Warning: include(/home/users/2/lolipop.jp-a-virtual/web/dhmo/dhmo/wp-content/advanced-cache.php): failed to open stream: No such file or directory in /home/users/2/lolipop.jp-a-virtual/web/dhmo/dhmo/wp-settings.php on line 74

Warning: include(/home/users/2/lolipop.jp-a-virtual/web/dhmo/dhmo/wp-content/advanced-cache.php): failed to open stream: No such file or directory in /home/users/2/lolipop.jp-a-virtual/web/dhmo/dhmo/wp-settings.php on line 74

Warning: include(): Failed opening '/home/users/2/lolipop.jp-a-virtual/web/dhmo/dhmo/wp-content/advanced-cache.php' for inclusion (include_path='.:/usr/local/php/5.4/lib/php') in /home/users/2/lolipop.jp-a-virtual/web/dhmo/dhmo/wp-settings.php on line 74
WordPressのスパム・不正アクセスを一掃|サイト護身術 Tipsまとめ – Androidアプリつくったった

WordPressのスパム・不正アクセスを一掃|サイト護身術 Tipsまとめ

スパム対策

WordPressのスパム・不正アクセスを一掃|サイト護身術 Tipsまとめ

ある日管理画面を見てみると

spam

何かすごい事になっていました。
スパム対策はSpammer BlockerとAkismet( WordPress 2.0 以降は初めから入っています)で行っていましたが・・
その日は2~3分に一件入ってくる始末でした。(結局2日間で約2400件ものスパムが入ってきました。)
しかし、それまでこの2つのプラグインはそれなりにいい仕事してくれたので簡単に紹介させて頂きます。

1.Spammer Blocker

スパムコメントをブロックすると、
直接スパムフォルダーに入れてくれるので便利です。

簡単に使い方を説明します。

① ステータスを On にして、自動のIPアドレスコピーを twice daily(日に2回)に設定します。
② Delete all spam comments after the duplication is done にチェックします。

後はお好みで設定してください。

2.akismet

おそらくほとんどの方はWordpress2.0以降からスタートしていると思いますので
初期から入っていると思います。

以下のように設定の手順はやや面倒ですが、
スパムは1/10前後まで軽減させることができます。

① AkismetのサイトでAPIキーを取得する
② WordPress.comのサイトでAPIキーを取得する
③ APIキーを設定する
④ Akismet自体の設定を行う

設定はコチラのサイトで詳しく紹介されています。
有料なのではと誤解されていますが

Wordpressのスパム・不正アクセス対策を紹介する前に
そもそも今Wordpressのコメントスパムなんて流行っているのかな
と月ごとのGoogleでの検索ボリュームを調べてみました。

< スパム wordpressのGoogle上での検索数 >
wordpressスパム統計

最近爆発的に増えていますね。
記事の具体的な内容に触れずに誉めているのは大抵spamですね。

さてスパム対策に色々とプラグインは試してみた結果
ピタッとスパムを止めることができたのが
次に紹介する『spam byebye』なるプラグインです。

私がプラグインを探すときは
『設定がシンプル・しっかり効果があること』
をコンセプトに探しています。

対策1:まずはスパムを止めよう

spam-byebye

このプラグインは日本語に特化しています。
他言語圏からのスパムコメントを排除します。
スパムの99%は英語で入ってきますので
ほぼ完全にブロックされます。

コメント欄自体を閉じろよとも突っ込まれましたが
あくまでスパム以外のコメントはいつでも
Welcomeなので門戸をとじるようなことはしません。

スパムコメントで得たいのは、アクセスではなく
検索エンジンからの評価です。そのため
ただの単語の羅列のようなコメントが入ってきます。

検索エンジンがさらに進化するまでは、自衛策を打つしか内容ですね。

・対策2 画像認証を入れる

SI CAPTCHA Anti-Spam
SI Captchaオプションなる画像認証プラグインを導入します。
大抵、ロボット(プログラム)が自動的に判定して
送っているので画像認証を入れた時点でかなり高確率で
スパムを防ぐことができます。

導入・設定方法
プラグインをインストールしたら有効化するだけでOKです。
(色々細々設定できるけど、そこはお好みで。)

※はてなの画像認証は正直ゆがみも回転もさせてないので
簡単に破られているようです

※関連:CAPTCHA認証とは
CAPTCHA認証とは、人間なら簡単に理解できるが、
現在のコンピュータOCRや画像認識システムだと
極めて識別の難しい状態に歪ませた文字やテキスト、
画像を生成し、認証を行うことです。

・対策3 管理画面を守ろう

Limit Login Attempts
管理画面のログインまさかIDがadminじゃないですよね。
このままだとブルート・フォース・アタック(総当たり攻撃)の餌食になります。

安心してください。総当たりには『アカウントロック』で対応すればいいのです。

導入・設定は至って簡単、こちらもインストール有効化でOKです。
( 1月で7件も検挙してくれました。 )

※よくガイドラインで8文字英数字(大文字と小文字を区別)とあるがどれくらい安全なのか

http越しのアタックなので 100 回/秒
総計をざっと計算してみると

(26 + 26 + 10) ^ 8 = 218,340,105,584,896 patturns
218,340,105,584,896 ÷ 100 ÷ 3600 ÷ 24 ÷ 365 = 692,35 Years


量子コンピュータでも出現しない限り安全そうですね。
とは言えあくまで、ランダムの場合です。
パスワードは覚えていなければならないので
実際にある単語を混ぜがちです。
そうなると単語もかなり限定されてくるので
あっという間に突破されてしまいます。

アカウントロックを設定しておくに
越したことはありません。

・対策4 必ずアップデートする

WindowsUpdateやJAVA,Acrbatと同様Updateしないと
深刻なセキュリティリスクになります。
Wordpressは世界のCMSシェアの過半数をとる
多くのユーザが利用するCMSです。
① 多くのユーザがいる
② アップデートが自動でない

この二つに当てはまる場合は特に注意が必要です。

・対策5バックアップを取ろう

BackWPup
防護策は上記のとおりですが、最悪の場合も考えなければなりません。
バックアップなら取っているよ。というい方はたくさんいますが、

一度でも実際にリストア(復元)作業を試したでしょうか。

私はビビりなので、FireFTP(FireFoxのFTPアドオン)で
ファイルの全コピーを確認してから色々と試してみました。

バックアップ対象は2つです。片方だけあっても原状復帰することはできません。
(片方だけバックアップするプラグインを入れて安心されている方が実際にいらっしゃいました)

1. WordPress関連ファイル:WordPress本体・プラグインファイル・テーマファイル・アップロードした画像など

2. Database上のデータ:記事やページの本文・プラグインのデータ

オススメポイント
なぜBackWPupがオススメかというと
『両方のバックアップができて設定が楽、その上DropBoxにバックアップ可能』
だからです。

導入から設定まではこのサイトを参考にされるといいと思います。

・おまけ 
Quick Cache ( Speed Without Compromise )
スパムと戦うとどうしても重くなりがちです。
キャッシュクリアで少しでも負担を減らしたい場合このプラグインがオススメです。
Settingを開いてONにして設定保存するだけで仕事してくれます。

以前はW3 Total Cacheを利用していましたが
プラグイン一個でまとめて複数のキャッシュを処理してくれるので大変便利ですが、
かなりメモリを食います。(1Gぐらいの余裕を見た方がよいでしょう。)
ご利用のサーバが高スペックならW3 Total Cacheは使ってみるのもありかもしれません。

後日談・・・
スパムは気合で一つづつみて削除したりました。
コメントスパム

以上です。

参考になれば幸いです。


About the Author

dhmo
Author:DHMO(ディベロッパー名) 仕事では自社サービス・メディアの開発を行ってます。 趣味でAndroidアプリ製作を行っています。 カラオケではランキングバトルにはまっております。 Mail: dihydromooxide7@gmail.com 

Be the first to comment on "WordPressのスパム・不正アクセスを一掃|サイト護身術 Tipsまとめ"

Leave a comment

Your email address will not be published.


*