Как ограничить число регистраций?

Question

[Александр]

Здравствуйте. Как можно ограничить количество регистраций пользователей до 10к например? Чтобы как только будет 10к юзеров зарегистрированных, дальнейшее создание аккаунтов было невозможным. Плагин или скрипт?

И чтобы боты тоже не могли региться. А то боты могут обходить запрет на регистрацию даже при убранной галке в настройках Общие.

Comments

[Владимир Брумер]

Как ограничить число регистраций?

совсем обленился народ

И чтобы боты тоже не могли региться. А то боты могут обходить запрет на регистрацию даже при убранной галке в настройках Общие.

Дырки при первой же установки WordPress надо закрывать:
wp-login
wp-admin
xmlrpc
wp-comments-post
избавиться от wp-content (можно при желании вовсе сигнатуры wp убить через фильтры и акшны)
и т.д.

[Александр Торопов]

Владимир Брумер, как закрыть:
wp-login
wp-admin
xmlrpc
wp-comments-post
?

[Александр]

Александр Торопов, любой плагин безопасности устанавливаешь и всё. Например ithemes security или как то так называется.

[Владимир Брумер]

Александр Торопов, wp-admin:

используем add_filter('auth_redirect_scheme','stop_redirect',9999); //проверяем если пользователь не авторизован, отдаем, к примеру, 404 страницу при обращении на .../wp-admin или .../admin вместо редиректа на страницу авторизации

для multisite можем использовать init для редиректов

что-то похожее на

if(is_multisite()&&!get_option('users_can_register')){add_action('init','функция');}

add_filter('site_url','функция',10,3);//подменяем wp-login на свой. Аналогично с wp-comments-post

add_filter('mod_rewrite_rules','функция'); //рулим через .htaccess Дефолтный wp-login, на свою кастомную после смыны. Дефолтный wp-login блочим тут же, либо через настройки веб сервера, например Nginx. Аналогично с wp-comments-post

чтобы рулы вписались в .htaccess надо обновить(нажать на кнопку «Сохранить изменения») пост. ссылки



блочим так же любые обращения к wp-config.php, либо перемещаем файл на директорию выше... многое можно блочить в настройках сервера, если есть доступ ( не забываем тут и о fail2ban)

например Nginx

location ~ (xmlrpc|wp-comments-post|wp-config|wp-config-sample|wp-login)\.php$ {
				error_page   404 /my_super_404.html;
				return 404;
}

события и фильтры для авторизации и регистрации для постоения свое логики защиты, в том числе от брутфорса(перебора):

add_action('register_form','функция',10,1);
add_action('login_form','функция');
add_action('login_enqueue_scripts','функция');
add_filter('wp_authenticate_user','функция',10,2);
add_filter('registration_errors','функция');
add_filter('login_headerurl','функция');
add_filter('login_headertext','функция');
add_action('login_footer','функция');
add_filter('login_redirect','функция');
add_action('wp_logout','функция');

комментарии

add_action('comment_form','функция');
add_action('pre_comment_on_post','функция',0);
add_action('init','функция');

остатки + тот минимум для скрытия сигнатур wp:

add_filter('xmlrpc_enabled','__return_false');
add_filter('the_generator','__return_empty_string');
remove_action('wp_head','rsd_link');//Используется различными блог-клиентами или веб-сервисами для публикации/изменения записей в блоге.
remove_action('wp_head','feed_links',2);
remove_action('wp_head','feed_links_extra',3);
// remove_action('wp_head','rel_canonical');//Убирает канонические линки
remove_action('wp_head','wlwmanifest_link');// Используется блог-клиентами, а вернее лишь одним из них - Windows Live Writer. Не используете WLW - удаляйте.
remove_action('wp_head','wp_resource_hints',2);//dns-prefetch
remove_action('wp_head','wp_shortlink_wp_head');// Убирает короткую ссылку к текущей странице
remove_action('wp_head','wp_oembed_add_discovery_links');//alternate - application/json+oembed и alternate - text/xml+oembed
remove_action('wp_head','rest_output_link_wp_head',10,0);//alternate - application/json и rel api.w.org
remove_action('template_redirect','rest_output_link_header',11,0);//че-то с рест апи

кроме этого для скрытия сигнатур:
при создании записей проверять галочку «Разрешить уведомления и обратные ссылки» в обсуждении (должна быть убрана)



в некоторых случаях сигнатуры паляться через заданое имя файла скрипта, поэтому может понадобиться подключить/переподключить свое. Например,
если используется comment-reply - отключаем, но, если нужен, копипастим скрипт из файла в свой файл (возможно и свой jQuery)

избавляемся от wp-content:

wp-config.php

$vab_prot=!empty($_SERVER['HTTP_X_FORWARDED_PROTO'])?$_SERVER['HTTP_X_FORWARDED_PROTO']:'http';
define('WP_CONTENT_FOLDERNAME','my-super-content');
define('WP_CONTENT_DIR',ABSPATH . WP_CONTENT_FOLDERNAME) ;
define('WP_SITEURL',$vab_prot.'://'.$_SERVER['HTTP_HOST'].'/');
define('WP_CONTENT_URL',WP_SITEURL . WP_CONTENT_FOLDERNAME);

не забываем, что, если пользуемся костылями, будут лишние заморочки. Например читаем комментарии в том числе. Надо будет и в базе пути поправить (Search-Replace-DB в помощь)

бонусом

поменять клыссы в теге body
add_filter('body_class','функция');

многие могут сказать, что скрытие сигнатур никакой защиты не дает, но почему на серверах убирают сигнатуры системы и прочего...даже избавление от папки wp-content уже повысит безопасность.

з.ы. В интернете инфы валом... надо только проявить желание найти. И нюансов по этой теме очень много. возможно я что-то и упустил... в пару строк тут не уложиться. а если ещё и вукомерс подцепить... то и там, к примеру с сигнатурами потеть... не надо забывать, что все, что лежит в инете, лежит в свободном доступе (плагин или тема, сам движок), поэтому и лазейки появляются/меняются. Разрабы ВП дают возможность изменить структуру его движка, но тут надо понимать, что многий функционал, скорее всего, самому писать надо будет (но и цена будет - не пробиваемость)...

[Александр]

Владимир Брумер, все написанное реализует плагин безопасности выше. Или тут акцент, что не нужен плагин для этих действий? По сути тоже самое будет.

[Владимир Брумер]

Александр, кому как, признаюсь мало знаком с подобного рода плагинами... (если плагин функциональный, то пока его документацию изучишь или гайды посмотришь...) но посмотрел немного о плагине... не видел что-то о сигнатурах... да и в любом случае в конфиги сервера он не залезет... кроме того, если я верно понял, то он не предотвращает спам в комментах, а удаляет то, что считает спамом, что на мой взгляд не айс мягко говоря... как ни крути надо понимать, что ты делаешь и в любом случае вникать по полной... а то частенько ребята на хабр забегают по типу: ставим плагин супер кеширования и радуются, а через годик/другой приходят и паника... узнают, что год назад потерлась медиа библа и что теперь делать...¯\_(ツ)_/¯