WordPressでスパム登録を防ぐための最良の方法

スパマーは常にこっそりと増えており、偽のコメントや偽のサインアップでサイトをすばやく簡単に克服できるようになっています。

この終わりのない流入を打ち負かそうとすると、無駄な努力のように感じることがあります。 そのままにしておくと、サイトが乱雑に見え、データベースが乱雑になります。 それを削除するには、繰り返し、貴重な時間がかかります。

最善の解決策は？ そもそもサイトが浸水するのを防ぐための保護を設定します。

この記事では、WordPressでスパム登録を防止するために実装できるいくつかの簡単なオプションを見ていきます。これにより、即座に効果的で継続的な結果が得られます。

読み続けるか、次のリンクを使用して先に進んでください。

• プラグインの可能性
• Cloudflare対応
  • CFでのファイアウォールルールの管理
• WAFの知恵
  • 最高のホストはWAF（ファイル）を持っています
  • WAFログ
• 支配権を握る

WordPressのスパム登録を圧迫する方法を見てみましょう。

プラグインの可能性

Defenderは、悪意のある行為のリストからサイトを保護する、豪華で無料のWordPressセキュリティプラグインです。 ブルートフォース攻撃、SQLインジェクション、クロスサイトスクリプティング（XSS）などは、この武器庫が設置されているとチャンスがありません。

また、スパムを除外するのにも非常に効果的です。 Google reCAPTCHAの使用に加えて、DefenderのGeolocation IP Lockoutを使用すると、場所と国に基づいて登録を遮断できます。これは、スパムボットの既知の地域ソースがある場合に非常に役立ちます。

DefenderでIP禁止機能を使用するには：

1. GeoLite2データベース（これも無料）にアクセスするには、まずMaxMind（無料）のアカウントを取得する必要があります。 アカウントを作成して確認したら、ライセンスキーを生成し、次の手順のためにコピーします。
2. WordPressダッシュボードから、 [ディフェンダー]>[ファイアウォール]>[IP禁止]に移動し、[場所]セクションまで下にスクロールします。
3. [ライセンスキー]フィールドにキーを貼り付けて、[ダウンロード]ボタンをクリックします（ライセンスが完全にアクティブになるまで5〜10分待ちます。そうしないと、無効なライセンスキーのエラーメッセージが表示される可能性があります）。

これで、[ブロックリスト禁止国]または[許可リスト許可国]の下にあるグローバルアイコンのあるフィールドをクリックし、ドロップダウンから禁止または許可する国を選択できます。 （デフォルトでは、母国が許可リストに追加されます。）

Defenderには、さらに別のスパム保護が組み込まれています。ユーザーエージェントの禁止です。 User-Agentリクエストヘッダーは、リクエストが行われたときにサーバーと共有される文字列であり、訪問者のブラウザアプリケーションの名前とバージョン、およびホストのオペレーティングシステムと言語を識別します。

WPダッシュボードからこの機能をアクティブにするには、 [ディフェンダー]>[ファイアウォール]>[ユーザーエージェントの禁止]に移動し、青い[アクティブ化]ボタンをクリックします。 ここから、ユーザーエージェントをブロックリストまたは許可リストに追加して、サイトへのアクセスを永続的に防止または許可できます。 （デフォルトでは、WPMU DEVはブロックリストにいくつかの既知の不良ユーザーエージェントを含みます。）

さらに効果的な結果を得るための、 Defenderの最後のトリック。 [空のヘッダー]まで下にスクロールし、 [リファラーヘッダーとユーザーエージェントヘッダーが空のブロックIPアドレス]のボタンをオンに切り替えます（灰色から青色に変わります）。 空のHTTPリファラーを使用するボットはまだたくさんあり、これらはほとんどの場合悪意があるため、有効にすることをお勧めします。

アクセスログはいつでも表示できます。ここでは、 [ディフェンダー]>[ファイアウォール]>[ログ]を参照してください。 明確化のポイント：同じボットまたはユーザーエージェントが許可リストとブロックリストの両方に表示される場合、許可は常にブロックをオーバーライドします。

このプラグインのProバージョンもあり、ホワイトラベリング2FA、クラス最高のリアルタイムサポートなどの機能が追加されています。

Forminatorは、無料で使いやすいWordPressフォームビルダープラグインであり、Captcha（ReCAPTCHAまたはhCaptcha）に加えて、HoneypotとAkismetの統合により、フォームを常にスパムから保護します。

スパマーは、デフォルトのWordPress登録ページが/ registerであることを知っているため、頻繁に使用されるターゲットです。 Forminatorはこれを認識しており、登録ページでスパムが発生するのを防ぐためのスマートツールを導入しています。

Forminatorでスパム保護を有効にするのは簡単です。 完全なウォークスルーについては、このチュートリアルを確認してください。

Forminatorは、登録スパムにキボッシュを置くだけではありません。 これは、スマートなドラッグアンドドロップビジュアルビルダーを使用して、WordPressでのセットアップを簡単にする、包括的なフォームクリエーター（連絡先フォーム、注文フォーム、投票とクイズ、および支払いオプション）です。

プレミアムな24時間年中無休のサポートに加えて、電子署名機能を追加するProバージョンもあります。

プロファイルビルダーは、ユーザーの役割またはログインステータスに基づいてコンテンツを制限できるもう1つの無料のプラグインです。

これは、WordPressのデフォルトフォームに対するGoogleのreCAPTCHAの非表示のサポートと、現在のユーザーロールまたはログインステータスに基づくコンテンツ制限を使用します。

登録フォームフィールドをカスタマイズするには：

1. WPダッシュボードから、[プロファイルビルダー] >[フォームフィールド]に移動します。
2. [フィールド]の一番上の行で、[オプションの選択]のドロップダウンをクリックします。 reCAPTCHAの入力を開始し（[詳細設定]の下にあります）、それを選択します。

1. ドロップダウンメニューからお好みのreCAPTCHAを選択します。
2. APIキーを入力します–サイトとシークレット。
3. [ PBフォームに表示]および[デフォルトのWPフォームに表示]で目的のオプションを確認します。
4. 選択内容に対応する右側のサイドバーメニューからショートコードをコピーします。
5. カスタムフォームをサイトに表示する場所にショートコードを貼り付けます。

ユーザー登録プラグインは無料で、軽量で、応答性が高いです。 GooglereCaptchaとHoneypotでスパム保護を提供します。

ユーザー登録プラグインをインストールすると、次のURLを使用してカスタム登録ページを自動的に作成するオプションが提供されます： yoursite.com/registration 。

次のいずれかを実行することもできます。

管理者の承認が必要

1. プラグインダッシュボードの[一般] >[一般オプション]タブに移動します。
2. [ユーザーログイン]ドロップダウンメニューから、[登録後の管理者の承認]を選択します。

reCAPTCHAを有効にする

1. プラグインダッシュボードの[統合]タブに移動します。
2. APIキーを入力します–サイトキーとシークレットキー。

特定の登録フォームでreCAPTCHAを有効にするには、そのフォームを編集して、内部から有効にする必要があります。

ユーザー登録のプレミアムバージョンもあります。これにより、WooCommerceと統合でき、ユーザーをインポートする機能が追加されます。

次に、登録スパムとの戦いでCloudflareを使用する方法を見ていきます。

Cloudflare対応

Cloudflareは、コンテンツ配信ネットワーク（CDN）として最もよく知られています。 Cloudflareは、サーバーの大規模なネットワークを通じて、Webサイトを高速化し、悪意のある攻撃から保護すると同時に、世界中の165を超えるデータセンターにキャッシュしてWebサイトのパフォーマンスを向上させます。

Cloudflareは、既知のボットソースから場所/国ベースの登録を遮断することにより、 IPブロックとファイアウォールルールの2つの形式でスパム保護を提供します。

それらのIPブロック機能は、エンタープライズレベル（$$$）の価格で提供されるエンタープライズプランでのみ利用できます。

しかし、心配しないでください。 ファイアウォールルールは、どのプランでも使用できます。 ファイアウォールルールは、場所、IPアドレス、ユーザーエージェントなどでブロックできます。 無料プランでは最大5つのアクティブなファイアウォールルールが許可され、有料の階層に上がるにつれて徐々に多くのルールが許可されます。

プランの種類に関係なく、Cloudflareの機能に参加するにはアカウントを作成する必要があります。 また、既存のDNSサーバー（別名、ネームサーバー）がCloudflareによって提供されるものを指すようにする必要があります。 これにより、ユーザーのブラウジングエクスペリエンスが向上するため、付加価値があります。

完了したら、次のようにファイアウォールルールを作成できます。

1. Cloudflareアカウントにログインします。
2. Webサイトの1つを選択します。
3. 左側のサイドバーメニューから、[ファイアウォールルール]を選択します。
4. メインページから、青い[ファイアウォールルールの作成]ボタンをクリックします。

1. [ルール名]テキストフィールドに名前を入力します。
2. 下着信要求が一致したら… 、フィールド、オペレーター、および値の対応するドロップダウンメニューから目的のオプションを選択します。 オプション：[ And / Or ]ボタンをクリックして、このルールにパラメーターを追加します。 次に、結果の行で対応するオプションを選択します。
3. 次の行は、式のプレビューを示しています。これは、開いているテキストフィールドの上にある[式の編集]リンクをクリックして編集できます。 （アクションは不要です。）
4. [次に… ]の下のドロップダウンメニューから、オプションを選択します。
5. [デプロイ]ボタンをクリックして、ルールを保存します。

重要：ルールはまだアクティブではありません。 そのためには、ファイアウォールルールリストに戻り、ボタンをオンに切り替える必要があります（Xが付いた灰色からチェックマークが付いた緑色に変わります）。

CFでのファイアウォールルールの管理

いつでも、ルールを編集（レンチボタンをクリック）、削除（Xボタンをクリック）、または非アクティブにする（チェックマークの付いた緑色のボタンを切り替えて灰色に変える）ことができます- with-an-X）。

各ルール行の左端にある上下の矢印をクリックしてドラッグするか、[順序]ボタンをクリックして、ルールの順序を変更することもできます。

ルールがどのような活動をしているのか知りたいですか？ ファイアウォールルールページの[過去24時間のアクティビティ]列を確認してください。

さらにファイアウォールルールを追加するには、上記のプロセスを繰り返します。 または、Cloudflareのファイアウォールルールの詳細については、ここをクリックしてください。

CDNのクイックサイドバー…WPMUDEVは、マネージドホスティングでCDNも提供します。これは、Cloudflare（および最適化プラグインであるSmush＆Hummingbird）とスムーズに統合されます。

問題が発生する可能性があるため、2つの異なるCDNからコンテンツを提供しないことが最善であることに注意することが重要です。

Cloudflareをラップすると、スパム登録との戦いでもう1つの解決策が残ります…全能のWAF。

WAFの知恵

Webアプリケーションファイアウォール（WAF）は、エンドユーザーとアプリケーションの間のセキュリティレイヤーです。 Webアプリケーションとの間で送受信されるトラフィックを検査し、それらの間のすべてのアクセスをフィルタリングします。

これは、外部ネットワークトラフィックと内部ネットワークトラフィックの間にバリアを提供する標準のファイアウォールとは異なります。 ネットワークファイアウォールは、セキュリティで保護されたネットワークを不正アクセスから保護し、攻撃や悪意のあるボットのリスクを防ぎます。 その主な目的は、セキュリティで保護されたゾーンをセキュリティで保護されていないゾーンから分離し、2つの間の通信を制御することです。

一般に、ファイアウォールはネットワークのエッジの近くに配置され、既知の信頼できるネットワークと未知の、場合によっては安全でないネットワークの間の効果的なバリアになります。 標準のファイアウォールは、ネットワークへのアクセスを拒否または許可するか、適切な資格情報なしで特定の領域（フォルダー、Webサイトなど）へのアクセスを拒否するように設計されています。

WAFは、アプリケーションインフラストラクチャとそのユーザーを保護し、HTTP / HTTPSアプリケーションとサーバーに重点を置いて、SQLインジェクション、DDOS攻撃、クロスサイトスクリプティング攻撃（XSS）などの脅威を防ぐことにより、標準のネットワークファイアウォールを補完します。

WAFは、アクティビティを受動的に監視するだけでなく、Webアプリケーションの弱点を積極的に補強します。 WAFは常に脆弱性をスキャンするため、ユーザーが気付くずっと前に、ネットワークの弱点を監視してパッチを適用することがよくあります。 このパッチは、問題を修正し、ネットワークでの潜在的な侵害を防ぐための時間を提供する短期的な解決策です。

WAFの詳細については、この記事を参照してください。

スパム登録を除外することになると、WAFは輝いています。

最高のホストはWAF（ファイル）を持っています

質の高いWordPressホストをお持ちの場合は、WAFがエコシステムに組み込まれている可能性があります。

ここWPMUDEVでは、WAFはすべてのホスティングプランに含まれています。 つまり、数回クリックするだけで、スパム登録の問題をバックミラーに置くことができます。

メンバーの1人は、WAFを使用してスパム登録を削減することについて次のように述べています。

「wpmudevサポートに相談した後、サイトでスパム登録が行われたページを変更して、WAFによってブロックされました。驚いたことに、悪意のあるボットが追いついてきました。 「200件の新規訪問」、「200件の新規リード」を見て、スパム登録であることに気付くだけで、これ以上の興奮はありません。」

この機能をロックしてロードするのがいかに簡単かを示すために、オールインワンのダッシュボードであるハブを介してWAF設定を簡単にウォークスルーします。

The Hubに移動し、管理するWebサイトをクリックします。

[セキュリティヘッダー]タブをクリックし、[ファイアウォール]で[ホステッドWAF ]の歯車アイコンをクリックします。

[サイトの保護]ボタンをオンに切り替えます（灰色から青色に変わります）。

これにより、 IP 、ユーザーエージェント、 URL 、および無効なルールIDの許可リストとブロックリストの選択が表示されます。

ここで必要な数の特定の設定を設定してから、[保存]をクリックするか、灰色の[閉じる]ボタンを押して、事前定義されたルールを適用できます。

完了すると、概要ビューでファイアウォールがアクティブ化され、サイトが保護されていることがわかります。

WAFログ

WAFには、（適切に） WAFログと呼ばれるルールIDとエラーを記録するスマートな組み込み機能があります。

ログを表示するには、サイトを選択し、[ハブ]>[ホスティング]>[ログ]>[WAFログ]に移動します。

攻撃の発生元、ブロックされた要求、およびそれらの要求によってトリガーされたルールがすべてここに記録され、誤警報を最小限に抑えるために必要な情報がすぐに提供されます。

[許可]リストと[ブロック]リストの一番下までスクロールすると、[ルールIDを無効にする]が表示されます。 問題の原因となっているルールID（ログから）を入力すると、ブームになります。すぐに無効になります。

アクティブな場合、WPMU DEV WAFはフォースフィールド（カスタムルールセット）を使用するため、攻撃や悪意のあるトラフィックは、攻撃される前に撃退されます。

支配権を握る

WordPressサイトでの登録スパムは、圧倒的な迷惑になる可能性があります。 しかし、いくつかの簡単な操作で、サイトからサイトを減らすか、完全に取り除くことができます。

1つの可能性は、追加の手順（CAPTCHAなど）または新規ユーザーの管理者承認を必要とする専用のWordPress登録プラグインを追加することです。 これらは役立つ可能性がありますが、時間の経過とともにある程度のクリープが発生する可能性があるため、常に最も効率的であるとは限りません。 交通量が少ない場合は、それで十分です。

もう1つの選択肢は、Cloudflareを使用し、各スパム登録タイプ（IPまたは送信元の国）に固有のファイアウォールルールを作成することです。 無料のメンバーシップは一度にアクティブにできるこれらの数を制限するため、ここでのキャッチは有料プランを持っている場合です。

最後になりましたが、強力で信頼性の高いWAFを使用するオプションがあります。 あなたが私たちと一緒にホストしているなら、あなたはすでにあなたのWordPress小屋にこの強力なツールを持っています。 （そうでない場合–サインアップは迅速かつ簡単で、30日間試してみることができ、無条件に満足が保証されます！）

この記事に発芽したシードを提供してくれたGziのメンバーであるChrisChukwunyereに一言。

注：外部ソースからの記事は受け付けていません。 ただし、WPMU DEVメンバーは、Blog XChangeを介して、ブログのチュートリアルや記事に関するアイデアや提案を提供する場合があります。