WordPressはオープンソースのため、スパマーの標的にされがちです。彼らは企業サイトであれ、個人サイトであれ、ところ構わずに攻撃をしてきます。
スパマーは、コメント欄に詐欺サイトへのリンクを貼ったり、サイトを書き換えたり、乗っ取ったりと様々な手口で攻撃し、さらにはお金を要求してくることもあります。
このため、サイトが攻撃を受けないよう、しっかりと対策をする事が大切です。
では、どのようにセキュリティ対策をすべきか、筆者が実際に試して効果的だったプラグインを5つ挙げます。
1.All In One WP Security & Firewall
ブログを運営しているなら、これだけで十分すぎるほどの機能です。
Recaptcha、ファイルセキュリティ、ファイヤーウォール、総当たり攻撃、スパム対策など、これ一つで必要なセキュリティ対策を全て行えるスグレモノです。
ただ、欠点もあります。
一つ目に、『Cookieベースの総当たりログイン防止』を設定すると、管理者ですらログインできなくなることがあります。
二つ目に、無闇に設定すると、403エラーとなってサイトを閲覧できなくなることもあります。
この場合、.htaccessが書き換えられているため、一度 .htaccessの初期化を行う場合もあります。
2.Wordfence Security
Wordfenceはインストールするだけで簡単に設定が可能です。
All In One WP Securityは設定を一つ一つ行いながら動作チェックを行う必要があるのに対し、Wordfenceはインストールして初期設定するだけで利用できます。
さらに、ログインページのRecaptchaも設定でき、スパム防止に役立ちます。
しかし、 Wordfenceにも欠点があります。
一つ目が容量が重いことです。
容量が4.9MBもあり、サイトスピードが遅くなることがあります。
他の余計なプラグインを減らし、サイトスピードへの影響を小さくする工夫が必要です。
二つ目が過剰なセキュリティです。
WordfenceのRecaptchaを設定すると、ログイン時にパスワードを間違えると管理者すらログインできなくなることもあるので注意が必要です。
3.MalCare Security
会員サイトへ登録したスパムユーザーからの攻撃を防止するのに有効です。スパマーがマルウェアをサイトに仕込んだ場合、自動スキャンして削除してくれます。
また、スキャンは外部サーバーで行ってくれるため、プラグインの容量が軽いのも特徴です。
一方でログインセキュリティは弱く、Captchaくらいしか対策できません。このため、外部からのスパム防止には他のプラグインとあわせて使うと良いでしょう。
4.Clearn Talk
コメントやお問い合わせフォーム、Woocommerceのスパム登録などをブロックしてくれます。
スパムの中で多いのがコメントスパムのため、非常に有効なプラグインと言えます。
特に会員サイトでは、ユーザーを活発にする上でコメントをオープンにする必要があります。
スパマーはそこを付け狙い、毎日のように詐欺サイトのURLをコメント欄に書いていきます。このため、スパムコメントを消していくのは大変な労力です。
こういう時にClearn talkは有効です。スパムコメントを一気に消してくれるので便利です。
5.BuddyPress-Honeypot
BuddyPressで会員サイトを運営している人には非常に有効です。毎日のように登録してくるスパムユーザーのブロックに絶大な効果を発揮します。
実際、筆者が使用したところ、スパムユーザーが毎日2名登録されていたのが、なんと0人になりました。
スパムユーザーは詐欺サイトを健全な他のユーザーに紹介し、迷惑行為を行います。
ところが、彼らを締め出すのは大変です。一般ユーザーからの苦情を吸い上げてスパムの証拠をつかみ、ブロックする必要があります。
これは大変な労力を伴う上、ユーザー離れを招くリスクがあります。
このため、スパムユーザーを登録させない工夫が大事です。
BuddyPress-Honeypotは、会員登録画面で非表示のテキストフィールドを作成し、スパマーがこれに入力したときにエラーを返して登録を防止します。
一般ユーザーには見えないのでユーザー離れの防止にもなります。
一方でスパマーは、検索を行って自動でスパムを送り込んできます。このため、彼らはテキストフィールドでのエラーでブロックされるのです。
まとめ
セキュリティプラグインはスパム防止に絶大な効果がある一方、一長一短があります。
サイトを安全に保つには、それぞれのプラグインの特徴を理解して実際に試してみましょう。
そして、自分にあった適切な運用を心がけていくことが大切です。
