「モデレートしてください」WordPressコメントのスパム対策 ~Invisible reCaptchaプラグイン
WordPressでサイト運営をしているとコメント欄経由で管理者のメールアドレス宛に「モデレートしてください」のような件名のメールがしょっちゅう飛んで来て困っていませんか?
しかも内容を見てみると、よくわからない英語の文章やURLが貼られているだけだったり、自動で大量送信されてそうな営業スパムメールだったりします。
この記事ではそんなWordPressのコメント欄からの「モデレートしてください」のスパムメールの無料でできる対策方法について解説していきます。
スパム対策のやり方は簡単です。管理画面上の設定や登録だけでOK!
コードやプログラムなどの技術的なスキルやノウハウはいりません。
この記事を監修・執筆した専門家
こんにちは!この記事を監修・執筆した斎藤はじめと申します。
私は現役のエンジニアで、普段はWordPressの開発案件などをメインに担当しています。経歴としては誰もが知っている月間数千万人が利用するサービスの開発をしたり、今でも月間数百万人が訪問する規模のWordPressサイトの運営しております。WordPressを触らない日はありません。
そんな私がプロの目で解説していきます!
まずはスパムメールの実例を見てみましょう。
※こちらは不信なリンクの貼られた実例。
※こちらは実在する会社からの不特定多数に送信する営業メール。
まともな企業なら記事のコメント欄に営業メールなど送ってきません。
本来見たいのは本当の読者ユーザーのコメントだけ。
何も対策しないとある日突然数百通というスパムが送られてきたりします。
大切なコメントがこんなスパムに埋もれたら大変。
最悪の場合、サイトの運営停止や事業の継続が困難になることすらありえます。
ぜひ事前に学んでスパム対策しておきましょう。
大量に届く「モデレートしてください」メールとは?
ではそのスパムメールの件名にもある「モデレートしてください」とはいったいどういうことなのでしょうか?
このメールの意味は「あなたの書いた記事に誰かから反応がありましたよ。対応してください」という通知の役割を持つワードプレスからのシステム自動送信メールになります。
モデレートの種類には主に次の2パターンがありメール本文の1行目に次のような分として書かれています。
- ①「●●●」への新しいコメントが承認待ちです
- ②「●●●」への新しいピンバックが承認待ちです
①「●●●」への新しいコメントが承認待ちです
その言葉通り「記事のコメント欄にメッセージが書かれたので承認の対応してください」という意味です。
②「●●●」への新しいピンバックが承認待ちです
「ピンバック」とは他のサイトにリンクを貼った記事を作成した時、そのサイトの持ち主に自動通知がいく機能です。その通知はコメント欄を通じて行われます。
つまり「新しいピンバックが承認待ちです」というメールの意味は「あなたの記事にどこからかリンクが貼られましたよ!コメント欄にそのログを掲載するか承認してください」ということになります。
ピンバック機能自体の本来の意図としては、「他サイトにリンクを貼る→気づかせて貼り返してもらう」みたいなサイト同士のコミュニケーションを増加させることにあります。
なんとWordPressではデフォルトでこのピンバックの自動送受信機能がONになっています。筆者としてはピンバック送信がデフォルトでONなんて正直少し気持ち悪いなと思ってしまいます。
通常のモデレートの対応
「モデレートしてくださいメール」が届いたら通常は手動で主に3パターンの対応します。
- ①承認する
- ②ごみ箱に移動する
- ③スパムとしてマークする
①承認する
承認することで記事のコメント欄に掲載されます。デフォルトの設定では作者の承認作業をしないとコメントは掲載されません。
②ごみ箱に移動する
コメントをゴミ箱に移動して否認、なかったものとします。
③スパムとしてマークする
コメントを削除した後、AkismetというWordPressデフォルトのスパム対策プラグインのデータベースにデータを送信してスパム登録します。このAkismetに関しては後程紹介します。
「モデレートしてください」はウザいだけではなく放置すると危険?
WordPressのコメント欄は本来はブログ管理者同士、およびとユーザーとのコミュニケーションとして機能するべき場所です。
が、そこに目を付けた不正利用者が「関係のない営業メール」や「ウイルスやフィッシング詐欺」などの悪意をもった内容のコメントを片っ端から不特定多数に投稿しているのです。
コメント欄のスパムは何が危険?
コメント欄でスパム対策をしないとどんな危険があるのでしょうか?
今はたまにスパムメールが届くくらいだから「うっとおしいけど無視さえすれば特にサイトには影響ないからスパム対策しなくてもいいや」と思うかもしれません。
しかし、コメント欄を通じたスパムメールには、設定やサイトの運用方法によってはサイトの運営が停止するほどの、時には事業が傾きかねないリスクをはらむことさえあるのです。
ただの営業スパムメールが届くだけならまだよいのですが、中にはウィルスやワームなどの悪意のあるプログラムファイルを送ってきたり、不正サイトへのURLに誘導しようとすることもあるでしょう。
自分一人が気を付けていても、メールを確認する担当全員が絶対にクリックしないと言う保証はありません。うっかり誰かがクリックしたせいでオフィス中のパソコンがウイルスに感染した!なんて話にもなりかねません。
ウィルスをはじめフィッシング詐欺やトロイの木馬、スパイウェア、ランサムウェアなど、あらゆる悪意あるメールが届く可能性があります。
あらゆる可能性をできるだけゼロに近づけるためにも、スパム対策はやっておいた方がよいと言えます。
コメントスパムメールの対策方法を紹介
「モデレートしてくださいスパム」うっとおしいだけではなく危険なことがわかりましたが、ではどう対処すればよいのでしょうか?
ご安心ください。対策方法をいくつか紹介いたします。
【コメントスパム対策①】コメント欄を使わないなら無効にする
記事のコメント欄にスパムが届いてしまうのはコメント機能が有効になっているからです。これを無効にしてしまえばコメント欄のスパムに関しては全て解決です。
以下のように
管理画面>設定>ディスカッションから
コメント欄への投稿の送受信を全てOFFにしてしまいます。
これで一応「モデレートしてください」メールが届くことはなくなりますが、他のセキュリティ対策も含めて次の②もやっておくのがおすすめです。
【コメントスパム対策②】スパム対策プラグインを追加
コメント欄は使いたいがスパムメールは受け取りたくない場合は「スパム対策プラグイン」の導入をしましょう!
2つのプラグインを紹介します。おすすめは最初に紹介する「Invisible reCAPTCHA」です。
【おすすめ!】「Invisible reCaptcha for WordPress」プラグイン
Googleのスパム対策システムである「Googleリキャプチャ(reCAPTCHA)」をかんたんに導入できる無料のプラグインです。
このプラグインだけでスパム対策機能をコメント欄だけではなく、ログイン画面やContact Form 7で作成されたフォームにも導入できる素晴らしいプラグインです。
「Googleリキャプチャ(reCAPTCHA)」について詳しく知りたい方はこちらの記事をご覧ください。
「Akismet Anti-Spam」プラグイン(商用サイトは有料)
AkismetはWordPressにデフォルトで入っているプラグインです。
インストールはされていますが、デフォルトでは有効化されていません。
記事のコメント欄のスパムを検出して仕分けする機能を持ちます。
Akismetの判定の仕組みとしては、豊富なスパム対策の実績をデータベース化し、その内容を元にコメントやフォームの内容をスパムかどうか判定しています。
Akismet自体は個人利用は無料ですが、商用サイトや企業サイトでは月額有料(900円、4,500円、22,500円)となっています。
個人サイトでも広告収益を得たい場合がほとんどだと思いますのでその場合は有料です。
有料と言うこともあり、今回は一番のおすすめの対処法としては、無料かつ精度が高い「Googleリキャプチャ(reCAPTCHA)」を使った「Invisible reCAPTCHAプラグイン」にさせていただきました。
akismetはその効果を見て2番目に対応してみるのがよいと思います。
「Invisible reCaptcha for WordPress」プラグインの導入方法
では先ほど紹介したコメントスパム対策で無料でおすすめの「Invisible reCAPTCHA」プラグインの導入方法を解説していきます。
「Invisible reCAPTCHA」プラグインインストール
WordPress管理画面から
「プラグイン>新規追加」よりキーワードにプラグイン名「Invisible reCAPTCHA」を入力し検索します。
似たようなプラグインがたくさん出てきますが、「作者: Mihai Chelaru」となっているものです。
出てきたら「今すぐインストール」。
数秒で終わるので「有効化」。
「Invisible reCAPTCHA」の設定
設定の下に「Invisible reCaptcha」という項目が追加されているので表示します。
初期の「設定」タブの中の「Invisible reCAPTCHA設定」を表示。
GoogleのreCaptchaの管理画面で発行されるv3の「サイト鍵(サイトキー)」と「秘密鍵(シークレットキー)」を入力して保存します。
GoogleのreCaptchaの2つのキーの発行方法はこちらの記事の中に書いてあるのでご覧ください。
(※見出し「Googleリキャプチャ(reCAPTCHA)v3の登録と設定」の項目にて
)
これで必要なときに「Googleリキャプチャ(reCAPTCHA)」のライブラリが読み込まれ、右下にバッジが表示されます。
(※技術的な補足 この必要なときに読み込むというのがわりと優秀で他のプラグインはほとんど全ページで読み込まれてしまいます。このInvisible reCaptchaはコメント投稿の時もコメントボタンを押してから読み込まれるという親切っぷり)
バッジ位置をインラインにすると浮いた固定表示のパーツではなくフォーム上に埋め込まれて表示されます。
バッジ自体を消したい場合は「バッジのカスタムCSS」に以下を入力してください。
.inv-recaptcha-holder{
/* 表示を消す */
display: none;
}
※いったん最初はバッジを表示してみて、いったん設定を終わらせてreCAPTCHAが機能していることが確認できたら最後にCSSで消した方がいいかもしれませんね。
スパム対策する対象ページの選択
次にどのページで「Googleリキャプチャ(reCAPTCHA)」を有効にするか選びます。
下の「WordPress」タブから「WordPress 保護設定」画面を表示し、全てチェックして保存します。
これによりコメント欄だけでなく、ログインフォームや他画面のスパム対策も同時に行えます。
ついでにお問い合わせフォームにも適用
次は必須ではないですが、Contact Form7作ったお問い合わせフォームにもスパム対策を適用する場合の設定です。
「問い合わせフォーム」タブに進みチェックして保存。
※【注意】Contact Form 7本体でもreCAPTCHAのキー設定をしている場合はライブラリの二重読み込みが発生してしまうので、本体の方のキー設定の解除をしておきましょう。
以上で設定は全て終了です。
まとめ
最後までお読みいただきありがとうございます。
いかがでしたでしょうか?
みなさまがスパムから解放されることを願っております。
最後に関連する記事のリンクを紹介しておきますね。