Anmeldem odul verschieben
Eingetragen von hallopaps (25)am 21.11.2013 - 23:25 Uhr in
Hallo Allerseits,
ich bin als Anfänger dabei, eine Drupalseite (Version 7.24) zu erstellen. Nun habe ich das Problem, dass ich wiederholt Fakeanmeldungen habe. Dies habe ich zwar durch Honeypot und Captcha stark abmildern können, trotzdem rutschen noch ein paar durch.
Jetzt kam mir die Idee, das Anmeldemodul, das ja standardmäßig auf der Eingangsseite zu sehen ist, auf eine separate Seite zu verschieben und auf der Eingangsseite zu löschen. Meine Hoffnung ist, dass die Spambots (die ja für die meisten Fakeanmeldungen zuständig sind?) das Anmeldemodul nicht finden und sich dadurch nicht anmelden können.
Meine Fragen:
1. Ist das möglich?
2. Wenn ja, bringt das was?
3. Wenn ja, wie geht das? (Bitte: bin Neuling, daher wäre eine Anleitung ala: "nimm das und mache dieses" sehr nett ;-) )
4. Wenn es so eingerichtet werden kann, finden die anderen Module und Seiten noch das Anmeldemodul? Einige Seiten sind z.B. nur für angemeldete User vorgesehen (soll noch durch "Premium Content" oder "Node Option Premium" umgesetzt werden), dann müsste ja bei Aufruf auf die Anmeldeseite umgeleitet werden. Oder wird dann automatisch auf das Anmeldemodul umgeleitet?
Danke für Eure Hilfe und Antworten
Axel
- Anmelden oder Registrieren um Kommentare zu schreiben
Moin, das, was Du
am 22.11.2013 - 01:32 Uhr
Moin,
das, was Du "Anmeldemodul" nennst, ist einfach ein Formular. Dieses kannst Du unter den Block Einstellungen deaktivieren. Die Standard Pfade zum Anmelden und Registrieren in Drupal sind:
mit clean Url:
deineseite.de/user
deineseite.de/user/register
ohne clean Url:
deineseite.de/?=user
deineseite.de/?=user/register
Du kannst zum Beispiel auch einfach in einem Menü Deiner Wahl oder wo auch immer einen Link auf /user zum Anmelden und auf /user/register zum Registrieren setzen.
Spambots nutzen überwiegend diese beiden URL's. Wenn es wirklich zu viel wird, ist es eine effektive Möglichkeit, die beiden Pfade zu ändern. Z.Bsp.: in deineseite.de/mitglieder statt deineseite.de/user
In Drupal 7 geht das mit diesem Modul: https://drupal.org/project/rename_admin_paths
Dabei solltest Du im Hinterkopf behalten, dass es ggf. andere contrib Module gibt, welche die geänderten Pfade benutzen...
Moin zurück und danke für die
am 22.11.2013 - 02:24 Uhr
Moin zurück und danke für die schnelle Antwort.
Wenn die Bots die URL´s verwenden, dann bringt es ja nicht, dass auf irgendeine Seite zu verschieben.
Das mit rename_admin_paths hatte ich früher mal ausprobiert, allerdings gab es da irgendwelche Probleme - keine Ahnung mehr welche es waren. Werde es aber wohl nochmal damit versuchen.
Naja - dann muss wohl damit leben, Honeypot und Captcha halten ja schon einiges ab.
Nochmal danke
Axel
Wundert mich eigentlich, dass
am 22.11.2013 - 08:54 Uhr
Wundert mich eigentlich, dass bei Honeypot noch so viel durchrutscht - ich hab damit auch Installationen relativ dicht bekommen, die vorher arg unter Spam gelitten haben. D.h. das, was durchkommt, liegt vielleicht im Bereich von einem Promille von dem, was vorher durchkam.
Schau mal in die Einstellungen, ob das richtig konfiguriert ist, so dass das Anmeldeformular auch tatsächlich geschützt ist. Modul aktivieren allein reicht nämlich nicht. Du kannst auch den Namen des Formularfeldes von Default-Wert abändern, mit der Anzahl der Sekunden rumspielen etc.
Das reine Verstecken auf der Startseite, in der Sitebar etc. wird Dir leider gar nicht helfen.
Einfach mal eine grobe Erklärung, wie diese Spammer so ungefähr arbeiten, aus meinen Beobachtungen heraus: Deren Bots scannen JEDE Domain ab, die sie finden. .com/.net/.org sind da stärker betroffen als .de-Domains, die Idioten überwachen dort die Registrys. Hab z.B. letztens erst bei einer solchen Domain gleich am Tag nach der Erstregistrierung eine Mail an die dort hinterlegte Adresse bekommen von irgendeiner zwielichtigen Pseudo-Suchmaschineneintrags-Bude oder ähnlichem Gesindel.
Jede in den Spammer-Datenbanken existente Domain wird dann auf typische Pfade untersucht, nicht nur für Drupal.
Die rufen dann Pfade wie http://www.domain.tld/user/register oder auch http://www.domain.tld/node/add einfach mal direkt ab und gucken, was geht. Wenn die keinen 404er bekommen, speichern die sich gleich schon mal weg, dass sie dort ein Drupal gefunden haben. Die testen aber auch Pfade für Joomla, Wordpress und andere weit verbreitete Software ebenso durch wie versuchte Angriffe per URL-Parametern.
Dann werden die sicherlich mit solchen Daten ("Hier ist 'ne Liste von 1000 Drupal-Installationen ...") auch handeln. Wo einmal erfolgreich gespammt wurde, kommen schnell ganz viele weitere Spammer. Wenn die aber merken, die kommen nicht weiter, ebbt das wieder ab.
Es gibt auch die Möglichkeit, bestimmte IP-Ranges zu sperren, damit kriegt man zumindest ein paar der Dauerkandidaten weg.
Drupal Freelancer im Rheinland gesucht?
Nee -so viele sind es ja
am 22.11.2013 - 16:54 Uhr
Nee -so viele sind es ja eigentlich auch nicht, so eine die Woche. Wie du schon geschrieben hast: Promilebereich...
Trotzdem nervt jede einzelne die durch kommt. Und da hatte ich halt die Idee mit dem Verschieben. Hatte in meinem jugendlichen Leitsinn gehofft, dass die Bots halt nur auf der Eingangsseite suchen. Und wenn da nichts ist kämmen sie evtl nicht wieder. Aber wenn das klappen würde, hätten das auch schon schlauere vor mir so gemacht. Und dann wären die Bots auch schlauer geworden... ;-) Ein Teufelskreis lol
Wenn ich mal Zeit habe werde ich mal (wieder) rename_admin_paths ausprobieren. Hab jetzt momentan nur kein Nerv dazu...
Aber Danke für die Rückmeldung
Axel