1.会員サイトの悩みの種「スパムユーザー」
WordPressで会員サイトを運営している方は、一度はスパムに悩まされたことがあるでしょう。特にBuddyPressでサイト運用して半年ほど経過すると、必ずと言っていいほどスパムユーザーが登録します。
ひどいときは毎日のようにスパムユーザーが登録し、コメント欄に詐欺サイトのURLを書き込みます。
しかも、削除しても次の日には書かれる始末。一体、どうしたら良いのでしょうか?
結論から言うと、3つのセキュリティ抜け穴対策で大丈夫です!
2.セキュリティ3つの抜け穴
スパムは通常は、ターゲットとなるサイトを検索し、セキュリティの抜け穴を見つけて侵入します。
とりわけ、誰でもユーザー登録できる設定がされた会員サイトは狙われやすく、悪意を持った人が制作したプラグラムによってスパムが侵入されます。
では、セキュリティの抜け穴とは何でしょうか?
それは「登録・ログインのURL」「フッターのリンク」「テキストフィールド」の3つです。
①登録・ログインのURL
BuddyPressを使用した場合、新たに「登録ページ」を作成することができます。このとき、登録ページのパーマリンクがデフォルトの状態だった場合、スパマーのターゲットにされてしまいます。
スパマーは「https://〇〇/register」がBuddyPress特有のものであることを知っており、Google検索で登録ページを見つけ出すことができるためです。
また、ログインページがWordPressデフォルトの「https://〇〇/wp-login.php」である場合も同様です。スパマーはwp-login.phpを検索で見つけ出し、攻撃の対象にしてきます。
これを防ぐには登録ページとログインページのURLを変更する必要があります。
ログインページのURL変更方法
ログインページはページ編集でURLの変更ができません。このため、PHPコードを書くかプラグインで変更する必要があります。ところが、WordPressのテーマによってはPHPコードを書いても上手くいかない場合があります。
このため、変更には「All In One WP Security & Firewall」をおすすめします。ログインページ URLに好きな文字を設定するだけで簡単に変更できます。
登録ページのURL変更方法
登録ページのURL変更はいたってシンプルです。ページ変更でパーマリンクを変更するだけです。
②フッターのリンク
WordPressにはフッターに「Proudly Powered by WordPress.」のリンクがあります。BuddyPress対応のテーマをインストールすると、「Proudly powered by WordPress and BuddyPress.」に変更することもあります。
ところが、このリンクを表示したままにすると、Google検索でスパマーに見つかってしまいます。
そこで、フッターのリンクを変更する必要があります。
フッターのリンクはフロントエンドの「カスタマイズ」より簡単に変更出来ます。
③テキストフィールド
スパマーが攻撃するテキストフィールドは主に2種類あります。「ブログコメント」「問い合わせフォーム」「会員登録フォーム」です。ただし、テキストフィールドの対策は少々やっかいです。
セキュリティプラグインを使っても、スパマーはあの手この手でセキュリティの隙間を狙ってくるためです。
このため、次の対策を行うことをおすすめします。
ブログコメント
ブログコメントはセキュリティレベルによって対策が異なります。ご自身の利用状況によって、最適な方法を選んでみてください。
・セキュリティ強
コメントを完全に禁止します。WordPressディスカッション設定で「新しい投稿へのコメントを許可」のチェックを外すとブログのコメントを完全に非表示できます。
・セキュリティ中
一部のユーザーのみコメント利用できるようにします。WordPressディスカッション設定で「ユーザー登録してログインしたユーザーのみコメントをつけられるようにする」にチェックを入れます。
さらに、スパムユーザー対策として、CleanTalkプラグインをインストールすればスパムを自動ブロックしてくれるので、問題なく利用できます。
・セキュリティ弱
すべてのユーザーがコメント利用できるようにします。この場合、セキュリティを万全にするため、サーバーでコメント制限の設定を行いましょう。
Xserverの場合、「コメント・トラックバック制限設定」「国外IPアクセス制限設定」を行います。さらに、Invisible reCAPTCHAプラグインを設定しておけば、スパムを防ぐことが可能です。
ただし、reCAPTCHAプラグインはバッジと画像認証が表示されるため、ユーザーに不快感を与え、アクセス減につながるリスクもあります。
reCAPTCHAのバッジを表示させたくない場合、CleanTalkプラグインを利用した方が良いでしょう。
問い合わせフォーム
問い合わせフォームは、ユーザーの利用頻度が少ないにも関わらず、サイト運営上よく利用されています。一方で、スパマーからの攻撃にさらされれやすいため、こちらも対策が必要となります。
問い合わせフォームはContact Form 7やElementorプラグインで構築できますが、いずれもreCAPTCHAの設定が可能なので設定してみましょう。
会員登録フォーム
意外にも大変なのが、会員登録フォームです。
BuddyPressを利用した場合、スパムユーザーが毎日のように登録してきます。しかも、Invisible reCAPTCHAプラグインだけでは簡単にセキュリティを破られてしまいます。
この場合、BuddyPress-Honeypotプラグインを利用しましょう。Invisible reCAPTCHAとBuddyPress-Honeypotを併用すると効果的です。
BuddyPress-Honeypotプラグインの設定方法
BuddyPress-Honeypotは非表示のテキストフィールドを利用したプラグインです。
しかも、設定はとても簡単。GitHubよりプラグインをダウンロードして有効化するだけです。これだけでスパムユーザーを完全にブロックすることができます。
3.まとめ
スパマーは多様な方法で攻撃してきます。このため、無闇にセキュリティプラグインを導入するのではなく、スパマーが狙ってくるポイントをおさえた上で、サイトの環境にあった方法でセキュリティ対策をすることが大切です。
ぜひ、様々な方法を試してみて、適切な方法を見つけ出してみましょう。