Hogyan állítsuk meg a spambotokat a Wordfence segítségével

A WordPress egy népszerű CMS – pontosan ezért támadják előszeretettel. Minden nap milliószámra próbálkoznak automatizált robotok regisztrációval, kommenteléssel vagy más formákban történő behatolással. Az egyszerű CAPTCHA megoldások sok botot kiszűrnek, de a fejlettebb botok már képesek ezeket is megkerülni. Ami 2020-ban még védelmet jelentett, ma már csak egy enyhe szúnyogháló egy tigris ellen.

A cél: megakadályozni, hogy ezek a robotok akár csak regisztráljanak az oldaladra – hiszen ha egyszer bejutnak, máris elkezdhetik a tevékenységüket (pl. spam linkek posztolása, rendszerterhelés, fióképítés DDoS támadásokhoz stb.)

Wordfence Security – a WordPress egyik legkomplexebb és legmegbízhatóbb biztonsági bővítménye.

Mi az a Wordfence Security?

A Wordfence Security egy komplex biztonsági plugin, amely tűzfalat, malware-szkennelőt, forgalomszűrőt és egyedi szabályrendszert kínál, és kifejezetten WordPress-hez lett fejlesztve. Több millió aktív telepítéssel rendelkezik, és nem csak passzív védelem, hanem valós idejű forgalomszűrést és IP-blokkolást is kínál.

Wordfence kulcsfunkciók spambotok ellen

A Wordfence nem csak a támadásokat blokkolja, hanem:

• szűri a regisztrációs kísérleteket IP-cím, ország, felhasználói ügynök vagy POST kérés alapján,

• felismeri és blokkolja az ismert rosszindulatú IP-ket,

• képes limitálni és logolni a regisztrációs próbálkozásokat,

• hozzáférést biztosít egyedi szabályok beállításához, például: „ha valaki x másodperc alatt y próbálkozással regisztrál, zároljuk 24 órára.”

Wordfence beállítása lépésről lépésre (robotok elleni védelemre kihegyezve)

1. Telepítés és aktiválás
   1. WordPress admin → Bővítmények → Új hozzáadása → Keresés: „Wordfence Security”
   2. Telepítés → Aktiválás
   3. Regisztrálj egy email címet a riasztásokhoz (fontos!)
   4. Engedélyezd a Web Application Firewall (WAF) teljes működését: Wordfence → Firewall → Manage Firewall → „Optimize the Wordfence Firewall” (itt a .htaccess fájlba írni fog, engedélyezni kell)
2. Általános beállítások finomhangolása
   1. Lépj be a Wordfence → All Options menübe. Itt állíthatod be a rendszer viselkedését.
      1. Enable Rate Limiting and Advanced Blocking – legyen bekapcsolva
      2. Block Fake Google Crawlers – ezt is érdemes bekapcsolni
      3. Immediately block IPs that access these URLs → add hozzá a regisztrációs végpontokat (pl. /wp-login.php?action=register)
3. Tűzfal finomhangolása robotok ellen
   1. Wordfence → Firewall → Rate Limiting
   2. Állítsd be így:
      1. If anyone’s requests exceed: 60 requests per 1 minute
      2. Then throttle it (Ez segít kiszűrni a botokat, amelyek gyorsan próbálkoznak regisztrációval)
   3. Továbbá:
      1. Block IPs who send POST requests with blank User-Agent and Referer headers → ✅
      2. Block access to the login and registration pages using known malicious user agents → ✅
4. Regisztrációs robotok felismerése és blokkolása
   1. Wordfence → Tools → Live Traffic – itt látod élőben, hogy kik próbálnak belépni, regisztrálni, vagy bármilyen műveletet végezni.
   2. Mit figyelj:
      1. Ismétlődő POST kérések /wp-login.php?action=register vagy /wp-login.php URL-re
      2. Gyanús user-agent (pl. curl/, python-requests/, bot/, stb.)
      3. Értelmetlen e-mail címek vagy generált felhasználónevek
   3. Ha ilyet látsz:
      1. Kattints az IP-címre → „Block this IP”
      2. Hozz létre szabályt: „Block all requests from this IP range” (ha szükséges)
5. Rejtett regisztrációs URL használata
   1. A Wordfence nem csak védi, de lehetőséget is ad arra, hogy elrejtsd a standard regisztrációs és bejelentkezési oldalakat.
   2. Wordfence → Login Security → Állíts be kétfaktoros hitelesítést (adminra kötelező!)
   3. Használj egy plugin-t (például „WPS Hide Login”), hogy az /wp-login.php URL-t áthelyezd egy másikra (pl. /secret-door) – ez Wordfence-fel kompatibilis.
6. IP-alapú országblokkolás (Premium)
   1. A Wordfence Premium verziója lehetővé teszi, hogy teljes országokat blokkolj a belépésből vagy regisztrációból.
   2. Pl. ha csak magyar felhasználókat vársz: Wordfence → Blocking → Country Blocking
   3. Tiltás típusa: „Block access to login and registration pages”
   4. Válaszd ki az összes többi országot

Miért jobb a Wordfence, mint a CAPTCHA?

• A CAPTCHA-t ma már sok fejlett bot simán megkerüli.

• A Wordfence a viselkedés alapján szűr – nem csak azt nézi, hogy mit ír be valaki, hanem azt is, hogyan viselkedik (gyorsaság, HTTP fejléc, IP hírnév, próbálkozások száma).

• Automatizált szabályokkal, tűzfallal, IP-listákkal és riasztásokkal dolgozik – a CAPTCHA viszont egy egyedüli akadály, amit ha megugrott a bot, nyert ügye van.