自助式註冊

控制名稱

自助式註冊

建議組態

刪除/停用自助式註冊以邀請新訪客加入 Experience Cloud 網站。

設定>視覺力頁面>社群自助式註冊 - 應沒有指派設定檔,或「已參照頁面」,且不適用於 Lightning Experience、體驗產生器網站和行動應用程式 (未勾選)。

控制概觀

此控制項涉及停用自助式註冊功能及其相關聯的 Visualforce 元件,以確保只能透過經過管理員主導的授權邀請流程來新增網站成員。

未設定安全性風險

當自助式註冊啟用或在背景中保持啟用時,網際網路上的任何人員 (或自動機器人) 都可以在您的 Salesforce 組織中建立有效的使用者帳戶,並略過您的內部檢查和身分驗證程序。

威脅情況

攻擊者使用指令檔大量註冊數千個虛擬帳戶,然後用來調查內部網站的漏洞、取消使用者目錄,或對您的授權計數啟動拒絕服務 (DoS) 攻擊。

估計 CVSS 分數範圍

嚴重 (9.0–10.0)。

風險影響考量事項

未受控制的帳戶建立會導致授權枯竭、資料污染和擴展的攻擊面,因為每個新的「使用者」都是利用物件層級共用規則的潛在跳轉點。

風險愈高時機

如果仍將「CommunitiesSelfReg」Visualforce 頁面指派給設定檔,因為它仍是可透過直接 URL 存取的功能性「後端」頁面,即使使用者介面上隱藏「註冊」按鈕也是如此。

低度風險時機

如果網站使用 reCAPTCHA 和需要手動管理員批准的自助式註冊處理常式 (Apex),則實際啟用任何新註冊的帳戶。

業務與整合考量事項

停用自助式註冊會將使用者上線的負擔轉移至內部小組或自動 API 驅動的邀請系統,這可能會增加管理負擔,但提供卓越的安全性管理。

建議的補救措施

前往「登入與註冊」,取消選取「允許客戶和合作夥伴進行自助式註冊」,並確保沒有參照或存取任何設定檔的 CommunitiesSelfReg Visualforce 頁面。

安全性健康檢閱指南

Security Health Review 將「僅邀請」存取識別為使用自助式註冊對自動化入口網頁利用的主要防禦措施,強制只在有已驗證業務必要性且有強大的機器人偵測策略時開啟「自助式註冊」視窗。