WordPressでサイトを運営しているとよくわからない英語コメントなどが届く事があります。
スパムコメントとは、
- 謎のコメント
- フィッシング詐欺などのURLが記載されたコメント
といったものが大半で、到底サイト内で一般公開するわけにはいきません。
ですが、これらのスパムコメントは自動送信されているものであり、手作業でコメントを分別するのは非常に困難です。
今回はこれらの迷惑なスパムコメントも排除する方法や重大なデメリットについて解説していきます。
スパムコメントが届くデメリット
スパムコメントはメリットが一切なく、今後のサイト運営に関わる重大なデメリットしか存在しません。
- スパムサイトと判断される可能性がある
- サイトコンテンツが汚染される
- コメントの管理が困難になる
スパムサイトと判断される可能性がある
スパムコメントによって、サイトそのものがスパムサイト(危険なサイト)と判断されてGoogleからペナルティを受けて検索順位が急落したり、セキュリティソフトによって弾かれるようになる可能性があります。
ただスパムサイトと判断されるだけでなく、コメントに記載されたフィッシング詐欺用URLなどによって、犯罪事件に巻き込まれてしまう可能性すらあるので、サイト運営者は何が何でもスパムコメントを排除する必要があるのです。
スパムサイトペナルティはすぐには解除されない
スパムサイトで判断されて直ぐに修正をかけてもGoogleからのペナルティはすぐには解除されません。
いつ解除されるのかといった目安は公開されておらず、1ヵ月以上かかることもあります。
ですので、スパムサイトと判断されてから対処するのではなく、スパムサイトと判断されないような体制を整えるようにしましょう。
コメントの管理が困難になる
スパムコメントは一度ターゲットにされると数百~数千コメントレベルで連投されます。
もしその中に普通のユーザーのコメントがあったとしてもスパムコメントに埋もれてしまい見つけられなくなります。
ユーザーとのやり取りを大切にしている場合は、せっかくのコメントを見逃すことになるのでデメリットしかありません。
このように、スパムコメントは一切メリットがない上にすぐにサイトが補足されてスパムコメントが飛んでくるので、プラグインの導入などで対応する必要があります。
スパムコメントを自動的に弾ける「Akismet」
スパムコメントを自動的に除外するプラグインで一番有名なものが「Akismet」です。
Akismetは無料で利用できるスパムコメント排除プラグインで、世界中のWordpressサイトで使われています。
セットアップも非常にカンタンなほか、利用するレンタルサーバーによってははじめからインストールされているため、そのまま使うことも少なくありません。
収益化サイトでは利用できない
これを聞いて「え?」と思う方もいるでしょう。
Akismetはいつからか無料利用を非商用サイトに限定しており、商用サイトでは利用できません。
このように登録の段階で明確に商用サイトNGを示すことに同意する必要があり、AdsenseやASP広告での収益化、商品販売をしているサイトでは使えないようになっています。
つまり、なんらかの方法で収益化している方は、別の方法でスパムコメントを排除、もしくは有料版Akismetを利用する必要があります。
reCaptchaを導入するのがおすすめ
reCaptchaとはなんだ?と思うかもしれませんが、以下のようなものをどこかで見たことがあると思います。
スパムコメントの99%は自動化されたBOTによるもので、reCaptchaを導入するとこれらのBOTによるコメントを阻止することができます。
reCaptchaなら商用・非商用関係なく導入できるので、多くのサイトではこちらのプラグインを導入するのがおすすめです。
自力でreCaptchaを導入するとなると、HTML・Javascriptの知識が必要ですが、簡単にコメントフォームやお問い合わせフォームにreCaptchaを導入できる「Advanced noCaptcha & invisible Captcha」というプラグインが存在します。
このプラグインは無料で利用でき、スパムコメント除外以前にBOTによるコメントが届かなくなります。
導入方法
WordPress公式プラグインデータベースに登録されているので、検索ページから見つけることが可能です。
まずはプラグイン新規追加ページで「Advanced noCaptcha & invisible Captcha」を検索し、インストール・有効化してください。
有効化したら設定に[Advanced noCaptcha & invisible Captcha]が追加されているのでクリックして設定画面に移動します。
設定画面に移動したら、reCaptcha設定用キーを取得する必要があるので、「Google reCaptcha」にアクセスします。
https://www.google.com/recaptcha/admin
アクセスしたら「+」をクリックしてreCaptcha設定を追加します。
reCaptchaを使用するための各設定を済ませます。
「ラベル」にはサイト名など好きなテキストを入力します。
その下のreCaptchaタイプは「reCaptcha v2」を選択し、[非表示 reCaptcha バッジ
]にチェックを入れてください。
非表示reCaptchaバッジは認証がカンタン
非表示reCaptchaバッジはBOTを弾くことに特化したreCaptchaです。
何度もreCaptcha認証を行っていることでもない限り、reCaptchaのチェックボックスにチェックを入れる必要がなく、BOTではないユーザーにとって相性が良いreCaptchaタイプです。
reCaptchaタイプを選択したら、reCaptchaを使用するサイトのドメインを入力します。
左の[+]を押すと複数ドメイン追加できるので、必要に応じて追加してください。
最後にreCaptcha利用規約に同意して[送信]をクリックします。
これでreCaptchaが追加されたので、サイトキーとシークレットキーをWordpress側のreCaptcha設定で入力します。
入力した後、reCaptchaバージョンを[V2 Invisible]に切り替えるのを忘れないようにしましょう。
サイトキーとシークレットキーの設定が完了したら、reCaptchaを使用したい箇所にチェックを入れます。
| 表記 | ページ・場所 | 備考 |
| Login Form | ログインページ | 推奨 |
| Registration Form | 新規登録ページ | 推奨 |
| Multisite User Signup Form | マルチサイト用ユーザーログインページ | 推奨 |
| Lost Password Form | パスワードを忘れた時のメールアドレス入力ページ | 推奨 |
| Reset Password Form | パスワード再設定ページ | 推奨 |
| Comment Form | コメントエリア | 推奨 |
| bbPress New topic | 新規トピック作成 | bbPress用 |
| bbPress reply to topic | 返信時 | bbPress用 |
| BuddyPress register | 新規登録ページ | bbPress用 |
| WooCommerce Checkout | 会計時 |
WooCommerce用
|
様々な場所にワンクリックで設定できるので、最低限「推奨」と記載した項目はチェックするようにしてください。
reCaptchaの設定箇所を選択したら下の方にスクロールし、「Badge」を[Inline]に切り替えます。
この設定は必須ではありませんが、reCaptchaバッジの表示箇所を切り替えないと常に右下に固定表示されます。
パソコン表示なら気になりませんが、スマホ表示だと結構邪魔になるので、切り替え推奨です。
ここまで設定できたら一番下の[変更を保存]をクリックしてreCaptcha設定を完了させてください。
設定保存後、コメントフォームやログインページを見に行くとreCaptchaバッジが表示されているはずです。
よくわからない、失敗したら不安という場合は当サイトにお問い合わせください。
Contact Form 7でも使用するには
Contact Form 7用の設定はAdvanced noCaptcha & invisible Captchaの設定画面内にありませんが、しっかり対応しています。
reCaptchaを導入するのもカンタンで、「 [anr_nocaptcha g-recaptcha-response] 」をコンタクトフォームの設定画面に挿入するだけです。
これだけでお問い合わせフォームを利用したスパムメールが届かなくなるので、お問い合わせページがある場合は必ず設定しておきましょう。
パスワード攻撃の対策にもなる
reCaptchaを使った二段階認証は不正ログインを試みるパスワードアタック(ブルートフォース攻撃)の対策にも繋がります。
設定したreCaptchaをログインフォームでも表示させればいいだけなので非常にカンタンです。
自分は大丈夫と思っている方ほどセキュリティ的に危険なことが多いので、最低限reCaptcha設定だけは済ませておきましょう。
セキュリティ対策は「Wordpressのお医者さん」まで
今回は簡単にできる基礎的なセキュリティ対策の一つとしてreCaptchaを紹介しました。
reCaptcha程度ならサイトセキュリティに詳しくない方でも頑張れば導入できますが、完璧なセキュリティを実現しようと思うとまだまだです。
- クロスサイトスクリプティングやクロスサイトリクエストフォージェリといったテーマ・プラグインの脆弱性をついk他攻撃への対策
- WAF(Web アプリケーションファイアウォール)
- SSLの完全対応(http→httpsへの自動置換も含む)
- Basic認証
などなどしっかり対策しようと思うとreCaptchaだけでは足りません。
これらのセキュリティ対策は「Wordpressのお医者さん」で対応できますので、ハッキングされてサイトをダメにされたくないと言った不安をお持ちの方はぜひお問い合わせください。