Mahalaga ang iyong Discord server. Kinakatawan nito ang iyong komunidad, mga pag-uusap, at mga relasyon — at sulit itong protektahan.
Sa 2026, ang mga pag-atake sa Discord server ay dumarating sa iba't ibang anyo: mga pagsalakay (maramihang pagsali na nag-spam ng mga channel), pagbaha ng bot, mga pagtatangka sa phishing na nagta-target sa mga admin account, at mga koordinadong pag-atake mula sa mga panlabas na komunidad. Ang isang solong compromised admin account ay maaaring magtanggal ng iyong buong server.
Ang magandang balita: sa pamamagitan ng tamang pag-setup at kamalayan, maaari mong pigilan ang karamihan sa mga pag-atake bago pa man ito mangyari.
Bago sumabak sa mga depensa, unawain kung ano ang iyong ipinagtatanggol.
Mga Pagsalakay at Pag-atake ng Miyembro
Nangyayari ang mga pagsalakay kapag ang mga koordinadong user (madalas na isang pagalit na komunidad) ay sumali sa iyong server nang sabay-sabay at nag-spam, nagpo-post ng nakakasakit na nilalaman, o nagtatanggal ng mga channel. Ang Discord ay may humigit-kumulang 19 million aktibong server buwan-buwan, at ang mga pagsalakay ay nakakaapekto sa libu-libong komunidad bawat linggo. Ang isang solong pagsalakay ay maaaring makasira sa tiwala at tumagal ng ilang oras upang linisin.
Bot Spam
Binabaha ng mga malisyosong bot ang iyong server ng mga mensahe, mga link ng spam, o pagtatangkang magpalala ng mga pribilehiyo. Hindi tulad ng mga pagsalakay (mga gumagamit ng tao), ang bot spam ay awtomatiko at maaaring bumaha sa moderasyon.
Phishing at mga Scam
Nagpapanggap ang mga attacker bilang staff, nag-aalok ng pekeng Nitro, o nagpapadala ng mga mensahe na may mga malisyosong link na nagnanakaw ng mga Discord token (ang isang token ay nagbibigay ng ganap na access sa account). Ang pag-kompromiso sa isang staff account ay madalas na nauuna sa isang ganap na pag-takeover ng server.
Admin Account Compromise
Kung may makakuha ng iyong admin password o 2FA code, maaari nilang tanggalin ang iyong buong server, i-lock ang may-ari, at nakawin ang data. Ito ang nuclear option.
Ang built-in na sistema ng pag-verify ng Discord ay ang iyong pinakamurang depensa. Wala itong gastos at hinaharangan ang karamihan sa mga kaswal na pag-atake.
- Level 0 (Wala): Kahit sino ay maaaring makakita at makipag-chat. Walang proteksyon. Gamitin lamang para sa mga pribadong server ng kaibigan.
- Level 1 (Mababa): Nangangailangan ng na-verify na email. Hinaharangan ang mga throwaway account ngunit hindi ang mga organisadong pagsalakay.
- Level 2 (Katamtaman): Nangangailangan ng na-verify na email + 5 minutong pagiging miyembro. Naantala ang mga pagsalakay. Karamihan sa mga server ay dapat magsimula dito.
- Level 3 (Mataas): Nangangailangan ng na-verify na email + 10 minutong pagiging miyembro. Mabuti para sa mas malalaking server. Nakikitang alitan para sa mga lehitimong bagong miyembro.
- Level 4 (Napakataas): Nangangailangan ng pagiging miyembro + manual gate (dapat mag-react ang mga miyembro sa isang mensahe). Pinakamataas na alitan, para lamang sa mga komunidad na may mataas na tiwala o pagkatapos ng mga aktibong pag-atake.
Pumunta sa Mga Setting ng Server → Pag-setup ng Kaligtasan → Antas ng Pag-verify. Ang rekomendasyon:
- Mga bagong server: Level 2 (Katamtaman). Ito ay isang mahusay na balanse—pinipigilan ang kaswal na spam nang hindi nakakainis sa mga tunay na miyembro.
- 1,000+ miyembro: Level 2 o 3. Kailangan mo ang alitan upang mapabagal ang mga organisadong pag-atake.
- Aktibong target ng pagsalakay: Level 3 (Mataas). Ang 10 minutong pagkaantala ay ganap na humihinto sa karamihan ng mga pagsalakay.
- Pagkatapos mangyari ang isang pagsalakay: Lumipat sa Level 4 pansamantala. Kapag nag-stabilize ang mga bagay, bumalik sa Level 2 o 3.
Ang pag-verify lamang ay hindi sapat, ngunit ito ang iyong pundasyon.
Ang AutoMod system ng Discord ay tumatakbo 24/7 nang walang interbensyon ng tao. I-set up ito sa Mga Setting ng Server → AutoMod.
Pagtukoy ng Spam
- Pinapagana: Pagtukoy ng pagsalakay (maraming bagong account na nagpo-post nang sabay-sabay), pag-spam ng pagbanggit, mga paulit-ulit na mensahe
- Aksyon: Timeout sa loob ng 10 minuto (mabuti para sa pagsubok), o I-mute sa loob ng 1 oras (ligtas para sa mga itinatag na server)
- Bakit: Awtomatikong nahuhuli ang pagbaha ng bot at aktibidad ng pagsalakay
Mga Link at Imbitasyon
- Paganahin: Harangan ang mga link ng imbitasyon (maliban kung mula sa mga pinagkakatiwalaang role)
- Aksyon: Burahin nang tahimik o ipadala sa mod channel para sa pagsusuri
- Bakit: Ang phishing ay madalas na dumarating sa pamamagitan ng mga link shortener. Ang mga link ng imbitasyon ay nag-iimbita ng mga pagsalakay.
Keyword Filter
- Idagdag: Mga partikular na terminong naka-block sa server (mga paninirang-puri, panliligalig, listahan ng domain ng phishing)
- Aksyon: Burahin + ipadala sa mod channel
- Bakit: Nahuhuli ang problemadong nilalaman bago pa man ito makita ng mga tao. Magdagdag ng mga domain na natuklasan mo sa mga pagsalakay.
Mga Bagong Account
- I-flag: Mga account na mas bata sa 24 na oras sa mga kategoryang madaling kapitan ng pagsalakay
- Aksyon: Timeout o awtomatikong role-gate
- Bakit: Gumagamit ang mga organisadong pagsalakay ng mga throwaway account
Pag-spam ng Pagbanggit
- Limitasyon: Max 5 @mentions bawat mensahe
- Aksyon: Timeout
- Bakit: Humihinto sa @everyone/@here spam at targeted harassment
Magsimula sa isang pangkalahatang listahan ng keyword (mga alituntunin ng komunidad, mga ipinagbabawal na paninirang-puri). Sa paglipas ng panahon, magdagdag ng mga partikular na termino sa server na nagpapahiwatig ng spam o pag-atake (mga nakaraang parirala ng pagsalakay, mga kilalang link ng scam, mga pattern ng panggagaya). Suriin ang mga ulat ng mod linggu-linggo upang mahuli ang mga bagong pattern.
Nahuhuli ng AutoMod ang mga pattern, ngunit kailangan mo ng moderation bot para sa advanced na pagtugon sa banta. Ang mga nangungunang pagpipilian sa 2026:
Dyno
- Raid mode: Awtomatikong nag-ki-kick ng mga bagong account kung X ang sumali sa Y segundo
- Pag-log: Buong audit trail ng mga pagsali, pag-alis, pagtanggal, pagbabago ng role
- Automod: Redundancy sa AutoMod ng Discord
- Itakda: Raid mode upang i-kick ang 5+ account sa loob ng 5 segundo
MEE6
- Katulad na pagtukoy ng pagsalakay at pag-log
- Mas mahusay na tala ng uptime sa kasaysayan
- Itakda: Raid protection + pag-log na pinagana bilang default
Carl-bot
- Mas maliit ngunit maaasahan
- Malakas na suporta sa custom command
- Itakda: Pangunahing pagtukoy ng pagsalakay
Sa dashboard ng iyong bot:
- Paganahin ang raid mode
- Itakda ang sensitivity: I-flag ang 5+ pagsali sa loob ng 10 segundo
- Aksyon: Awtomatikong i-kick + abisuhan ang mod channel
- Suriin ang mga log sa iyong mod channel
Kapag nag-trigger ang raid mode, makakakita ka ng mga instant na notification. Nagbibigay ito sa mga mod ng 30 segundo upang mag-react bago lumala ang pinsala.
Ang isang compromised admin account ay isang ganap na pag-kompromiso ng server.
Two-Factor Authentication (2FA)
- Pumunta sa Mga Setting ng User → Account
- Paganahin ang Two-Factor Authentication
- I-save ang iyong mga recovery code sa isang password manager (hindi isang note)
- Kailanganin ang 2FA para sa lahat ng user na may antas ng admin: Mga Setting ng Server → Admin
- Gawin itong panuntunan ng staff: "Dapat paganahin ng lahat ng admin ang 2FA"
Ang solong hakbang na ito ay humaharang sa 99% ng mga pag-takeover ng account.
Seguridad ng Password
- Gumamit ng natatanging password (hindi ginagamit muli sa mga account)
- Gumamit ng password manager (Bitwarden, 1Password, KeePass)
- Kung pinaghihinalaan mo ang pag-kompromiso, palitan ito kaagad
- Suriin ang iyong mga aktibong session linggu-linggo: Mga Setting → Mga Aktibong Session → i-log out ang mga hindi kilalang session
Seguridad ng Email Account
Ang email ng iyong Discord account ay ang recovery backdoor. Kung may makakuha ng iyong email, maaari nilang i-reset ang iyong Discord password.
- Paganahin din ang 2FA sa iyong email account
- Gumamit ng malakas at natatanging password
- Suriin ang aktibidad sa pag-login nang regular
Mag-ingat sa Pagkakalantad ng Token
Ang mga Discord token ay ang "master key." Huwag kailanman:
- I-paste ang iyong token sa Discord, GitHub, o mga forum
- Ibahagi ito sa mga bot o "i-verify" ang mga website
- Mag-click sa mga link na nagke-claim na ipakita ang iyong token
Kung hindi mo sinasadyang i-leak ang isang token:
- I-rotate ito kaagad: Mga Setting ng User → Advanced → Muling Buuin ang Token (o palitan lamang ang iyong password)
- Suriin ang iyong mga aktibong session at i-log out ang mga hindi kilalang session
- Iulat ang insidente sa Discord Trust & Safety kung ito ay may kasamang malisya
Ginagawa ng mga structural defense na mas mahirap para sa mga attacker na gumawa ng pinsala.
- Admin role: Nakaposisyon sa itaas ng lahat ng iba pang role. May-ari lamang at 1-2 pinagkakatiwalaang co-admin.
- Moderator role: Maaaring magtanggal ng mga mensahe, mag-mute, mag-kick, ngunit HINDI magtanggal ng mga channel o mamahala ng mga role.
- Pinagkakatiwalaang miyembro: Para sa mga aktibong lider ng komunidad. Maaari lamang pamahalaan ang mga partikular na channel.
- @everyone: Tanggihan ang mga mapanganib na pahintulot (Pamahalaan ang Mga Channel, Pamahalaan ang Mga Role, I-ban ang Mga Miyembro, I-kick ang Mga Miyembro, Tanggalin ang Mga Mensahe)
Huwag kailanman magbigay ng pahintulot ng Administrator nang basta-basta. "With great power comes great responsibility" — at malaking pananagutan kung ma-hack ang account na iyon.
Gumawa ng isang #admin-only channel na may:
- Visibility: Moderator role + sa itaas lamang
- Layunin: Talakayan ng staff, pagtugon sa insidente, mga desisyon sa seguridad
- Backup: Kung nagkagulo, maaaring mag-coordinate ang staff dito
Para sa iyong pinakamahalagang channel (#rules, #announcements):
- Tanggihan ang Magpadala ng Mga Mensahe para sa @everyone
- Payagan ang Magpadala ng Mga Mensahe para sa Staff role lamang
- Itakda sa read-only para sa komunidad
Sa kabila ng iyong pinakamahusay na pagsisikap, maaaring mangyari ang isang pagsalakay. Narito kung paano tumugon.
- Agad: I-lock ang lahat ng channel — Mga Setting ng Server → Mga Pahintulot → @everyone → Tanggihan ang Magpadala ng Mga Mensahe
- Makipag-ugnayan sa mga mod: Mag-drop ng mensahe sa iyong pribadong mod channel (kung mayroon ka) at makipag-ugnayan sa pamamagitan ng mga tawag sa Discord/Discord server
- Mangalap ng ebidensya: Mga screenshot ng mga mensahe ng pagsalakay, mga oras ng pagsali, mga username (para sa pag-uulat)
- Awtomatikong i-kick ang mga mananakop: Kung gumagana pa rin ang iyong bot, manu-manong i-trigger ang raid mode
- Tanggalin ang spam: Magtrabaho sa mga channel at tanggalin ang nakakasakit/spam na nilalaman. Maaaring pabilisin ito ng mga bot.
- I-ban at iulat: I-ban ang lahat ng account ng pagsalakay. Iulat ang pinakamalala sa Discord Trust & Safety kung ito ay may kasamang mga banta.
- Suriin ang mga log: Suriin kung ano ang sinabi at tinanggal. I-screenshot ang anumang mahalaga.
- Abisuhan ang iyong komunidad: Mag-post ng maikling mensahe sa #general: "Nakaranas kami ng isang insidente sa seguridad. Tinanggal na ang lahat ng attacker. Sinusuri namin ang aming mga hakbang sa seguridad."
- Mag-debrief sa staff: Ano ang gumana? Ano ang nabigo? Nahuli ba ito ng AutoMod? Nag-kick ba ng mga user ang raid mode? Pagbutihin batay sa iyong natutunan.
- Higpitan ang pag-verify: Itaas ang iyong antas ng pag-verify sa loob ng 48 oras, pagkatapos ay magpasya kung gusto mo itong panatilihing mas mataas.
Kung ang pagsalakay ay may kasamang mga banta, panliligalig, o targeted hate speech:
- Pumunta sa contact ng Discord Trust & Safety: discord.com/safety
- Ibigay: Server ID, timeframe ng pagsalakay, mga screenshot, pangunahing attacker
- Maaaring mag-imbestiga ang Discord at magsagawa ng aksyon laban sa mga account ng attacker
Ang iyong pinakamahusay na depensa ay isang may kamalayang komunidad at sinanay na staff.
- Kilalanin ang mga tagapagpahiwatig ng pagsalakay: mga koordinadong bagong account, mga pattern ng spam, mga katulad na mensahe
- Alamin kung ano ang hitsura ng phishing: "Mag-click dito upang i-verify ang iyong account," pekeng Nitro, "mga libreng boost"
- Unawain ang paglala: huwag kailanman magbigay ng admin sa sinuman na hindi mo pa personal na nakilala
- I-dokumento ang mga insidente: i-save ang mga screenshot, i-record ang mga oras ng pagsali, tandaan kung aling mga user ang sumali nang magkasama
Mag-post sa #rules o #announcements:
Manatiling Ligtas sa Aming Server
Pinahahalagahan namin ang seguridad. Narito ang dapat malaman:
- HINDI KAILANMAN mag-DM sa iyo ang staff nang hindi hinihingi na humihingi ng iyong password o pag-verify
- Huwag mag-click sa mga link mula sa mga hindi kilalang user
- Iulat ang kahina-hinalang aktibidad sa @mods
- Huwag kailanman ibahagi ang iyong Discord token (ang mga susi sa iyong account)
Pinipigilan ng simpleng mensaheng ito ang karamihan sa mga scam. Kapag alam ng iyong komunidad na posible ang mga pag-atake, mas hindi sila mahina.
Ang seguridad ay hindi isang one-time na pag-setup. Subaybayan nang aktibo:
- Linggu-linggo: Suriin ang mga aktibong session sa Discord (Mga Setting → Mga Aktibong Session). I-log out ang mga hindi kilalang session.
- Buwan-buwan: Suriin ang iyong mga panuntunan sa AutoMod. Magdagdag ng mga bagong naka-block na keyword kung nakakita ka ng mga pattern.
- Quarterly: I-audit ang mga admin account. Alisin ang mga hindi aktibong admin. Suriin ang mga pahintulot ng role.
- Pagkatapos ng anumang insidente: Dagdagan ang pag-verify, magsagawa ng security drill, i-update ang iyong plano sa pagtugon sa insidente.
Tumutulong din ang Rally — ilista ang iyong server sa Rally upang maabot ang mga nakatuong komunidad at bawasan ang pag-asa sa pampublikong pagtuklas ng Discord (na umaakit ng mas maraming random na pagsalakay). Ang pagraranggo na batay sa aktibidad ng Rally ay nangangahulugan na ang iyong komunidad ay nakikita ng mga taong aktwal na naghahanap upang sumali at lumahok, hindi ang mga drive-by raider.
Ang pagprotekta sa iyong server ay nangangahulugan ng pag-iisip tulad ng isang defender — mga layer ng murang maagang babala, malinaw na mga pamamaraan ng paglala, at isang komunidad na nakakaalam ng mga banta. Gawin iyon, at ang mga pagsalakay ay nagiging mga istorbo, hindi mga sakuna.
