我正在使用 wordpress 和Membership Plugin建立会员网站。
该站点仍在我的本地主机上。我做了一些试用注册,效果很好。但我注意到,我什至可以使用伪造的电子邮件地址,例如 xyz@gmail.com 或其他东西来注册和创建帐户。所以这就是问题所在。我不知道当我将站点移动到我的服务器时这将如何工作。
但是你们认为这是一个安全漏洞吗?
我可以为此做些什么作为解决方案?
问问题
281 次
1 回答
2
这是我的建议:
在注册页面上,添加一个字段,用户需要输入一个特殊的代码来完成注册,并将代码制作成图像(或者至少作为机器人无法处理的东西)。这将防止机器人不断使用虚假信息注册新帐户。
接下来,执行基本的电子邮件验证以确保格式正确。
接下来,删除用户输入的电子邮件地址并验证域部分是否正确,如果正确,让您的服务器自动向新帐户持有人发送一封电子邮件,要求他/她返回他/她所在站点的特殊部分输入分配给他/她的特殊注册码以完成注册。
另外,为了节省数据库空间(我假设注册信息将存储在一个中),要求用户在有限的时间内完成注册,否则他们将不得不重新开始。如果时间到了,则可以从数据库中删除相关数据。我建议将时间段设置为至少一天。
如果您无法做到这一点,那么您可能需要找到一个具有我描述的功能的更好的插件。
无论您做什么,都可以在 localhost 上使用网站,并尽可能少地在实时服务器上进行修改。这意味着如果您可以一次将所有内容上传到实时服务器,则可以在 localhost 上立即进行所有更改。
于 2015-03-12T16:50:29.477 回答