← Wszystkie porady

Otwarta rejestracja użytkowników

Co to oznacza

Jeśli na Twojej stronie WordPress włączona jest publiczna rejestracja użytkowników (Ustawienia → Ogólne → „Każdy może się zarejestrować"), dowolna osoba może utworzyć konto na Twojej stronie. Sprawdź to w panelu: Ustawienia → Ogólne.

Szczególnie niebezpieczna jest sytuacja, gdy domyślna rola nowego użytkownika jest ustawiona na wyższą niż „Subskrybent" — np. Autor, Redaktor lub Administrator.

Jakie jest ryzyko

  • Domyślna rola Administrator/Redaktor (krytyczne) — każdy może zarejestrować konto z pełnymi uprawnieniami. To natychmiastowe, pełne przejęcie strony bez łamania zabezpieczeń.
  • Spam i fałszywe konta — boty rejestrują tysiące kont, zaśmiecając bazę danych i generując spam.
  • Exploitacja ról — nawet rola Subskrybent może być wykorzystana, jeśli jakaś wtyczka ma podatność dostępną dla zalogowanych użytkowników (authenticated vulnerability).
  • Phishing wewnętrzny — fałszywe konto z wiarygodną nazwą może być użyte do inżynierii społecznej wobec innych użytkowników strony.

Jak to naprawić

  1. Wyłącz rejestrację, jeśli nie jest potrzebna — Ustawienia → Ogólne → odznacz „Każdy może się zarejestrować". Większość stron firmowych, landing page'y i blogów nie potrzebuje publicznej rejestracji.
  2. Jeśli rejestracja jest potrzebna:
    • Ustaw domyślną rolę na „Subskrybent" (najniższe uprawnienia).
    • Dodaj CAPTCHA na formularz rejestracji.
    • Wymagaj zatwierdzenia konta przez administratora.
    • Rozważ dedykowaną wtyczkę do rejestracji z dodatkowymi zabezpieczeniami.
  3. Sprawdź istniejące konta — jeśli rejestracja była otwarta, przejrzyj listę użytkowników i usuń podejrzane konta.