Inscripción automática

Nombre de control

Inscripción automática

Configuración recomendada

Eliminar/Desactivar la inscripción automática para invitar a nuevos visitantes a unirse al sitio de Experience Cloud.

Configuración>Páginas de fuerza visual>Registro propio de comunidades - no debe tener perfil asignado o referenciado a página y no disponible para Lightning Experience, sitios de Experience Builder y aplicación móvil (no seleccionado).

Descripción general de control

Este control implica desactivar la función de inscripción automática y sus componentes Visualforce asociados para asegurarse de que solo se pueden agregar nuevos miembros del sitio a través de un proceso de invitación autorizado dirigido por el administrador.

Riesgo de seguridad si no está configurado

Cuando la inscripción automática está activada o se deja activa en segundo plano, cualquier persona (o bot automatizado) en Internet puede crear una cuenta de usuario válida en su organización de Salesforce, omitiendo sus procedimientos internos de verificación de identidad y verificación de identidad.

Escenarios de amenazas

Un atacante utiliza una secuencia de comandos para registrar de forma masiva miles de cuentas ficticias, que luego utiliza para sondear el sitio interno en busca de vulnerabilidades, eliminar directorios de usuarios o iniciar un ataque de denegación de servicio (DoS) en su recuento de licencias.

Intervalo de puntuación de CVSS estimado

Crítico (9,0 a 10,0).

Consideraciones sobre el impacto del riesgo

La creación descontrolada de cuentas conduce al agotamiento de licencias, la contaminación de datos y una superficie de ataque ampliada, ya que cada nuevo "usuario" es un posible punto de partida para explotar reglas de colaboración a nivel de objeto.

Riesgo más alto cuando

Si la página de Visualforce "CommunitiesSelfReg" sigue asignada a perfiles, ya que sigue siendo una "puerta trasera" funcional a la que se puede acceder a través de una URL directa incluso si el botón "Registrarse" está oculto en la interfaz de usuario.

Bajo riesgo cuando

Si el sitio utiliza reCAPTCHA y un Gestor de inscripción automática (Apex) que requiere la aprobación manual del administrador antes de que se active realmente cualquier cuenta recién registrada.

Consideraciones comerciales y de integración

La desactivación de la inscripción automática traslada la carga de la incorporación del usuario a su equipo interno o a un sistema de invitación dirigido por API automatizado, lo que puede aumentar el gasto administrativo pero proporciona una gobernanza de seguridad superior.

Remediación recomendada

Vaya a Inicio de sesión y registro, anule la selección de "Permitir a clientes y socios realizar inscripciones automáticas" y asegúrese de que la página CommunitiesSelfReg Visualforce no está referenciada o accesible para ningún perfil.

Directrices de revisión del estado de seguridad

Security Health Review identifica el acceso de “solo invitación” como la defensa principal contra la explotación automatizada del portal utilizando la inscripción automática, exigiendo que la ventana “Inscripción automática” solo se abra si existe una necesidad comercial verificada y una estrategia de detección de bots sólida.