Web con usuarios extraños. Web HTTP no segura? Problema seguridad?

[Bimbache]

Hola compañeros, les comento la duda~problema que tengo, a ver que opinan ustedes...

Gestiono una web muy sencilla de una revista de reciente creación, nada del otro mundo. El sofware empleado es el Open Journal System (OJS), habitualmente empleado en el mundo de las revistas online.

La duda que me surge es que regularmente aparecen en la web un número relativamente elevado de usuarios, con nombres sin sentido (agrupaciones de letras), correos electrónicos que no suelen ser los habituales de gmail, hotmail..etc (@inbox.com, @gmx.net @bigstring.com ..etc). Ademas los usuarios suelen ser de sitios "extraños": brasil, ucrania..... no tiene demasiado sentido que se registren en una revista en castellano.

Puede ser que en el universo de internet, usuarios se conecten de otras partes del mundo, pero registrarse y todo no se yo.....No hace falta registrarse para ver la web ni nada, solo si quieres mandar algún articulo, y estos "usuarios" no hacen nada, solo se registran.

Mi opinión es que se trata de algún tipo de sofware que se dedica a crear falsos usuarios en la web, pero.. ¿para que??? ¿que sentido tiene crear usuarios falsos en una web? ¿están intentando robarnos los datos de la web?

La web no la he creado yo, mis conocimientos de programación son nulos.

Pero creo que al crearla la configuración de seguridad no fue muy acertada, al acceder a la web el antivirus me avisa de que la red no es segura, ademas al parecer usaron el protocolo HTTP en lugar HTTPS por lo que los navegadores ponen el aviso de que se trata de una web no segura.

¿Creen que una cosa tiene que ver con la otra? Se agradece cualquier opinión o consejo.

 

[Mariogzdz]

A ver, siempre que se crea una página de registro, cualquier formulario que inserte datos en ls base de datos es importante la seguridad tanto de la base de datos como del formulario. Lo más sencillo para tratar de evitar esos registros de boots es poner el clásico capcha como el de google, esto límita esa creacción de perfiles falsos. También el registro en dos pasos ayuda, enviando un email para completar el registro que obligue a introducir un código de nuevo en la página (aunque esto con un proceso bien estructurado también puede ser realizado por un robot), al menos te ahorraras registros de emails falsos y te permitirá realizar limpieza de la BBDD más fácilmente eliminando todos aquellos registros que no se completaran.

Una vez está registrado en una página es posible terminar accediendo a más datos, empezando por conseguir hacer inyecciones en sql, buscar vulnerabilidades en los permisos y conseguir mayores accesos o el rol de administrador y así finalmente conseguir la información que este almacenada en la BBDD.

No sé la información que pedís en el registro, pero seguramente como mínimo nombre, apellidos e email y eso ya son datos interesantes puesto que suelen referirse a cuentas activas de correo.

Actualmente no trabajar bajo protocolo HTTPS no debería ser una opción, puesto que ya los buscadores te van a dar problemas y según la configuración de tu navegador también con lo que estás restringiendo de manera notable los usuarios que puedan acceder a la página, que siendo una revista imagino buscará aumentar su alcance y número de vistas. Hay SSL gratuitos y de pago dependiendo del nivel de seguridad que necesites, aunque en vuestro caso con uno gratuito debería ser más que suficiente.

 

[kakadeluxe]

Son bots, aquí tienes una explicación y de los tipos existentes: ¿Qué es un bot y para qué sirve?
Es como te cuenta el compañero, busca vulnerabilidades para obtener privilegios de administrador de esa Web, así capturarla cambiando la contraseña y hacer cosas "malas".
Ponerle un captcha evitarás el registro de esos bots y así no te llenará de basura la base de datos.

 

[Bimbache]

Muchas gracias a los dos, más o menos han confirmado lo que yo suponía. Intentaremos realizar las modificaciones necesarias en la web para solventar esos problemas.

Saludos.