieën toe te passen, of moet je juist zoveel mogelijk manieren combineren om de spam te stoppen.
Dit is een volledige lijst van de strategieën:
Volledig uitschakelen van de WordPress registratie
Allereerst, als je geen openbare registratie op je WordPress website nodig hebt, kun je het beste de registratie volledig uitschakelen.
Wanneer je andere mensen gebruikersaccounts op je website wilt kunnen geven, zijn daar ook andere manieren voor dan openbare registratie. Wil je bijvoorbeeld een klein aantal mensen een eigen account geven, dan kun je deze accounts handmatig voor ze aanmaken.
Om de registratie volledig uit te schakelen, ga je naar Instellingen → Algemeen en zorg je dat het selectievakje Iedereen kan registeren uit staat:
Nadat je de registratie uitgeschakeld hebt, krijgt iedereen die naar de standaard registratiepagina gaat dit bericht te zien:
Voeg een CAPTCHA toe aan je registratieformulier
Een andere manier om registratiespam te verminderen, is door een CAPTCHA toe te voegen aan het standaard registratieformulier van WordPress.
Er zijn verschillende CAPTCHA’s die je kunt gebruiken, maar de meeste mensen vinden de reCAPTCHA van Google het meest gebruiksvriendelijk (ook bekend als No CAPTCHA reCAPTCHA). Deze dienst probeert onzichtbaar te zijn voor normale menselijke bezoekers, terwijl er wel een CAPTCHA test wordt getoond aan bezoekers die waarschijnlijk bots zijn.
Om NoCAPTCHA reCAPTCHA toe te voegen aan je WordPress registratieformulier, kun je de gratis Advanced noCaptcha & invisible Captcha (v2 & v3) plugin gebruiken.
Je kunt de plugin installeren door eerst een gratis reCAPTCHA API key bij Google te genereren. Dat doe je door simpelweg je website in te voeren en te kiezen welke type reCAPTCHA je wilt gebruiken:
Daarna ga je naar Instellingen → Advanced noCaptcha & invisible captcha om de plugin klaar te zetten:
- Kies de gewenste versie (let erop dat deze overeenkomt met wat je hebt geselecteerd bij het aanmaken van je API key).
- Voeg je site key en secret key toe (Google geeft je deze nadat je het formulier uit het vorige screenshot hebt verstuurd ).
- Kies waar je CAPTCHA wilt gebruiken. Naast je registratieformulier kun je het ook op andere plekken inschakelen, zoals bij je inlogformulier.
Als je je veranderingen opgeslagen hebt zou je het CAPTCHA formulier moeten zien bij je registratiepagina, tenzij je natuurlijk gekozen hebt voor een onzichtbare methode. In dat geval zou het alleen zichtbaar zijn voor verdachte bezoekers.
Gebruik een WordPress registratiespam-plugin
Sommige algemene WordPress anti-spamplugins kunnen ook helpen bij het verminderen van registratiespam bij WordPress, naast de spam op andere plekken zoals je reacties.
Helaas werkt de populaire Akismet reactiespam-plugin van Automattic niet voor spamregistraties, maar enkele populaire opties die dit wel doen zijn:
Voor deze plugins geldt dat ze zich niet beperken tot spamregistraties, maar ook in het algemeen helpen bij het blokkeren van spam.
Zorg ervoor dat admins nieuwe gebruikers moeten goedkeuren
Als je, naast de spamaccounts zelf, zorgen hebt over wat mensen doen na het registreren, is het een goed idee om ervoor te zorgen dat je admins nieuwe gebruikers moeten goedkeuren.
Als je bijvoorbeeld bang bent dat mensen je bbPress forum of BuddyPress community gaan spammen, kun je dat voorkomen door goedkeuring te vereisen.
Maar als je veel spamregistraties krijgt en alleen de admin-goedkeuring implementeert, zou je al snel helemaal ondergesneeuwd kunnen raken door alle registraties.
Om goedkeuring voor nieuwe gebruikers af te dwingen, kun je de gratis plugin WP Approve User gebruiken.
Dit is vooral handig als je dit combineert met een CAPTCHA of andere strategie. Op die manier filtert de CAPTCHA de eenvoudige, automatische spamregistraties er alvast uit, en hoef jij (of je admins) alleen de echte registraties te beoordelen.
Nadat je de plugin geïnstalleerd en geactiveerd hebt, werkt het meteen. Al je bestaande gebruikers worden direct goedgekeurd om problemen te voorkomen.
Nieuwe gebruikers zullen nu handmatig goedgekeurd moeten worden. Dit kun je doen vanuit het al bestaande gebied Users binnen je WordPress dashboard.
Je hebt ook de mogelijkheid om e-mails te sturen wanneer een gebruiker is:
- Goedgekeurd
- Geweigerd
Je kunt deze mails inschakelen en de content aanpassen door naar Instellingen → Approve User te gaan.
Blokkeer kwaadaardige IP-adressen
Komen veel van je nepregistraties van dezelfde IP-adressen? Dan kun je het probleem aanzienlijk verkleinen door die adressen de toegang tot je site volledig te blokkeren.
Klanten van Kinsta kunnen de IP deny tool in het Kinsta dashboard gebruiken. Deze vind je door de site met problemen te openen en de IP Deny optie te kiezen in de zijbalk van het dashboard van die website:
De meeste cPanel hosts zullen je een IP-blokkeertool geven.
Verander de WordPress registratie-URL
Wil je liever wat “security by obscurity” oftewel “beveiliging door verberging” toevoegen aan je registratiepagina? Om de allerdomste bots te dwarsbomen, kun je de URL veranderen van je registratiepagina.
De registratiepagina is onderdeel van de WordPress inlogpagina dus je kunt dit doen met elke plugin waarmee je de inlog-URL van WordPress kan wijzigen.
Een goed voorbeeld is de gratis WPS Hide Login plugin.
Na het installeren van de plugin ga je naar Instellingen → WPS Hide Login om de nieuwe URL in te voeren. Je kunt vervolgens de standaard URL redirecten naar een andere pagina, zoals je 404-pagina.
Als je bijvoorbeeld je login-URL verandert naar jouwsite.com/sneakylogin zal de standaard URL van de registratiepagina niet langer werken. Je nieuwe registratiepagina zal zich bevinden op jouwsite.com/sneakylogin/?action=register.
Gebruik een WordPress plugin voor een aangepast registratieformulier
Nog een goed alternatief om WordPress registratiespam te stoppen is door een plugin voor aangepaste WordPress registratieformulieren te gebruiken.
Deze plugins omzeilen het normale WordPress registratieproces en implementeren een aantal handige anti-spamtactieken, zoals:
- Aangepaste registratie-URL – door de registratie-URL te veranderen van de standaard URL worden de simpelste spambots gestopt. Het houdt echt niet alles tegen.
- E-mailbevestiging – dit voorkomt dat spamregistraties niet langere valse e-mailadressen kunnen gebruiken, omdat nieuwe gebruikers een bevestigingsmail krijgen. Reageert een gebruiker niet op de bevestigingsmail, dan zal de plugin de inschrijving niet accepteren.
- Toestemming van de admin voor nieuwe gebruikers – deze plugins helpen je bij het implementeren van toestemming van de admin zoals we eerder bespraken.
- Spampreventie – deze plugins helpen je om CAPTCHA of “honeypot velden” toe te voegen aan je aangepaste inschrijvingsformulier.
Veel algemene WordPress plugins voor formulieren bieden ook de mogelijkheid om aangepaste registratieformulieren te maken, mét anti-spam features. Het nadeel is alleen dat je de registratie features pas bij de premium versie krijgt. Mocht je inderdaad bereid zijn te betalen, dan zijn enkele goede opties:
- Gravity Forms met de User Registration addon (te krijgen bij de Elite licentie)
- Formidable Forms met de User Registration addon (te krijgen bij de Business licentie)
Laten we nu eens kijken naar hoe je twee gratis oplossingen kunt gebruiken om registratiespam te stoppen. We gebruiken hiervoor de plugins User Registration en Profile Builder.
1. User Registration
Wanneer je de gratis plugin User Registration installeert, geeft dat je de mogelijkheid om automatisch je eigen aangepaste registratiepagina aan te maken op jouwsite.com/registration ( je kunt deze URL altijd nog veranderen).
Je krijgt diverse mogelijkheden om spam te verminderen – op verschillende plekken in het registratieproces.
Als eerste, onder het tabblad General Options van de instellingen van de plugin, kun je de User login option dropdown gebruiken om in te schakelen dat admins nieuwe gebruikers goed moeten keuren:
Je kunt ook naar het tabblad Integration gaan om de Google reCaptcha in te stellen (je hebt je API keys nodig – je kunt dezelfde stappen doornemen als eerder in dit artikel):
Je kunt CAPTCHA inschakelen voor een specifiek registratieformulier door ook dat formulier aan te passen en in te schakelen. Wanneer je een formulier aanpast, kun je ook extra velden met informatie over een profiel toevoegen, mocht je dat willen.
2. Profile Builder
De gratis Profile Builder plugin volgt ongeveer hetzelfde proces.
Om je registratievelden te customizen, ga je naar Profile Builder → Form Fields. Voor het toevoegen van een CAPTCHA aan je formulier kun je een reCAPTCHA veld toevoegen, waarbij je je API keys moet gebruiken:
Om vervolgens je aangepaste registratieformulier weer te geven, voeg je de [wppb-register] shortcode toe, ergens op je website.
Profile Builder biedt ook een feature om gebruikers eerst goedkeuring van admins te laten krijgen, maar die is alleen beschikbaar in de premium versie.
Samenvatting
Wanneer je openbare registratie moet toestaan op je WordPress website, kunnen spamregistraties erg frustrerend zijn. Gelukkig kun je de spam verminderen of zelfs helemaal stoppen door verschillende tactieken te combineren.
De meest eenvoudige optie is door een NoCAPTCHA reCAPTCHA toe te voegen aan het standaard inschrijvingsformulier van WordPress. De meeste menselijke bezoekers zullen geen verschil zien, maar Google geeft de CAPTCHA testen aan verdachte bezoekers (bots) zodat ze geen spamregistraties meer kunnen produceren.
Wil je een complete herziening, dan kun je ook een speciale WordPress registratieplugin gebruiken om een aangepast registratieformulier te maken met specifieke anti-spameigenschappen, naast features zoals het vereisen van goedkeuring van admins voor nieuwe gebruikers.
Hoofdredacteur bij Kinsta en content marketing consultant voor WordPress plugin-ontwikkelaars. Verbind met <a href="">Matteo op Twitter.
Hoi,
Ik heb een CAPTCHA aan mijn aanmeldingsformulier toegevoegd. Maar er blijven spamgebruikers zich registreren.
Enig idee wat ik nu nog kan doen, ik wil het mijn echte webshop klanten niet moeilijk maken dus ik hoor graag wat de klantvriendelijkste mogelijkheden zijn.
Bedankt alvast!
Groet,
Lisa