Probeer je WordPress registratie spam naar je website te stoppen?

Vanwege de enorme populariteit van WordPress is het platform een interessant doelwit voor spammers van over de hele wereld. Wat ze willen bereiken, kan verschillende vormen aannemen. Een deel wil misschien toegang krijgen tot je website, anderen spammen graag je community plat, bijvoorbeeld door je forum te vullen met spam.

Als je je WordPress website zo hebt ingesteld dat gebruikers zich openbaar kunnen registeren, kun je er donder op zeggen dat je problemen gaat krijgen met spamregistraties.

In dit artikel kom je erachter hoe je het aantal spamregistraties kunt verminderen door een mix van ingebouwde WordPress features en gratis plugins.

Het standaard registratieproces bij WordPress

Voordat we met de tactieken beginnen, is het handig om het eerst over het standaard registratieproces bij WordPress te hebben.

Als je openbare registratie toestaat op je website, is de standaard registratiepagina bij WordPress te vinden op https://jouwsite.com/wp-login.php?action=register:

Het standaard registratieformulier van WordPress
Het standaard registratieformulier van WordPress

Zoals je kunt zien is er weinig dat kwaadwillenden of bots tegenhoudt.

Bots kunnen rechtstreeks naar jouw registratiepagina gaan (of welke registratiepagina dan ook) door dezelfde “formule” toe te voegen aan het eind van elk WordPress domein. Er is niets dat ze weerhoudt.

Zo stop je WordPress registratiespam

Er zijn verschillende strategieën die je kunt toepassen om WordPress registratiespam te stoppen. Afhankelijk van je website en hoe ernstig het probleem is, hoef je maar één van deze strategieën toe te passen, of moet je juist zoveel mogelijk manieren combineren om de spam te stoppen.

Dit is een volledige lijst van de strategieën:

Volledig uitschakelen van de WordPress registratie

Allereerst, als je geen openbare registratie op je WordPress website nodig hebt, kun je het beste de registratie volledig uitschakelen.

Wanneer je andere mensen gebruikersaccounts op je website wilt kunnen geven, zijn daar ook andere manieren voor dan openbare registratie. Wil je bijvoorbeeld een klein aantal mensen een eigen account geven, dan kun je deze accounts handmatig voor ze aanmaken.

Om de registratie volledig uit te schakelen, ga je naar Instellingen → Algemeen en zorg je dat het selectievakje  Iedereen kan registeren uit staat:

Zo schakel je registratie bij WordPress uit
Zo schakel je registratie bij WordPress uit

Nadat je de registratie uitgeschakeld hebt, krijgt iedereen die naar de standaard registratiepagina gaat dit bericht te zien:

Een voorbeeld van een uitgeschakelde registratie
Een voorbeeld van een uitgeschakelde registratie

Voeg een CAPTCHA toe aan je registratieformulier

Een andere manier om registratiespam te verminderen, is door een CAPTCHA toe te voegen aan het standaard registratieformulier van WordPress.

Er zijn verschillende CAPTCHA’s die je kunt gebruiken, maar de meeste mensen vinden de reCAPTCHA van Google het meest gebruiksvriendelijk (ook bekend als No CAPTCHA reCAPTCHA). Deze dienst probeert onzichtbaar te zijn voor normale menselijke bezoekers, terwijl er wel een CAPTCHA test wordt getoond aan bezoekers die waarschijnlijk bots zijn.

Om NoCAPTCHA reCAPTCHA toe te voegen aan je WordPress registratieformulier, kun je de gratis Advanced noCaptcha & invisible Captcha (v2 & v3) plugin gebruiken.

Je kunt de plugin installeren door eerst een gratis reCAPTCHA API key bij Google te genereren. Dat doe je door simpelweg je website in te voeren en te kiezen welke type reCAPTCHA je wilt gebruiken:

Genereren van reCAPTCHA API key
Genereren van reCAPTCHA API key

Daarna ga je naar Instellingen → Advanced noCaptcha & invisible captcha om de plugin klaar te zetten:

  • Kies de gewenste versie (let erop dat deze overeenkomt met wat je hebt geselecteerd bij het aanmaken van je API key).
  • Voeg je site key en secret key toe (Google geeft je deze nadat je het formulier uit het vorige screenshot hebt verstuurd ).
  • Kies waar je CAPTCHA wilt gebruiken. Naast je registratieformulier kun je het ook op andere plekken inschakelen, zoals bij je inlogformulier.
Zo configureer je reCAPTCHA bij WordPress
Zo configureer je reCAPTCHA bij WordPress

Als je je veranderingen opgeslagen hebt zou je het CAPTCHA formulier moeten zien bij je registratiepagina, tenzij je natuurlijk gekozen hebt voor een onzichtbare methode. In dat geval zou het alleen zichtbaar zijn voor verdachte bezoekers.

Een voorbeeld van reCAPTCHA bij het standaard registratieformulier
Een voorbeeld van reCAPTCHA bij het standaard registratieformulier

Gebruik een WordPress registratiespam-plugin

Sommige algemene WordPress anti-spamplugins kunnen ook helpen bij het verminderen van registratiespam bij WordPress, naast de spam op andere plekken zoals je reacties.

Helaas werkt de populaire Akismet reactiespam-plugin van Automattic niet voor spamregistraties, maar enkele populaire opties die dit wel doen zijn:

Voor deze plugins geldt dat ze zich niet beperken tot spamregistraties, maar ook in het algemeen helpen bij het blokkeren van spam.

Zorg ervoor dat admins nieuwe gebruikers moeten goedkeuren

Als je, naast de spamaccounts zelf, zorgen hebt over wat mensen doen na het registreren, is het een goed idee om ervoor te zorgen dat je admins nieuwe gebruikers moeten goedkeuren.

Als je bijvoorbeeld bang bent dat mensen je bbPress forum of BuddyPress community gaan spammen, kun je dat voorkomen door goedkeuring te vereisen.

Maar als je veel spamregistraties krijgt en alleen de admin-goedkeuring implementeert, zou je al snel helemaal ondergesneeuwd kunnen raken door alle registraties.

Om goedkeuring voor nieuwe gebruikers af te dwingen, kun je de gratis plugin WP Approve User gebruiken.

Dit is vooral handig als je dit combineert met een CAPTCHA of andere strategie. Op die manier filtert de CAPTCHA de eenvoudige, automatische spamregistraties er alvast uit, en hoef jij (of je admins) alleen de echte registraties te beoordelen.

Nadat je de plugin geïnstalleerd en geactiveerd hebt, werkt het meteen. Al je bestaande gebruikers worden direct goedgekeurd om problemen te voorkomen.

Nieuwe gebruikers zullen nu handmatig goedgekeurd moeten worden. Dit kun je doen vanuit het al bestaande gebied Users binnen je WordPress dashboard.

Goedkeuren van gebruikers met de WP Approve User plugin
Goedkeuren van gebruikers met de WP Approve User plugin

Je hebt ook de mogelijkheid om e-mails te sturen wanneer een gebruiker is:

  • Goedgekeurd
  • Geweigerd

Je kunt deze mails inschakelen en de content aanpassen door naar Instellingen → Approve User te gaan.

Blokkeer kwaadaardige IP-adressen

Komen veel van je nepregistraties van dezelfde IP-adressen? Dan kun je het probleem aanzienlijk verkleinen door die adressen de toegang tot je site volledig te blokkeren.

Klanten van Kinsta kunnen de IP deny tool in het Kinsta dashboard gebruiken. Deze vind je door de site met problemen te openen en de IP Deny optie te kiezen in de zijbalk van het dashboard van die website:

Zo blokkeer je IP-adressen met MyKinsta
Zo blokkeer je IP-adressen met MyKinsta

De meeste cPanel hosts zullen je een IP-blokkeertool geven.

Verander de WordPress registratie-URL

Wil je liever wat “security by obscurity” oftewel “beveiliging door verberging” toevoegen aan je registratiepagina? Om de allerdomste bots te dwarsbomen, kun je de URL veranderen van je registratiepagina.

De registratiepagina is onderdeel van de WordPress inlogpagina dus je kunt dit doen met elke plugin waarmee je de inlog-URL van WordPress kan wijzigen.

Een goed voorbeeld is de gratis WPS Hide Login plugin.

Na het installeren van de plugin ga je naar Instellingen → WPS Hide Login om de nieuwe URL in te voeren. Je kunt vervolgens de standaard URL redirecten naar een andere pagina, zoals je 404-pagina.

Zo verander je de WordPress registratie-URL
Zo verander je de WordPress registratie-URL

Als je bijvoorbeeld je login-URL verandert naar jouwsite.com/sneakylogin zal de standaard URL van de registratiepagina niet langer werken. Je nieuwe registratiepagina zal zich bevinden op jouwsite.com/sneakylogin/?action=register.

Gebruik een WordPress plugin voor een aangepast registratieformulier

Nog een goed alternatief om WordPress registratiespam te stoppen is door een plugin voor aangepaste WordPress registratieformulieren te gebruiken.

Deze plugins omzeilen het normale WordPress registratieproces en implementeren een aantal handige anti-spamtactieken, zoals:

  • Aangepaste registratie-URL – door de registratie-URL te veranderen van de standaard URL worden de simpelste spambots gestopt. Het houdt echt niet alles tegen.
  • E-mailbevestiging – dit voorkomt dat spamregistraties niet langere valse e-mailadressen kunnen gebruiken, omdat nieuwe gebruikers een bevestigingsmail krijgen. Reageert een gebruiker niet op de bevestigingsmail, dan zal de plugin de inschrijving niet accepteren.
  • Toestemming van de admin voor nieuwe gebruikers – deze plugins helpen je bij het implementeren van toestemming van de admin zoals we eerder bespraken.
  • Spampreventie – deze plugins helpen je om CAPTCHA of “honeypot velden” toe te voegen aan je aangepaste inschrijvingsformulier.

Veel algemene WordPress plugins voor formulieren bieden ook de mogelijkheid om aangepaste registratieformulieren te maken, mét anti-spam features. Het nadeel is alleen dat je de registratie features pas bij de premium versie krijgt. Mocht je inderdaad bereid zijn te betalen, dan zijn enkele goede opties:

Laten we nu eens kijken naar hoe je twee gratis oplossingen kunt gebruiken om registratiespam te stoppen. We gebruiken hiervoor de plugins User Registration en Profile Builder.

1. User Registration

Wanneer je de gratis plugin User Registration installeert, geeft dat je de mogelijkheid om automatisch je eigen aangepaste registratiepagina aan te maken op jouwsite.com/registration ( je kunt deze URL altijd nog veranderen).

Je krijgt diverse mogelijkheden om spam te verminderen – op verschillende plekken in het registratieproces.

Als eerste, onder het tabblad General Options van de instellingen van de plugin, kun je de User login option dropdown gebruiken om in te schakelen dat admins nieuwe gebruikers goed moeten keuren:

Inschakelen van admin goedkeuring in de User Registration plugin
Inschakelen van admin goedkeuring in de User Registration plugin

Je kunt ook naar het tabblad Integration gaan om de Google reCaptcha in te stellen (je hebt je API keys nodig – je kunt dezelfde stappen doornemen als eerder in dit artikel):

Inschakelen van reCAPTCHA in de User Registration plugin
Inschakelen van reCAPTCHA in de User Registration plugin

Je kunt CAPTCHA inschakelen voor een specifiek registratieformulier door ook dat formulier aan te passen en in te schakelen. Wanneer je een formulier aanpast, kun je ook extra velden met informatie over een profiel toevoegen, mocht je dat willen.

2. Profile Builder

De gratis Profile Builder plugin volgt ongeveer hetzelfde proces.

Om je registratievelden te customizen, ga je naar Profile Builder → Form Fields. Voor het toevoegen van een CAPTCHA aan je formulier kun je een reCAPTCHA veld toevoegen, waarbij je je API keys moet gebruiken:

Toevoegen van een CAPTCHA veld in de Profile Builder plugin
Toevoegen van een CAPTCHA veld in de Profile Builder plugin

Om vervolgens je aangepaste registratieformulier weer te geven, voeg je de [wppb-register] shortcode  toe, ergens op je website.

Profile Builder biedt ook een feature om gebruikers eerst goedkeuring van admins te laten krijgen, maar die is alleen beschikbaar in de premium versie.

Samenvatting

Wanneer je openbare registratie moet toestaan op je WordPress website, kunnen spamregistraties erg frustrerend zijn. Gelukkig kun je de spam verminderen of zelfs helemaal stoppen door verschillende tactieken te combineren.

De meest eenvoudige optie is door een NoCAPTCHA reCAPTCHA toe te voegen aan het standaard inschrijvingsformulier van WordPress. De meeste menselijke bezoekers zullen geen verschil zien, maar Google geeft de CAPTCHA testen aan verdachte bezoekers (bots) zodat ze geen spamregistraties meer kunnen produceren.

Wil je een complete herziening, dan kun je ook een speciale WordPress registratieplugin gebruiken om een aangepast registratieformulier te maken met specifieke anti-spameigenschappen, naast features zoals het vereisen van goedkeuring van admins voor nieuwe gebruikers.

Matteo Duò Kinsta

Hoofdredacteur bij Kinsta en content marketing consultant voor WordPress plugin-ontwikkelaars. Verbind met <a href="">Matteo op Twitter.