パスワードリセットフォームはスパムボットに悪用されやすいものです。そして、長年にわたるスパム対策技術の大幅な改善にもかかわらず、スパムはほとんどのウェブサイトにとって大きな問題であり続けています。
私の経験では、小規模のウェブサイトはスパム対策について積極的に考えないことが多い。スパムのターゲットになるには有名なウェブサイトでなければならないので、新しいウェブサイトが最初に心配するような問題ではないというのが一般的な考え方です。
しかし、最初から正しい解決策を導入していれば回避できたはずのトラブルが、そのような考え方によって引き起こされたケースに何度か遭遇している。
アンチスパムを有効にするのは複雑なことではなく、さまざまな対処法があります。そこでこの記事では、WordPressサイトで不正なパスワードのリセットを阻止する最も簡単で効果的な方法について説明します。
WordPressの不正なパスワードリセットを防ぐ方法
私が試した、あなたのサイトから不要なパスワードのリセットを取り除くための方法をいくつかご紹介します。
1.WPFormsをインストールしてユーザー登録アドオンを有効にする
パスワードリセットフォームで効果的にスパムと戦うには、強力なスパム防止ツールを備えたフォームビルダーが必要です。
WPFormsは数少ないスパム対策プラグインです。
WPForms Liteでも多くの強力なスパムフィルタにアクセスできますが、私はより包括的なスパム対策のためにWPForms Proを使用します。
WPForms Proのライセンスを取得したら、アカウントに移動し、ログインして WPFormsアカウントページにアクセスし、ダウンロードタブに移動します。WPFormsのダウンロード ボタンをクリックします。
重要:このページにいる間に、ライセンス・キー番号をコピーしてください。次のステップで必要になります。
次に、WordPressサイトにアクセスしてログインする。ダッシュボードで、プラグイン" 新規追加を クリックします。次に、プラグインのアップロードボタンをクリックします。ダウンロードしたWPForms .zipファイルを添付し、インストールします。
WordPressがWPFormsプラグインのインストールを完了したら、プラグインの有効化をクリックします。
プラグインがインストールされ有効化されると、左のナビゲーションサイドバーにWPFormsが表示されます。WPForms " Settingsをクリックすると、デフォルトでGeneral settingsタブが開きます。
上部にライセンスキーの設定が表示されます。アカウントページからコピーしたライセンスキーを貼り付けます。 そしてVerify KeyをクリックしてWPFormsを有効化します。
WPFormsがあなたのサイトにインストールされたので、あとはUser Registrationアドオンをインストールするだけです。
WordPressのダッシュボードからWPForms " Addonsをクリックします。このアドオンにアクセスするにはProライセンス以上が必要です。
ユーザー登録アドオンを探し、アドオンのインストールボタンをクリックします。
アドオンがインストールされると、トグルスイッチが表示され、好きなように有効/無効を切り替えることができます。
何か問題がある場合は、WPFormsアドオンのインストールと有効化に関する詳細な説明をお読みください。また、WordPressのプラグインをインストールするための完全なガイドをチェックすることができます。
2.パスワードリセットフォームの作成
WPFormsがインストールされ、有効化されたので、フォームを作成する準備ができました!まず、WordPressのダッシュボードからWPForms"Add Newをクリックします。
その後、検索テンプレートバーを見つけ、ユーザーパスワードリセットフォームと入力します。オプションにカーソルを合わせ、「テンプレートを使用」をクリックします。
テンプレートがフォームビルダーに読み込まれ、とてもシンプルであることがわかります。ボットを寄せ付けないためにスパムフィルターを追加するなど、お好きなようにカスタマイズできます。
3.パスワードリセットフォームのスパム防止を有効にする
デフォルトでは、WPFormsはすべてのフォームに対して最新のスパム対策を備えています。しかし、デフォルトのフィルタに加えて追加のスパム防止対策を有効にすることで、セキュリティをさらに高めることができます。
これらのオプションのいくつかを探ってみよう。まず、設定 " スパム対策とセキュリティにアクセスしてください。
また、フォームに使用できる様々なスパム対策の詳細については、総合的なお問い合わせフォームスパム対策ガイドを ご覧ください。
パスワードリセットフォーム用Akismet
Akismetは間違いなくWordPressの世界で最も信頼できるスパム対策ソリューションです。WPFormsとシームレスに統合され、追加設定を必要としません。
Akismetがあなたのサイトにインストールされ、有効化されていれば、あとはAkismetスパム対策の有効化トグルボタンを押すだけで、フォーム上で簡単にAkismetを有効にすることができます。
Akismetは、提供されたフォーム入力のパターンを分析することによってスパムを検出するためにインテリジェントに動作します。
もしAkismetが怪しいと感じたら、投稿をブロックします。フロントエンドでの表示は以下のようになります。
Akismetを使ったスパムフィルタリングの完全なチュートリアルをご覧ください。
あるいは、別のキャプチャサービスやCloudflare Turnstileを使うこともできる。
パスワードリセットの悪用を防ぐクラウドフレアのターンスタイル
WPFormsでTurnstileを設定するには、WordPress管理メニューのメイン設定メニューからCAPTCHAタブをクリックします。ここにはhCaptcha、Google reCAPTCHA、Cloudflare Turnstileの統合オプションがあります。
フォームにCloudflare Tunrstileを設定するための完全なチュートリアルはこちらをご覧ください。私が開発を手伝った友人のスタートアップのウェブサイトでは、スパム送信の数が大幅に減り、Turnstileを使った素晴らしい結果をいくつか見てきました。
Turnstile を有効にすると、フォームビルダーの右上に認証バッジが表示されます。
最短提出期間
最小送信時間設定は、スパムに対する私の秘密兵器です。これは最もシンプルなスパム防止テクニックのひとつです。しかし、最も影響力のあるテクニックの一つであることに変わりはない。
なぜなら、スパムボットは自動化されたプログラムで、短時間に大量のフォームを繰り返し送信するように設計されているからです。単純な最低時間制限を加えることで、多くのタイプのスパムボットを打ち負かすことができます。
このスパムフィルターを使用するには、送信までの最短時間を有効にする トグルボタンをクリックし、秒単位の値を挿入するだけです。
パスワードリセットフォームは非常に短いので、本当の人がフォームに記入するのに少なくとも2秒かかると予想できます。しかし、ボットはミリ秒単位で入力するため、偽の不正な入力は決して許されません。
キーワードと国のフィルター
キーワードフィルターや国別フィルターは、必ずしもスパムをブロックするために使われるわけではないので、かなり多目的に使える。しかし、注意して見ていると、同じようなキーワードパターンがスパムボットによって繰り返されているのを見つけることができる。
例えば、他の言語の文字であったり、スパマーが使っている特定のウェブサイト名であったり、似たようなものです。キーワードフィルターは、本当の訪問者が使用するとは思わないキーワードが頻繁に使用されていることを確認した場合、そのようなスパムの事例を効果的にブロックすることができます。
同様に、国フィルターはスパムが特定の国から発信されている場合に非常に便利です。その国に本当の顧客や訪問者がいる場合、その国全体をフォームへのアクセスからブロックすることは良い選択ではないかもしれませんが、この機能は、本当の訪問者とスパマーの所在地が明確に分かれているローカルビジネスにはとても効果的です。
しかし、スパムがどこから来ているのかという明確な情報が必要です。この情報を取得する簡単な方法は、WPFormsのジオロケーション機能を 使用するか、ユーザーのIPアドレスに基づいて場所を推測することです。
カスタムCaptchaを追加する
Custom Captcha もシンプルで効果的なスパム対策です。使用するには、フォームビルダーを開き、ファンシーフィールドをスクロールダウンし、カスタムキャプチャオプションをドラッグまたはクリックしてフォームに追加します。
追加できるカスタムCaptcha問題には、数学と質問と回答の2種類があります。
数学キャプチャ
デフォルトのカスタム Captcha は数学の質問です。フォームビルダーでこれをクリックすると、フィールドオプションが表示されます。
算数の問題を残すことにすると、ページが読み込まれるたびに自動的に新しい問題が生成され、足し算、引き算、掛け算のどれかになります。
Math Captchaをカスタマイズしたい場合は、いくつかのカスタムコードを使用することができます。詳しくは 数学キャプチャの変更方法についてのチュートリアルをご覧ください。
質問と回答のキャプチャ
また、カスタム質問と回答に変更することもできます。このオプションでは、ユーザーが答えなければならない独自の質問を作成することができます。これらの質問はかなり一般的な知識で、スペルが簡単なものになるように注意してください。
デフォルトでは質問は1つだけですが、もっと追加することができます。ページがロードされるかリフレッシュされるたびに、フォームはそれらを循環して表示します。
カスタムCaptchaフィールドをフォームに追加する方法は以上です!
完全なカスタマイズオプションについては、Custom Captchaアドオンのインストールと使用方法に関するドキュメントをご覧ください。
4.フォームを保存して公開する
わずかな時間でWPFormsをインストールし、WordPressの不正なパスワードリセット要求を阻止するための独自のユーザーパスワードリセットフォームを作成しました。
簡単だろう?
あとはフォームを保存して公開するだけです。この部分は楽勝でしょう。
まず、右上にあるオレンジ色の保存ボタンを見つけてクリックします。せっかく作ったものを失いたくないでしょう!
フォームが保存されたら、左側に移動して埋め込みボタンをクリックします。
ウェブサイトにフォームを埋め込むには2つの方法があります。既存のページに埋め込むか、新しいページを作成するかです。
既存のページを選択すると、ウェブサイト上のページのリストがドロップダウンで表示され、使用するページを選択できます。
この例では、このフォームを新しいページに埋め込んでみましょう。このオプションを選択すると、ページに名前を付けるプロンプトが表示されます。新しいページに名前を付けたら、Let's Goをクリックします!フォームが埋め込まれた新しいページが開きます。
今すぐフォームを埋め込む準備ができていなくても、心配はいりません。フォームを埋め込む方法は他にもあります。ウェブサイトにフォームを埋め込む方法については、さらに詳しい情報がありますので、いつでもご覧ください!
不正なパスワード再設定リクエストに関するその他の質問
誰かが私のWordPressのパスワードをリセットしようとしているかどうかを見分ける方法は?
他の誰かがWordPressのパスワードをリセットしようとしている場合、リクエストがあったことを知らせるメールが届く可能性があります。また、ログインの試行についてウェブサイトのログを確認することもできます。このような場合は、パスワードを変更してください。
WPFormsでアンチスパムを有効にしてパスワードリセットフォームを作成することで、ボットの試みを排除するのに役立つ追加のセキュリティレイヤーを追加しています。
不正なWordPressパスワードのリセットからサイトを守るために、どのような対策を講じればよいですか?
常にそのサイト独自の強力なパスワードを作成しましょう。多くのウェブブラウザや1Passwordのようなツールは、あなたに代わってパスワードを提案してくれます。パスワードも定期的に変更しましょう。
2FA(2要素認証)をオンにするのも賢明です。サインインプロセスにステップが追加されますが、その過程でWordPressのセキュリティにもう1つのレイヤーが生まれます。例えば、パスワードを入力した後、メールやテキストメッセージ、認証アプリで受け取った認証コードを入力する必要があるかもしれません。
WordPressサイトでは、どのようなサイトセキュリティを考慮すべきでしょうか?
すでに提案されていることに加えて、データを保護するためにサイトでSSL暗号化を使用してください。また、ボットからのブルートフォースアタックを防ぐために、レート制限を導入することもできます。
他のユーザーがあなたのサイトにアカウントを持っている場合、何らかのユーザー認証プロセスを設けるのも良いアイデアです。
次に、パスワードで保護されたページをカスタマイズしてみましょう。
これで、WordPressで不正なパスワードのリセットをなくすために必要な手順が整いました。それでは、WordPressでパスワードで保護されたページをカスタマイズする方法をご覧ください。
フォームを作る準備はできましたか?最も簡単なWordPressフォームビルダープラグインで今すぐ始めましょう。WPForms Proにはたくさんの無料テンプレートが含まれており、14日間の返金保証がついています。
この記事がお役に立ちましたら、Facebookや TwitterでWordPressの無料チュートリアルやガイドをフォローしてください。
