Usted está aquí:
Control de inscripción automática
Este control implica la desactivación de la función de inscripción automática y sus componentes Visualforce asociados para asegurarse de que los nuevos miembros del sitio solo se pueden agregar a través de un proceso de invitación autorizado dirigido por el administrador.
Nombre de control
Inscripción automática
Configuración recomendada
Elimine/Desactive la inscripción automática para invitar a nuevos visitantes a unirse al sitio de Experience Cloud.
Configuración>Páginas de fuerza visual>Registro propio de comunidades: no debe tener perfil asignado o Página a la que se hace referencia y no disponible para Lightning Experience, sitios de Experience Builder y aplicaciones móviles (no seleccionada).
Descripción general de control
Este control implica la desactivación de la función de inscripción automática y sus componentes Visualforce asociados para asegurarse de que los nuevos miembros del sitio solo se pueden agregar a través de un proceso de invitación autorizado dirigido por el administrador.
Riesgo de seguridad si no está configurado
Cuando la inscripción automática está activada o se deja activa en segundo plano, cualquier persona (o bot automatizado) en Internet puede crear una cuenta de usuario válida en su organización de Salesforce, omitiendo sus procedimientos internos de verificación de identidad y verificación de identidad.
Escenarios de amenazas
Un atacante utiliza una secuencia de comandos para registrar de forma masiva miles de cuentas ficticias, que luego utiliza para sondear el sitio interno en busca de vulnerabilidades, eliminar directorios de usuarios o iniciar un ataque de denegación de servicio (DoS) en su conteo de licencias.
Intervalo de puntuaje de CVSS estimado
Crítico (9,0 a 10,0).
Consideraciones de impacto de riesgo
La creación de cuentas descontrolada lleva al agotamiento de licencias, la contaminación de datos y una superficie de ataque ampliada, ya que cada nuevo "usuario" es un posible punto de partida para explotar reglas de colaboración a nivel de objeto.
Mayor riesgo cuando
Si la página de Visualforce "CommunitiesSelfReg" aún está asignada a perfiles, ya que sigue siendo una "puerta trasera" funcional a la que se puede acceder a través de una URL directa incluso si el botón "Registrarse" está oculto en la interfaz de usuario.
Bajo riesgo cuando
Si el sitio utiliza reCAPTCHA y un Controlador de inscripción automática (Apex) que requiere la aprobación manual del administrador antes de que se active realmente cualquier cuenta recién registrada.
Consideraciones de negocio e integración
La desactivación de la inscripción automática traslada la carga de incorporación del usuario a su equipo interno o a un sistema de invitación automatizado dirigido por API, lo que puede aumentar la carga administrativa pero proporciona una gobernanza de seguridad superior.
Remediación recomendada
Vaya a Inicio de sesión y registro, anule la selección de "Permitir a los clientes y socios realizar inscripciones automáticas" y asegúrese de que la página de Visualforce CommunitiesSelfReg no está referenciada o accesible para ningún perfil.
Directrices de revisión del estado de seguridad
Security Health Review identifica el acceso de “solo invitación” como la defensa principal contra la explotación automatizada del portal utilizando la inscripción automática, ordenando que la ventana “Inscripción automática” solo se abra si existe una necesidad de negocio verificada y una estrategia de detección de bots sólida.
