"Iedereen kan registeren". Dat klinkt heel uitnodigend. En dat is het ook. We hebben het hier dan over een instelling van een WordPress installatie die we in de Instellingen terugvinden. Waarom is het raadzaam uiterst bedachtzaam met deze instelling om te gaan?
Registeren als abonnee
Als je wilt dat bezoekers op jouw blogs kunnen reageren, dan is het prettig dat er de mogelijkheid is dat een bezoeker zich kan registeren. De optie 'iedereen kan registeren' is dan handig. Pas op dat je nooit een ander rol dan abonnee activeert.
Het is niet altijd noodzakelijk om de optie "Iedereen kan registreren" in WordPress aan te zetten. Of dit nodig is, hangt volledig af van het doel en de functionaliteit van jouw website. Hier zijn de belangrijkste scenario’s en overwegingen:
Wanneer is het noodzakelijk?
- Community- of ledenwebsite
Als je een community runt of een website hebt waar gebruikers accounts nodig hebben om toegang te krijgen tot specifieke inhoud (bijvoorbeeld e-learning, forums of blogs), moet je deze optie aanzetten. Zorg er dan wel voor dat je aanvullende beveiligingsmaatregelen treft. - E-learning met gebruikersaccounts
Bij jouw e-learning website, waar gebruikers een account nodig hebben om voortgang bij te houden of toegang te krijgen tot lessen, kan deze instelling handig zijn. Combineer dit echter met e-mailverificatie, CAPTCHA, en rolbeperkingen om fake accounts te voorkomen.
Wanneer kun je het beter uitschakelen?
- Geen gebruikersinteractie nodig
Als jouw website geen functionaliteit biedt waarvoor gebruikers een account nodig hebben, is het veiliger om de optie uit te zetten. Denk aan bedrijfswebsites, portfolio’s of eenvoudige informatieve sites. - Automatisch accounts aanmaken via aankopen
Als je een WooCommerce-website hebt en gebruikers alleen accounts nodig hebben voor aankopen, kun je gebruikers automatisch een account laten aanmaken tijdens het bestelproces. Dit maakt de algemene registratieoptie overbodig. - Gasttoegang voor cursussen
Als jouw e-learning content toegankelijk is zonder dat gebruikers een account nodig hebben, kun je deze optie uitschakelen.
SPAM
De optie "Iedereen kan registreren" werkt ook als een magneet op spambots. Maar als er alleen maar een automatische registratie als abonnee mogelijk is met weinig rechten, waarom worden er door spambots dan zoveel fake accounts aangemaakt?
Bots maken massaal fake accounts aan op WordPress-sites om verschillende redenen, afhankelijk van het doel van de aanvallers.
Hier zijn de belangrijkste redenen:
1. Spammen van de website
Veel bots registreren accounts om spam te verspreiden. Ze kunnen:
- Reacties achterlaten op blogposts met links naar dubieuze websites (zoals phishing of pornografische content).
- Spam versturen via de e-mailfuncties van je website, zoals wachtwoordherstel of nieuwsbrief.
2. Proberen de website te hacken
Fake accounts worden vaak aangemaakt als opstapje naar een grotere aanval. Bots kunnen:
- Proberen toegang te krijgen tot jouw WordPress-dashboard.
- Informatie over de website verzamelen voor toekomstige aanvallen.
3. Serverbronnen overbelasten
Door grote hoeveelheden accounts aan te maken, proberen bots soms:
- Je server te overbelasten, waardoor je website trager wordt of zelfs offline gaat (een soort Denial-of-Service-aanval).
- Kosten te veroorzaken, bijvoorbeeld als je een betaalde e-maildienst gebruikt.
4. Misbruik van functionaliteiten
Fake accounts worden soms gebruikt om misbruik te maken van specifieke functies op je site, zoals:
- Gratis proefperioden bij een e-learning module.
- Kortingscodes of aanbiedingen.
- Het verzamelen van e-mailadressen van andere gebruikers in je community.
5. SEO-manipulatie (Black Hat SEO)
Aanvallers gebruiken fake accounts om links naar hun eigen websites te plaatsen. Dit doen ze om de zoekmachine-ranking van die sites te verbeteren, ook al is dit tegen de regels van Google en andere zoekmachines.
6. Geautomatiseerde aanvallen testen
Bots gebruiken sommige WordPress-sites als oefenterrein om hun methodes te testen. Zodra ze succesvol accounts kunnen aanmaken, verfijnen ze hun scripts om hetzelfde te doen op grotere of belangrijkere sites.
Wat kan je doen om jezelf te beschermen tegen spambots die abonnee accounts aanmaken?
1. Schakel Captcha in bij registratie
- Gebruik een plugin zoals reCAPTCHA by BestWebSoft of WPForms om een CAPTCHA toe te voegen aan je registratieformulier.
- Hiermee moeten gebruikers een extra stap (zoals het oplossen van een puzzel of het aanklikken van afbeeldingen) voltooien, wat bots ontmoedigt.
2. Gebruik e-mailverificatie
- Schakel e-mailverificatie in, zodat nieuwe gebruikers hun account moeten activeren via een link die ze per e-mail ontvangen.
- Plugins zoals WP Email Verification of Ultimate Member bieden deze functie.
3. Voeg een antispam plugin toe
- Installeer een plugin zoals Akismet of Antispam Bee om spamregistraties te detecteren en blokkeren. Deze plugins filteren verdachte registraties uit.
4. Beperk de registratie tot specifieke rollen
- Controleer bij Instellingen > Algemeen of de standaard gebruikersrol correct is ingesteld (bijvoorbeeld abonnee).
- Overweeg om "Iedereen kan registreren" uit te schakelen en alleen registratie mogelijk te maken via specifieke formulieren (bijvoorbeeld via een plugin zoals Profile Builder of Restrict User Registration).
5. Beperk toegang via IP-blokkering
- Gebruik een beveiligingsplugin zoals Wordfence of iThemes Security om verdachte IP-adressen te blokkeren.
- Je kunt automatische blokkering instellen voor IP’s die meerdere keren spam registreren.
6. Voer een handmatige goedkeuring in
- Activeer een functie waarbij nieuwe accounts handmatig moeten worden goedgekeurd door een beheerder. Plugins zoals New User Approve kunnen je hierbij helpen.
7. Gebruik een registratiespecifieke vraag
- Voeg een unieke vraag toe aan je registratieformulier, zoals "Wat is 5 + 3?". Dit voorkomt dat bots automatisch formulieren invullen. Dit kan eenvoudig worden gedaan met een formulierplugin zoals Gravity Forms of WPForms.
8. Controleer je registratieformulier
- Als je een formulierplugin gebruikt zoals Gravity Forms of Contact Form 7, zorg er dan voor dat je deze correct hebt ingesteld en dat alleen noodzakelijke velden worden gevraagd.
9. Monitor je website op verdachte activiteit
- Gebruik een beveiligingsplugin zoals Sucuri Security om verdachte activiteiten te detecteren en registraties in de gaten te houden.
→ 