Si votre site web est soudainement inondé d'un grand nombre de faux enregistrements d'affiliés, l'expérience peut être alarmante.

Ce guide vous explique comment vérifier la source du problème, nettoyer les utilisateurs de spam en masse et, surtout, comment bloquer l'attaque pour éviter qu'elle ne se reproduise.

Partie 1 : Premières étapes : Vérifier si les inscriptions proviennent d'Affiliés Coupon

Lorsque vous voyez beaucoup de nouveaux utilisateurs, il est naturel de soupçonner le plugin Coupon Affiliates d'être une cause potentielle.

Voici comment vous pouvez vérifier rapidement et définitivement la source des enregistrements.

1. Vérifier l'onglet "Enregistrements" dans notre plugin Aller à la page "Enregistrements" dans la section Coupon Affiliates de votre tableau de bord WordPress. Cette page seulement montre les utilisateurs qui se sont enregistrés avec succès par le biais d'un formulaire de Coupon Affiliates.
   • Si les utilisateurs de spam n'apparaissent PAS dans cette listeil est très probable qu'elles soient créées par une autre méthode qui contourne notre plugin.
   • S'ils apparaissent iciAssurez-vous d'avoir protection anti-spam activée comme Google reCAPTCHA ou Cloudflare Turnstile dans les paramètres du plugin.
2. Effectuer le test de désactivation (la méthode la plus fiable) Le test le plus concluant consiste à désactiver temporairement le plugin Coupon Affiliates.
   • Aller à Plugins > Plugins installés et désactivez Coupon Affiliates.
   • Attendez quelques heures (ou l'intervalle habituel entre deux enregistrements de spam).
   • Vérifiez votre liste principale d'utilisateurs WordPress à l'adresse suivante Utilisateurs > Tous les utilisateurs.
   • Si un nouvel utilisateur de spam apparaît alors que notre plugin est inactif, il fournit 100% la confirmation que les enregistrements proviennent d'une source externe, et non de notre plugin. Vous pouvez alors réactiver Coupon Affiliates.

Si ces vérifications confirment que les enregistrements se produisent en dehors de notre plugin, continuez avec le guide ci-dessous pour trouver et bloquer la source réelle de l'attaque.

Partie 2 : Déterminer la véritable cause des enregistrements de spam

Si vous avez confirmé que le spam se produit même lorsque notre plugin est désactivé, cela signifie que les attaquants sont pas en utilisant les formulaires frontaux de votre site web.

Au lieu de cela, ils créent des utilisateurs de manière programmatique par le biais d'une "porte dérobée" dans WordPress, le plus souvent par le biais de l'option API REST WordPress.

L'API REST est une fonctionnalité essentielle de WordPress qui permet aux applications d'interagir avec les données de votre site. Les spambots peuvent envoyer des requêtes directes au point de terminaison de l'enregistrement de l'utilisateur (/wp-json/wp/v2/users) pour créer de nouveaux utilisateurs. Cette méthode contourne complètement le thème, les pages et les formulaires de votre site web, ainsi que toute protection contre le spam, telle que la CAPTCHA, que vous avez mise en place.

Les attaquants peuvent également spécifier un rôle dans leur demande d'API. C'est peut-être la raison pour laquelle les utilisateurs de spam se voient attribuer le rôle "Affilié", même si la demande ne passe pas par les formulaires du plugin Coupon Affiliates.

Partie 4 : Comment bloquer de façon permanente les attaques d'enregistrement de spam

Voici les mesures les plus efficaces pour sécuriser votre site. Il est fortement recommandé de mettre en œuvre au moins l'une des mesures suivantes. Pour ces mesures, vous pouvez contacter le service d'hébergement ou le développeur de votre site web pour obtenir de l'aide.

Option 1 : Désactiver l'inscription ouverte (méthode la plus simple)

Si vous n'avez pas besoin d'enregistrer des utilisateurs publics en dehors de votre formulaire d'affiliation dédié, il s'agit de la solution la plus rapide.

1. Dans l'interface d'administration de WordPress, cliquez sur Réglages > Général.
2. Recherchez le paramètre "Adhésion".
3. Assurez-vous que la case pour "Tout le monde peut s'inscrire est NON VÉRIFIÉ.
4. Enregistrez vos modifications. Ceci ferme le point de terminaison d'enregistrement public dans l'API REST.

Option 2 : Utiliser un pare-feu d'application Web (WAF) (recommandé)

Un WAF est la meilleure solution de sécurité à long terme. Il agit comme un bouclier qui bloque automatiquement les requêtes malveillantes, y compris les attaques de spambots ciblant l'API REST.

Les solutions de sécurité les plus populaires et les plus efficaces sont les suivantes

• Wordfence : La version gratuite comprend un pare-feu robuste qui peut bloquer les demandes d'API malveillantes.
• Sucuri Security : Un plugin de sécurité complet avec d'excellentes fonctions de pare-feu et de surveillance.
• Cloudflare : Un service qui opère au niveau du DNS ; son pare-feu peut bloquer le mauvais trafic avant même qu'il n'atteigne votre serveur.

Option 3 : Désactiver sélectivement le point de terminaison utilisateur de l'API REST

Si vous devez laisser l'enregistrement public ouvert, vous pouvez installer un plugin pour bloquer uniquement le point de terminaison de la création d'utilisateur.

1. Installer un plugin comme Désactiver l'API REST de WP.
2. Dans ses paramètres, vous pouvez désactiver de manière sélective les points de terminaison liés à la création d'utilisateurs (wp/v2/users) tout en conservant le reste de l'API fonctionnel.

Partie 3 : Comment supprimer en masse les faux utilisateurs ?

Nettoyons maintenant les comptes de spam existants.

Important : Avant de commencer, créez une sauvegarde complète de votre site web et de votre base de données.

Il n'est pas pratique de supprimer manuellement des centaines ou des milliers d'utilisateurs, mais vous pouvez le faire simplement en allant sur la page d'administration "Utilisateurs" et en les supprimant par lots sur chaque page.

Vous pouvez également utiliser un plugin :

1. Installez et activez un plugin tel que WP Bulk Delete à partir du dépôt de plugins de WordPress.
2. Naviguez jusqu'à WP Bulk Delete > Page de suppression des utilisateurs.
3. Dans cet écran, remplissez le formulaire pour supprimer en bloc des utilisateurs dans une certaine plage de temps.