WordPressへのコメントスパムが連続で酷いことに～reCAPTCHAを設置して防御する

コメントスパムが立て続けに
Akismetで完全にスパム判定されている
どこの国の言語なんだ？
1. ロシア語によるコメントスパム件数が酷い
何かよい対策方法はないものか？

コメントスパムが立て続けに

数ヶ月ほど前から、ブログにコメントスパムが立て続けに書き込まれています。書き込み件数も多いですし、同じIPアドレスからの場合も立て続くので、おそらく手動ではなくプログラム（Bot）を使って自動でスパムコメントを世界中に巻き散らかしているんだろうと思います。

しかも、読めない言葉（言語・文字）を使われているのでどこの輩が迷惑をかけに来ているのかも分かりません。気色が悪いというのも本音です。

Akismetで完全にスパム判定されている

幸い、WordPressと相性の良いコメントスパムフィルター「Akismet」がコメントスパムと判定して、100%ブロックしてくれているのでブログの表面上には見えない形で防いでくれています。もし「Akismet」を使ってなかったら丸見え状態になって、サイトが荒らされている状況が来訪者に分かってしまいます。

管理画面に入ると一日で50件位のコメントスパムが書き込まれるので、一週間放置しているとそれなりの件数になります。ハッキリいってウザいですね。

どこの国の言語なんだ？

コメントが読めないし知らない文字なので調べてみることにしました。Google翻訳にコピペで貼り付けてみました。Google翻訳は不明な言語でも自動認識を選んでおけば識別してくれます。

ロシア語によるコメントスパム件数が酷い

理由のわからないコメントの一部をコピーして、Google翻訳に貼り付けて翻訳してもらいました。

Информационный портал о Китае
コメントスパムよりコピペ引用（どこの国の言語かも不明）

その結果、ロシア語で、「中国に関する情報ポータル」と書いてあるのだと分かりました。もちろんこの後にはリンク先URLが記載されていました。

何かよい対策方法はないものか？

先述の通り、「Akismet」がブロックしてスパムとして分類してくれているので、確認して削除すれば消えてしまいますが、ハッキリ行って手間の無駄遣いです。

それにやられっぱなしというのも悔しいので何か対策をしようと思います。スパマー達にとって、今までプログラムを使って手間をかけずに自動でやり放題出来ていたことが出来なくなるのが一番悔しいでしょうからその方法で仕返し（対策）します。技術的に防御して悔しい思いをさせることにします。

やられっぱなしで我慢するのも限界なので、相手が一番嫌がることを対策することにしました。コメントの仕組みを変更することにします。スパマーはBotを使って自動処理させていることが想像出来るので、それが出来なくなる様にすれば良いと思うのです。

Google reCAPTCHAでコメントスパム対策

Google reCAPTCHAを使ってみることにしました。下記リンク先からサイトを登録してAPIキーを入手して、WordPressにインストールしたreCAPTCHプラグインに記憶させるだけです。

reCAPTCHA

reCAPTCHA

https://www.google.com/recaptcha/about/

reCAPTCHA is a security service that protects your websites from fraud and abuse.

GoogleのreCAPTCHAの仕組みを使わせて貰うのと、対応したプラグインのインストール（設定）という基本的にはこれだけなのですが、一筋縄で行かないのがWordpressというかPHPの厄介な点です。プラグイン開発者が開発を止めると使えなくなったりするので先々のトラブルも出てきます。

「Invisible reCaptcha」は当サイトのWordpressでは使用できなかった

今回も、プラグインの選定で若干面倒がありました。一番シェアが高そうな「Invisible reCaptcha」をインストールして設定しようとしたのですが、下図の様に設定画面が変です。バグがあるみたいで当サイトのサーバー環境（おそらくPHPのバージョン的に）では動かないみたいです。開発が滞っているのかも知れません。

諦めて他のプラグインを使ってみることにしました。

「reCaptcha by BestWebSoft」が使えた

機能的には簡単なので良いのでシンプルなreCaptchaプラグインをインストールしてみたところ、reCAPTCHA V2にしか対応していなくて、またGoogleで作り直しとなりました。しかしコメントフォームでreCAPTCHAが表示されなくて保護されません。期待通りに動いてくれないみたいです。先日サーバーのPHPのバージョンを上げたのでそれが問題かも知れません。

結局、reCAPTCHA V3をまた作り直して（Googleさんごめんなさい）、「Captcha by BestWebSoft」というプラグインにたどり着きました。V3は常時監視してボットか人間かを判定しているらしく、右下にreCAPTCHのアイコンが表示される様になります。若干サイト表示がもたつくらしいのですが妥協するしかありません。

WordPress.org 日本語

reCaptcha by BestWebSoft

https://ja.wordpress.org/plugins/google-captcha/

Protect WordPress website forms from spam entries with Google reCAPTCHA.

ちなみに当サイトのログインページも保護されます。当サイトのパスワードは無意味で非常に長いパスワードにしているので簡単には乗っ取られる可能性は低いと考えていましたが、サイトログインのページにもreCAPTCAが表示される様になったので、BotによるWordpressサイト乗っ取りに対する防御も上がるんじゃないかなと思います。

しばらくこれで様子をみてみます。

追記

やっぱりInvisible reCaptchaはPHPのバージョンが新しいとダメみたいです。情報を提供して下さっているサイトがあったので裏付けがとれてスッキリしました。

IT系ワーママの毎日てくてっく

Invisible reCaptchaの設定画面がおかしい・エラーが出るときの対処法

https://tekuteku-shoji.com/invisible-recaptcha-error-2/

Invisible reCaptchaの設定画面がおかしくてお困りでしょうか、それともトップページに突如表示されたWarningの消し方をお探しでしょうか。これらはPHP8.0の環境でInvisible reCaptchaプラグインを使用したときの不具合です。Invisible reCaptchaを無効化して代替プラグインを入れることで解決します。

それとコメントスパム対策としてreCAPTCHA導入効果ありでした。導入した直後に数件外国語でコメント（リンク付き）を書き込まれてしまいましたが、その後はコメントスパムは一件も無くなりました。

仮にロシア人が当サイトに広告的なコメントをBOTで書き込みまくるというスパム行為をしていたとしても、対策したというこの記事を読めないでしょうからシテヤッたりです。Googleさん便利なセキュリティツールの提供ありがとうございます。