goods and life +

inali おすすめ WordPress プラグイン(出入り口編)

また最近某レンタル鯖が物騒なことになってたしね…(´・ω・`)

関係ないけど、気をつけよう!、ってことで…。

WordPress プラグインはいろんな用途のものが充実してます。
だからといって考えなしに次々たくさん入れちゃうのもアレなんですけど、WordPress を普通にブログとして使っているのなら、プラグインにもよりますがだいたい20個程度までに絞って厳選して使っていれば問題ないかとおもいます。

紹介したい WordPress プラグインは用途によって様々で、数もたくさんありますけど、今回は特に『ログイン・ログアウト時や、フォーム、コメント、トラックバック書き込みあたりで活躍している便利なもの』に絞って紹介します。
というか、自分が愛用してるだけなんですけどねー、プラグイン作者さんたち、ありがとう!

inali おすすめ WordPress プラグイン(出入り口編)

まずは「いの一番」

Force email login
ログインに e-mail を使います、ユーザー名が e-mail だとか、たぶん想定外じゃ?
ぶっちゃけログイン名に「admin」とか「123456」、パスワードに「password」とか書いちゃうアレな人は今の世の中マジで死屍累々ですし、いい加減やめましょう。
たぶん、同じ共用サーバーに入っている人もしんでしまいます。

そこで、クラッカーのプログラムの発想の斜め上をいきましょうってことで、Force email login プラグインを使っています。
そうするとこうなります、ユーザー名が e-mail。

Force_email_login+Captcha

で、下に算数にチャレンジ、とか出ているのが Captcha というプラグインのオマケ機能で、ログインパネルにも表示させる事が出来るため、気休めかもしれないけどプログラムにアタックされてそのまますんなりログインされちゃう事が防げます。

Captcha はもともとスパム書き込みされやすいコメント欄やトラックバック、Contact Form 7 のような問い合わせフォームなどに書き込まれるときにわけのわかんない文字を生成したりしてスパム対策をするものなんですが、あの文字が読みにくいのは人間も同じなので、最近はちいさい子供でもできる簡単な計算問題を表示するようになりました。

Captchaの設定

このように、足し算、引き算、掛け算、難易度(アラビア数字に漢字が入り混じるとか)の設定がおこなえます。

これがあれば、プログラムが自動的にスパムを書き込みに来てもできないというか、まあそれでも偽ブランドのページを「人力でシコシコ書き込む」中華スパマーには効いてないですけど(笑)

あと、パスワードは、もしブルートフォースアタック(総当たり攻撃)されても、解読するまでにはてしなく悠長な時間が必要になるくらいの、できるだけ長くてぐちゃぐちゃに生成されたものを使うのがいいと思います。
そうするとおぼえてられないので、パスワード管理専用のソフトがあれば効率がいいです。

1Password

で、パスワードは意味のある言葉を使わずにランダム生成する方が吉。
inali は Mac でログイン管理に使っている 1Password のオマケ機能のパスワードジェネレーターでパスワードをちゃちゃっと作ったり、作り替えたりしてます。

まあ 1Password はちょっとヘルプページとかの日本語化がまだイマイチでかつ値段も高いのですが、一度使うと手放せないくらい便利なので、App Store でのカスタマー評価も常時すごく高いもの、持ってて絶対損はしません。

で、次にログインしたあとのこと。

Crazy_Bone(狂骨)でチェック。
なんだか絵がおどろおどろしくて味があったりして気に入ってます。

Crazy Bone

…て、違います、Crazy Bone (狂骨)はログイン、ログアウト時のユーザー名、日時、IPアドレス、ユーザーエージェントを記録するので、自分以外が出入しりたら一発でわかっちゃうやろという代物です。

Crazy Bone

Crazy Bone があれば、アタックの様子や不審な入退室はすぐにバレます。
つまり、万が一もしもの事があった時も、発見がはやくなるので、緊急で対処できる確率も上がるかと。
これ。▼ 一日中ブルートフォースアタックしててもログインエラーで入れない状態。

ログインエラー

残された IP をどう始末するかは自由だけど、inali の場合は Cloudflare のカスタムルールを使って、IP Range で ban にしときます、まあ気休めですけど。

クラウドフレアのカスタムルール

Login Security Solution
http://wordpress.org/plugins/login-security-solution/
これもあると安心です。
一定回数ログインが失敗した場合に、ログイン処理に時間がかかるようにしてみたり、管理者への通知を行うように設定ができるプラグインです。
使い方は adminweb さんの情報がとても詳しいので助かります。
Login Security Solutionプラグインの使い方

 

UGC スパムも対策しよう
あと、ログインしたら毎回たまってるのがウザいスパム書き込み。
WordPress を使うなら、Akismet はもう説明不要の必需品だと思います。
毎日自動でスパムをどんどん隔離してくれる働き者。

Akismet

inali は昨年 8月の半ば以降にファンブログから WordPress に移転して使っているんですけど、こうしてみると、やっぱりホリデーシーズンの詐欺師の活発化はものすごい勢いですよ。
これがなかったら、スパム書き込みを消去するのすげー面倒臭い事になっているはず。

まあコメント欄なんてなくして、というか、User Generated Content(UGC)の部分をなくしてしまって、かわりに Facebook や Twitter の書き込み欄にしとけば、サイトの一般公開領域における不正行為はなくなるし、スパム書き込みとも縁が切れるし、記事だってより外部に向かって拡散するしその方がいい、というような合理的な話もありますけど、これはアカン!って思うような衝撃的な出来事でもない限り、ブログにはコメント欄は普通にあった方がいいかと。

で、Akismet も万能ではないので、初めて使われるスパムIPはまれに取りこぼす事があります。
でもそれもスパムとして削除するとその情報が共有されていくので、スパムIPは次回からは自動でスパム入りするのでそうそう使えなくなっていきます。
あと、滅多にない事ですけど、スパムじゃないものをスパム疑いにしたりもたま〜にあります。
そんなときだけ、手動で戻してやります。
まあ比率として多いのは海外からのしつこいスパム書き込みなので、けっこう効いてます。

あとおすすめなのが、Throws SPAM Away
エラー表示を出さず、あたかもスパム書き込みを受け付けたように振る舞いながらポイしてしまう、人の目には見えないダミーの入力項目を作成して、そこに入力があれば即無視対象とするので、プログラムによるスパム投稿にも有効なんです。

投稿IPアドレスによる制御ができるので、ブラックリスト、ホワイトリストなどが任意で設定できますし、NGキーワードも設定する事ができるので、使われている特定の言葉を入れてやれば、ファンブログで暴れているようないやらしい分野のスパマーとかはもう入れないですね。
自分で設定した内容は、コメント欄だけでなくトラックバックにも対応させる事が出来て、Akismet と共存させていてもバッティングしないで使えています。

SPAMブラックリストのスパムちゃんぷるーDNSBLに登録されているIPアドレスからのコメントを拒否するようにしておく事も出来ます。

スパムちゃんぷるーDNSBL
で、最近この Throws SPAM Away プラグインが新しくなってから、ほとんどスパムの取りこぼしがなくなってます、マジで。
変な宣伝カキコミは最近まったくない。
これはぶっちゃけすごいです、もうコメント書いてくれた人のまで消えちゃってるんじゃないかと心配になるくらい(笑)
これの新しいのを入れたとたん、最初は数回の手動中華スパムはあったものの、その後連続でスクリプトによるスパム書き込みゼロの日を更新中ですよ。

おすすめ〜(*゜▽゜*)♪

お買いもの忘れはないですか?

URL :
TRACKBACK URL :

コメントはこちらから

Return Top