朝起きたら500件のスパムコメント
結論から言うと、WordPressのコメント欄はスパムコメント攻撃の標的になりやすい。Akismetプラグインとコメント承認制を組み合わせることで、ほとんどのスパムコメントをブロックできる。
これ、本当にびっくりした話なんだけどさ、2年くらい前だったかな。いや、もしかしたら3年前かもしれない。まあ、そのへんはどうでもいいんだけど、朝起きてWordPressの管理画面を開いたら、500件以上のスパムコメントが届いてた。っていうか、500件って、どういうこと?って思った。最初、数字を見間違えたのかと思った。
その日は、いつものように朝6時に起きて、コーヒーを飲みながらWordPressの管理画面をチェックしてた。で、「コメント」のところを見たら、数字が「523」って表示されてる。「え、何これ?」って思って、目をこすった。でも、やっぱり「523」って表示されてる。で、クリックしたら、全部スパムコメント。
内容は、ほとんどが英語の広告。「Buy cheap Nike shoes here!」とか「Visit this site for free money!」とか。あと、怪しいリンクがたくさん貼ってある。で、「これ、全部削除しないといけないの?」って思った。
正直、あの時は本当に焦った。っていうか、「これ、どうやって削除するの?」って思った。一つずつ削除するのは無理。500件以上あるんだから。で、「一括削除できないかな」って思って、いろいろ探した。
いろいろ調べたら、Akismetっていうプラグインがあることを知った。これを使えば、スパムコメントを自動的に検出してくれる。で、すぐにインストールして設定した。これで、スパムコメントが自動的にスパムフォルダに振り分けられるようになった。
それから、コメント承認制にした。これで、コメントが投稿されても、僕が承認するまで公開されない。スパムコメントを公開前にブロックできる。これは、本当に助かった。
あの時の教訓は、「スパムコメント対策は早めにやらないとダメ」ってこと。放置してると、どんどん増える。で、管理が大変になる。僕も、あの経験以来、新しいサイトを作る時は、必ずスパムコメント対策をするようにしてる。
今回は、WordPressのコメント欄を狙ったスパムコメント攻撃の実態と、具体的な対策を紹介していく。僕の失敗談も含めて、できるだけ実践的に書いていくつもり。まあ、僕の失敗談は恥ずかしいんだけど、同じ失敗をしてほしくないから、書くことにした。
スパムコメントって何?
まず、スパムコメントって何かを説明しておこう。これ知らない人も結構いるんじゃないかな。っていうか、僕も最初は知らなかった。で、調べて初めて知った。
スパムコメントは、ブログの記事のコメント欄に投稿される、無関係な広告や悪意のあるリンクを含むコメント。記事の内容とは全く関係ない。で、これが結構厄介なんだよね。
スパムコメントの特徴
無関係な内容: 記事の内容とは全く関係のない広告やリンク。例えば、WordPressのセキュリティについての記事に、「安いナイキのシューズを買おう!」みたいなコメントが投稿される。で、「何これ?」って思う。記事の内容と全く関係ない。
自動投稿: ボット(自動プログラム)によって大量に投稿される。人間が手動で投稿してるわけじゃない。だから、短時間で大量のスパムコメントが届く。僕も、朝起きたら500件以上のスパムコメントが届いてたことがある。で、「これ、どうやって削除するの?」って思った。
悪意のあるリンク: マルウェアやフィッシングサイトへのリンクが含まれてる。クリックすると、ウイルスに感染したり、個人情報を盗まれたりする可能性がある。これは本当に危険。僕も、スパムコメントのリンクをクリックしたことはないけど、クリックしたら大変なことになると思う。
SEOスパム: 検索エンジンのランキングを操作するためのリンクが含まれてる。スパマーは、自分のサイトへのリンクを大量に貼ることで、検索エンジンのランキングを上げようとしてる。でも、これは逆効果。Googleは、悪質なリンクが大量にあるサイトをペナルティの対象にする。
スパムコメントのリスク
スパムコメントを放置すると、いろんなリスクがある。で、これが結構怖いんだよね。
1. サイトの信頼性低下
スパムコメントが大量にあると、サイトの信頼性が低下する。訪問者が「このサイトは管理されていない」って感じる。で、サイトから離れる。
実際、僕も他のサイトを見てて、スパムコメントが大量にあると、「このサイト、大丈夫かな?」って思う。で、そのサイトから離れる。だから、スパムコメントを放置してると、訪問者が減る可能性がある。
2. SEOへの悪影響
スパムコメントに含まれる悪質なリンクが、サイトのSEOに悪影響を与える。Googleは、悪質なリンクが大量にあるサイトをペナルティの対象にする。で、検索エンジンのランキングが大幅に下がる。
これは本当に怖い。SEOのペナルティを受けると、検索エンジンのランキングが大幅に下がる。で、アクセスが激減する。僕も、SEOのペナルティを受けたことはないけど、受けたら大変だと思う。
3. セキュリティリスク
スパムコメントに含まれるリンクが、マルウェアやフィッシングサイトに誘導する。訪問者がクリックすると、被害を受ける可能性がある。で、サイトの管理者にとっても、訪問者に被害を与えたってことで、責任問題になる可能性がある。
これは、訪問者にとってもリスク。で、サイトの管理者にとっても、訪問者に被害を与えたってことで、責任問題になる可能性がある。だから、スパムコメントを放置してると、訪問者に迷惑をかける可能性がある。
4. 管理の手間
スパムコメントを手動で削除するのは、非常に手間がかかる。毎日大量のスパムコメントが届くと、管理が困難になる。で、時間を無駄にする。
僕も、500件以上のスパムコメントを削除するのに、数時間かかった。これは本当に無駄な時間。で、「この時間を他のことに使いたかった」って思った。だから、スパムコメント対策は早めにやった方がいい。
スパムコメントの種類
スパムコメントには、いくつかの種類がある。で、これを知っておくと、スパムコメントを見分けやすくなる。
1. 広告スパム
商品やサービスの広告を含むコメント。「このサイトで○○を買いました」とか「このサービスは最高です」みたいな偽のレビュー。で、リンクが貼ってある。
これは、一見すると普通のコメントに見える。でも、よく見ると、リンクが貼ってある。で、そのリンクをクリックすると、広告サイトに飛ばされる。僕も、最初は普通のコメントだと思って、リンクをクリックしそうになった。でも、よく見たら、怪しいリンクだった。
2. SEOスパム
検索エンジンのランキングを操作するためのリンクを含むコメント。「このサイトも参考になります」とか「こちらもどうぞ」みたいな感じで、自分のサイトへのリンクを貼る。で、検索エンジンのランキングを上げようとしてる。
これは、SEOのブラックハット手法。検索エンジンのランキングを不正に操作しようとしてる。でも、Googleは、こういうリンクを検出して、ペナルティを与える。だから、逆効果。
3. フィッシングスパム
フィッシングサイトへのリンクを含むコメント。「このサイトで無料で○○がもらえます」とか「ここでログインしてください」みたいな感じで、フィッシングサイトに誘導する。で、個人情報を盗もうとしてる。
これは本当に危険。クリックすると、個人情報を盗まれる可能性がある。僕も、フィッシングサイトに誘導されたことはないけど、誘導されたら大変だと思う。
4. マルウェアスパム
マルウェアをダウンロードさせるリンクを含むコメント。「このファイルをダウンロードしてください」とか「このソフトをインストールしてください」みたいな感じで、マルウェアをダウンロードさせようとする。で、ウイルスに感染させようとしてる。
これも本当に危険。ダウンロードすると、ウイルスに感染する可能性がある。僕も、マルウェアをダウンロードしたことはないけど、ダウンロードしたら大変だと思う。
スパムコメント対策の基本
ここからは、スパムコメント対策の基本を紹介していく。まあ、これは結構基本的な内容なんだけど、念のため書いておく。
1. コメント機能を無効にする
コメント機能を使わない場合は、無効にする。これが最も確実なスパムコメント対策。で、スパムコメントのリスクがゼロになる。
実際、僕も一部のサイトでは、コメント機能を無効にしてる。コメント機能を使わないなら、無効にした方がいい。スパムコメントのリスクがゼロになる。で、管理の手間も減る。
全体でコメントを無効にする方法
- WordPress管理画面から「設定」→「ディスカッション」を開く
- 「新しい投稿へのコメントを許可」のチェックを外す
- 「変更を保存」をクリック
これで、すべての記事でコメント機能が無効になる。簡単でしょ?
個別の投稿でコメントを無効にする方法
- 投稿の編集画面を開く
- 「投稿」タブの「ディスカッション」を開く
- 「コメントを許可」のチェックを外す
これで、その記事だけコメント機能が無効になる。特定の記事だけコメントを無効にしたい場合は、この方法を使う。
2. コメント承認制にする
コメントを承認制にして、手動で承認する。スパムコメントを公開前にブロックできる。で、スパムコメントが公開されることはない。
僕も、コメント承認制にしてる。これで、スパムコメントが公開されることはない。で、承認する前に、スパムかどうか確認できる。これは、本当に便利。
設定方法
- WordPress管理画面から「設定」→「ディスカッション」を開く
- 「コメントの手動承認を必須にする」にチェックを入れる
- 「変更を保存」をクリック
これで、すべてのコメントが承認制になる。コメントが投稿されると、管理画面に通知が来る。で、承認するまで公開されない。これで、スパムコメントを公開前にブロックできる。
3. ログインユーザーのみコメントを許可
ログインしたユーザーのみコメントを許可する。匿名のスパムコメントをブロックできる。で、スパムボットがコメントを投稿できない。
これは、会員制のサイトとか、コミュニティサイトで有効。ログインしないとコメントできないから、スパムボットがコメントを投稿できない。僕も、一部のサイトでは、ログインユーザーのみコメントを許可してる。
設定方法
- WordPress管理画面から「設定」→「ディスカッション」を開く
- 「コメントの投稿者の名前とメールアドレスの入力を必須にする」にチェックを入れる
- 「ユーザー登録してログインしたユーザーのみコメントをつけられるようにする」にチェックを入れる
- 「変更を保存」をクリック
これで、ログインしたユーザーのみコメントを投稿できる。スパムボットは、ログインできないから、コメントを投稿できない。
Akismetプラグインの使い方
Akismetは、WordPressで最も人気のあるスパム対策プラグイン。自動的にスパムコメントを検出し、フィルターしてくれる。で、これが本当に便利なんだよね。
僕も、Akismetを使ってる。これがないと、スパムコメントの管理が大変。Akismetを使うようになってから、スパムコメントの管理がすごく楽になった。で、「Akismetは神」って思った。
Akismetの特徴
自動スパム検出: 膨大なデータベースを元に、スパムコメントを自動検出してくれる。Akismetは、世界中のWordPressサイトから収集したスパムコメントのデータを持ってる。で、そのデータを使って、スパムかどうか判定してる。これは、本当にすごい。
高い精度: 誤検出が少ない。正常なコメントをスパムと判定することは、ほとんどない。僕も、Akismetを使ってて、誤検出はほとんど経験してない。たまに、正常なコメントがスパムに分類されることもあるけど、ほとんどない。
無料プラン: 個人ブログなら無料で使える。商用サイトの場合は、有料プランが必要。でも、個人ブログなら無料で十分。僕も、個人ブログでは無料プランを使ってる。これは、本当にありがたい。
Akismetの設定方法
1. プラグインをインストール
- WordPress管理画面から「プラグイン」→「新規追加」を開く
- 検索ボックスで「Akismet」を検索
- 「今すぐインストール」をクリック
- 「有効化」をクリック
これで、Akismetがインストールされる。簡単でしょ?
2. APIキーを取得
Akismetを使うには、APIキーが必要。APIキーは、Akismet.comのサイトで取得できる。で、これが少し面倒なんだけど、一度取得すれば、ずっと使える。
- Akismetの設定画面で「Akismetアカウントを設定」をクリック
- Akismet.comのサイトが開くので、「Get an Akismet API key」をクリック
- WordPress.comのアカウントでログイン(アカウントがない場合は作成)
- プランを選択(個人ブログなら「Personal」を選択し、スライダーを$0に設定)
- APIキーが表示されるので、コピー
個人ブログの場合は、スライダーを$0に設定すれば、無料で使える。これは本当にありがたい。で、「無料で使えるなんて、すごい」って思った。
3. APIキーを入力
- WordPressの管理画面に戻り、Akismetの設定画面を開く
- 「手動でAPIキーを入力」をクリック
- APIキーを貼り付けて「APIキーを使って接続する」をクリック
これで、Akismetが有効になる。で、「よし、これでスパムコメントをブロックできる」って思った。
4. 設定を確認
- Akismetの設定画面で、スパム検出の厳密度を設定
- 「変更を保存」をクリック
設定は、デフォルトのままでも十分。でも、厳密度を調整したい場合は、設定を変更できる。僕も、デフォルトのままで使ってる。
Akismetの使い方
Akismetを有効にすると、自動的にスパムコメントを検出してくれる。で、スパムと判定されたコメントは、スパムフォルダに保存される。
- スパムコメント: 「コメント」→「スパム」で確認できる。スパムと判定されたコメントは、ここに保存される。で、定期的に確認して、誤検出がないかチェックする。
- 誤検出: スパムではないコメントがスパムに分類された場合は、「スパムではない」をクリック。これで、コメントが承認される。
僕も、たまにスパムフォルダを確認してる。誤検出がないか確認するため。でも、ほとんど誤検出はない。たまに、正常なコメントがスパムに分類されることもあるけど、ほとんどない。
その他のスパム対策プラグイン
Akismet以外にも、スパム対策プラグインはいくつかある。で、これも結構便利なんだよね。
1. Antispam Bee
ドイツ製のスパム対策プラグイン。Akismetと同様に、自動的にスパムコメントを検出してくれる。で、これが結構人気。
Antispam Beeの特徴は、プライバシー重視の設計。外部サーバーにデータを送信しない。だから、プライバシーを重視する人には、Antispam Beeがおすすめ。僕も、一部のサイトでは、Antispam Beeを使ってる。
2. WP-SpamShield
強力なスパム対策プラグイン。JavaScriptとCookieを使ってボットをブロックする。で、これが結構効果的。
WP-SpamShieldの特徴は、設定不要で使える。インストールして有効化するだけで、スパムコメントをブロックしてくれる。僕も、「設定不要で使えるなんて、すごく便利」って思った。
3. CleanTalk
クラウドベースのスパム対策サービス。コメントだけでなく、フォームやユーザー登録のスパムもブロックしてくれる。で、これが結構高機能。
CleanTalkの特徴は、高い精度。でも、有料プラン。無料トライアルがあるから、試してみるのもあり。僕も、無料トライアルを試したことがある。で、「これは結構いいな」って思った。
reCAPTCHAの導入
reCAPTCHAは、Googleが提供するスパム対策サービス。「私はロボットではありません」のチェックボックスで有名。で、これが結構効果的なんだよね。
僕も、一部のサイトでreCAPTCHAを使ってる。これを使うと、ボットによるスパムコメントをほぼ完全にブロックできる。で、「reCAPTCHAは本当に便利」って思った。
reCAPTCHAの導入方法
1. reCAPTCHAのサイトキーとシークレットキーを取得
- Google reCAPTCHAのサイト(https://www.google.com/recaptcha/)にアクセス
- 「Admin Console」をクリック
- サイトを登録して、サイトキーとシークレットキーを取得
サイトキーとシークレットキーは、reCAPTCHAを使うために必要。これをWordPressに設定する。で、これが少し面倒なんだけど、一度設定すれば、ずっと使える。
2. プラグインをインストール
- WordPress管理画面から「プラグイン」→「新規追加」を開く
- 検索ボックスで「reCAPTCHA」を検索
- 「Google Captcha (reCAPTCHA) by BestWebSoft」などのプラグインをインストール
- 「有効化」をクリック
reCAPTCHAのプラグインは、いくつかある。どれを使ってもいいけど、「Google Captcha (reCAPTCHA) by BestWebSoft」が人気。僕も、これを使ってる。
3. サイトキーとシークレットキーを入力
- プラグインの設定画面を開く
- サイトキーとシークレットキーを入力
- 「変更を保存」をクリック
これで、reCAPTCHAが有効になる。コメントフォームに「私はロボットではありません」のチェックボックスが表示される。で、「よし、これでボットをブロックできる」って思った。
コメントスパム対策のベストプラクティス
最後に、コメントスパム対策のベストプラクティスを紹介しておこう。まあ、これは僕が普段やってることなんだけど、参考になれば嬉しい。
1. 複数の対策を組み合わせる
Akismet + reCAPTCHA + コメント承認制など、複数の対策を組み合わせる。一つの対策だけでは不十分。で、複数の対策を組み合わせることで、スパムコメントをほぼ完全にブロックできる。
僕も、Akismetとコメント承認制を組み合わせてる。これで、ほとんどのスパムコメントをブロックできてる。で、「これで安心」って思った。
2. 定期的にスパムコメントを確認
スパムフォルダを定期的に確認して、誤検出がないかチェックする。正常なコメントがスパムに分類されている場合は、「スパムではない」をクリック。で、コメントが承認される。
僕も、週に1回くらいスパムフォルダを確認してる。誤検出はほとんどないけど、念のため確認してる。で、たまに、正常なコメントがスパムに分類されてることもある。
3. コメント欄を監視
コメント欄を定期的に監視して、スパムコメントがないか確認する。新しいコメントが投稿されたら、通知メールを受け取る設定にする。で、すぐに気づける。
WordPressの設定で、新しいコメントが投稿されたら、メールで通知してくれる。これを有効にしておけば、すぐに気づける。僕も、この設定を有効にしてる。
4. 古い記事のコメントを無効にする
古い記事(例: 1年以上前の記事)のコメントを無効にする。古い記事はスパムコメントのターゲットになりやすい。で、古い記事のコメントを無効にすることで、スパムコメントを減らせる。
これは、結構効果的。古い記事にスパムコメントが集中することが多いから。僕も、1年以上前の記事のコメントを無効にしてる。
設定方法
- WordPress管理画面から「設定」→「ディスカッション」を開く
- 「○日以上前の投稿のコメントフォームを自動的に閉じる」にチェックを入れる
- 日数を入力(例: 365日)
- 「変更を保存」をクリック
これで、1年以上前の記事のコメントが自動的に無効になる。簡単でしょ?
よくある質問
Q1: Akismetは無料で使えますか?
個人ブログなら無料で使える。商用サイトの場合は、有料プランが必要。
Akismetの無料プランは、個人ブログ専用。商用サイトで使う場合は、有料プランに登録する必要がある。でも、個人ブログなら無料で十分。僕も、個人ブログでは無料プランを使ってる。
Q2: コメント機能を無効にすると、SEOに悪影響はありますか?
ほとんど影響はない。
コメント機能を無効にしても、SEOにはほとんど影響はない。Googleは、コメントの有無でランキングを決めてるわけじゃない。だから、コメント機能を使わないなら、無効にした方がいい。
ただし、コメント欄でユーザーとのコミュニケーションを取ってる場合は、無効にしない方がいい。ユーザーとのコミュニケーションは、サイトの価値を高める。で、SEOにもプラスになる。
Q3: reCAPTCHAを導入すると、ユーザーの利便性が下がりませんか?
少し下がるかもしれない。でも、スパムコメントをブロックできるメリットの方が大きい。
reCAPTCHAを導入すると、コメントを投稿する時に「私はロボットではありません」のチェックボックスをクリックする必要がある。これは、ユーザーにとって少し手間。で、「面倒だな」って思うかもしれない。
でも、スパムコメントをブロックできるメリットの方が大きい。スパムコメントが大量にあると、サイトの信頼性が下がる。だから、reCAPTCHAを導入する価値はある。僕も、reCAPTCHAを導入してる。
まとめ
WordPressのコメント欄はスパムコメント攻撃の標的になりやすい。Akismetプラグインとコメント承認制を組み合わせることで、ほとんどのスパムコメントをブロックできる。で、スパムコメントの管理がすごく楽になる。
スパムコメントを放置すると、サイトの信頼性低下、SEOへの悪影響、セキュリティリスクがある。だから、早めに対策することが重要。僕も、スパムコメント対策は早めにやるようにしてる。
基本的な対策は、コメント機能を無効にする、コメント承認制にする、ログインユーザーのみ許可。で、Akismetプラグインを使えば、自動的にスパムコメントを検出してくれる。これは、本当に便利。
あと、reCAPTCHAを導入すれば、ボットによるスパムコメントをほぼ完全にブロックできる。複数の対策を組み合わせることが重要。僕も、複数の対策を組み合わせてる。
僕も、Akismetとコメント承認制を組み合わせてる。これで、スパムコメントの管理がすごく楽になった。クライアントにも「スパムコメント対策は早めにやってください」って言ってる。で、「Akismetは必ず入れてください」って言ってる。
WordPressのセキュリティ、不安に思っていませんか?
「自分のサイトは大丈夫だろうか…」
「何から手をつければいいか分からない…」
もしあなたが少しでもそう感じているなら、専門家によるセキュリティ診断を受けてみることを強くお勧めします。
上記のサイトでは、WordPressのプロがあなたのサイトの脆弱性を無料で診断してくれます。問題が見つかれば、具体的な対策方法についてもアドバイスをもらえます。手遅れになる前に、一度プロの目でチェックしてもらい、安心を手に入れましょう。