ワードプレスでURLとリンクをスパムコメントが止まらない場合の対処方法をご紹介いたします。


ワードプレスのスパムコメントが止まらない理由や目的は?

ワードプレスのコメントは初期設定では誰でも書き込みができるようになっています。
この為ハッカーが不正なプログラムを外部から使用して自動で大量のワードプレスサイトにSEO目的や不正サイトへの誘導の目的でリンク付きのコメントを大量に書き込むことがございます。

また、コメントは管理者に通知されますのでその通知メールを不正に送信させることが目的の場合もあります。

スパムコメントはコメントが有効になっているサイトではだれでも(不正なソフトウェア経由でも)書けますので大量のスパムコメントが書き込まれたといってもサイトがハッキングされてしまっているわけではございません。

スパムコメントを抑制するには?

ワードプレスサイトには、コメント関連の設定がいくつかありコメントを停止したり、サイトにコメントが表示されるには管理者の許可を必要とするように設定することが可能です。

※設定はワードプレスの管理画面>設定>ディスカッション から行えます。

ただ、管理者の許可が必要な設定になっている場合も、管理画面のコメント一覧にスパムコメントが大量に記録されてしまう場合があります。

不正なスパムコメントを根本的に止める

下記の3つの対策でスパムコメントの書き込み自体を劇的に減らすことが可能です。

1 コメントフォームキャプチャ

コメントフォームに人間にしかわからない計算問題などのキャプチャを付けます。このキャプチャーはハッカーが使用しているスパムコメントのソフトウェアは解くことができませんのでスパムコメントの書き込みを防ぐ効果があります。

2 プロクシ経由のコメント投稿の禁止

プロクシとは、アクセスを仲介して本来の発信元を隠す目的で利用されることの多い仕組みです。スパムコメントはプロクシサーバー経由で書き込まれることが多いため、プロクシサーバー経由のコメントを判定して書き込みできないようにします。

ワードプレスのHTACCESSファイルに下記の書き込みをすることでプロクシサーバー特有の文字列がアクセス元のリクエストに含まれている場合にアクセスを遮断します。

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^POST
RewriteCond %{HTTP:VIA} !^$ [OR]
RewriteCond %{HTTP:FORWARDED} !^$ [OR]
RewriteCond %{HTTP:USERAGENT_VIA} !^$ [OR]
RewriteCond %{HTTP:X_FORWARDED_FOR} !^$ [OR]
RewriteCond %{HTTP:X_FORWARDED_HOST} !^$ [OR]
RewriteCond %{HTTP:PROXY_CONNECTION} !^$ [OR]
RewriteCond %{HTTP:XPROXY_CONNECTION} !^$ [OR]
RewriteCond %{HTTP:HTTP_PC_REMOTE_ADDR} !^$ [OR]
RewriteCond %{HTTP:HTTP_CLIENT_IP} !^$
RewriteRule wp-comments-post\.php - [F]
</IfModule>

3 リファラのないアクセスのコメントを禁止

リファラとはどのページからそのユーザーが現在のページに移動してきたかのデータです。スパムを書き込むソフトウェアはこのリファラがないことが多いため、リファラのないアクセスのコメント書き込みを禁止します。

ワードプレスのHTACCESSファイルに下記の書き込みをすることでリファラのないアクセスのコメント書き込みを禁止できます。

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} ^(.*)?wp-comments-post\.php(.*)$
RewriteCond %{HTTP_REFERER} !(^.*\:\/\/localhost) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule .* http://127.0.0.1 [L]
</IfModule>

※すでにコメントスパムが大量にある場合の消し方は下の記事を参照してみてください
WordPress ワードプレス 大量のスパムコメントの一括削除方法と、スパムコメントへの対処方法

プラグインで簡単にコメントスパムを抑制する

【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除] をご利用いただくことで上記の対策3つを簡単に行うことが可能です。

プラグインのマルウェアスキャン>セキュリティータブ>詳細設定ラジオボタン(もしくはセキュリティーレベル:中以上)に設定いただくことでコメントスパムを抑制することができます。

WordPress ワードプレスのマルウェア駆除・セキュリティー対策のご依頼・ご相談はワードプレスドクターまでお気軽にお送りください

関連記事:

  1. ワードプレスでHTACCESSの書き込みだけでできるセキュリティー対策5選
    HTACCESSに設定を記載するだけでできるセキュリティー対策をいくつかご紹介いたします。...
  2. ロボットによるスパムコメントポスティングをHTACCESSファイルから防ぐ方法
    コメントスパム(コメントに不正な文字列党やリンクが書き込まれる)はワードプレスでコメント機能を有効にしている場合、とても厄介な問題ですね。 今回は、ロボット(自動でコメントを書き込む)経由で書き込まれるスパムをHTACCESSファイルから防ぐ方法を解説いたします。...
  3. ワードプレスで使えるHTACCESSのリダイレクト技8選
    HTACCESSとは、サーバーがサイトへのアクセスがあった場合にページを表示する前に読み込んで、HTACCESSがあるディレクトリ以下すべてのファイルへのアクセスのルールを制御するファイルです。 HTACCESSファイルはワードプレスがインストールされている一番上のディレクトリ(フォルダー)に必ずあります。 ※HTACCESSファイルがない場合はこちらの記事を参照されてください。...
  4. ワードプレスのマルチサイト全体のSSL(HTTPS)化
    ワードプレスのSSL(HTTPS)化の方法はウェブ上に多数ございますが、マルチサイトのSSL化の方法はあまりないようですのでクライアント様の依頼事例からマルチサイトのSSL化の手法をご紹介します。作業はワードプレスドクターで安全に代行可能ですのでご相談ください。...
  5. ワードプレスがハッキング・改ざん・乗っ取りされた際にユーザー向けに行うべきこと
    ワードプレスが改ざんされて、別のサイトにリダイレクトされる、懸賞サイトに飛ばされる、不正なファイルのダウンロードをされる等、サイトに訪ねてくれたユーザーに被害が及ぶ可能性がある場合にユーザー向け(サイトを利用してくれる方)にどのように対応したらよいかを解説いたします。...
  6. ワードプレスのセキュリティー、SQLインジェクションをHTACCESSで防ぐ
    ワードプレスのセキュリティーを向上させるためにSQLインジェクションを防ぐ方法を解説いたします。...