AI要約
身に覚えのないWordPressのパスワードリセットメールを受け取り始めた場合、それはあなただけではありません。これらのリクエストは、突然現れることが多く、1日に数件の場合もあれば、一度に数十件の場合もあります。そして、ほとんどの場合、アカウントへの侵入を試みている実際の人物ではなく、自動化されたボットから送信されます。
安心できるのは、これらのメールはあなたのサイトがハッキングされたことを意味するわけではないということです。アカウントのメールアドレスを知っている、または推測できる人なら誰でもWordPressにリセットリンクの送信を要求できるため、これらのリクエストは危険というよりも迷惑なものです。スパムが悪化する前に停止する価値はあります。
私の経験では、小規模なウェブサイトが受信トレイにスパムが溜まり始めるまで、これについて考えることはめったにありません。一般的な考えは、スパムを引き付けるには有名で大きなサイトでなければならないというものであり、そのため新しいサイトでは後回しにされます。私は、数分間の設定で防げたはずの、避けられたはずの多くのクリーンアップ作業につながるその考え方を見てきました。
これらのリクエストを停止することは、あなたが思うよりも簡単です。そこでこのガイドでは、WordPressサイトで不正なパスワードリセットを停止するための最も簡単で効果的な方法を、その原因から説明し、それらをブロックする具体的な設定に進みます。
不正なパスワードリセットリクエストを受け取るのはなぜですか?
ほとんどの不正なパスワードリセットリクエストは、WordPressのログインページやパスワード紛失ページを探してウェブをクロールするスパムボットから送信されます。それらを見つけると、収集または推測したメールアドレスを使用してリセットリクエストを送信するため、メールはランダムに感じられ、バーストで届きます。
WordPressは、デフォルトのwp-login.phpでのリセットフローにより、誰でもメールアドレスまたはユーザー名を入力して、事前の検証なしにリセットリンクをトリガーできるため、これを簡単にしています。これは、ロックアウトされた実際のユーザーにとっては便利ですが、自動化された悪用のための開かれたドアでもあります。
「誰かが次のアカウントのパスワードリセットをリクエストしました」というメッセージを受け取った場合、それが私が話しているメールです。一度か二度見るのは普通ですが、何度も見るのはボットの典型的なパターンです。
リセットリンク自体は一度しか使用できず、期限切れになるため、単独の無関係なリクエストが誰かにアカウントへのアクセスを与えることはありません。受信トレイを整理するため、そしてボットが探求するのが好きなパスを閉じるために、リクエストを停止する価値はあります。さらに、WordPressのデフォルトのパスワードリセットフォームをカスタマイズすることで、その動作をより細かく制御することもできます。
WordPressの不正なパスワードリセットを防ぐ方法
以下では、これらのリクエストが受信トレイに届き続ける理由から始め、それらを完全に削除するための私の実績のある方法を共有します。
1. WPFormsをインストールし、ユーザー登録アドオンを有効にする


パスワードリセットフォームでスパムに効果的に対処するには、強力なスパム対策ツールを備えたフォームビルダーが必要です。
WPFormsはスパムを非常に真剣に受け止めている数少ないプラグインの1つであり、フォームに複数のスパム対策防御機能を提供しています。
WPForms Liteでも多くの強力なスパムフィルターにアクセスできますが、ここではより包括的なスパム対策技術のためにWPForms Proを使用します。
WPForms Proライセンスを取得したら、アカウントにアクセスし、ログインしてWPFormsアカウントページにアクセスし、ダウンロードタブに移動します。WPFormsのダウンロードボタンをクリックします。


重要:このページにアクセスしている間に、ライセンスキー番号をコピーしてください。次のステップで必要になります。
次に、WordPressサイトにアクセスしてログインします。ダッシュボードで、プラグイン » 新規追加をクリックします。次に、プラグインのアップロードボタンをクリックします。ダウンロードしたWPForms .zipファイルを添付してインストールします。


WordPressでWPFormsプラグインのインストールが完了したら、プラグインを有効化をクリックします。


プラグインがインストールされ有効化されたので、左側のナビゲーションサイドバーにWPFormsが表示されるはずです。 WPForms » 設定をクリックすると、デフォルトで一般設定タブが開きます。
一番上にライセンスキーの設定が表示されるはずです。アカウントページからコピーしたライセンスキーを貼り付けます。次にキーを確認をクリックしてWPFormsを有効化します。


WPForms がサイトにインストールされたので、あとはユーザー登録アドオンをインストールするだけです。
WordPress ダッシュボードから WPForms » アドオン をクリックします。このアドオンを利用するには Pro ライセンス以上が必要であることに注意してください。
ユーザー登録アドオンを見つけて、 アドオンをインストール ボタンをクリックします。
アドオンがインストールされると、トグルスイッチが表示され、オン/オフを切り替えることができます。


問題が発生した場合は、WPForms アドオンのインストールと有効化 に関する詳細な手順をお読みください。また、WordPress プラグインのインストール に関する完全なガイドも参照してください。
2. パスワードリセットフォームを作成する
インストールと有効化が完了したので、フォームを作成する準備ができました!まず、WordPress ダッシュボードから WPForms » 新規追加 をクリックします。


次に、テンプレートを検索 バーを見つけて、ユーザーパスワードリセットフォーム と入力します。オプションにカーソルを合わせて、テンプレートを使用 をクリックします。


テンプレートがフォームビルダーに読み込まれ、非常にシンプルであることがわかります。ボットを排除するために、1 つ以上のスパムフィルターを追加するなど、好きなようにカスタマイズできます。
3. パスワードリセットフォームでスパム対策を有効にする
デフォルトでは、WPForms はすべてのフォームに最新のスパム対策保護機能を備えています。しかし、デフォルトのフィルターに加えて追加のスパム防止策を有効にすることで、セキュリティをさらに強化できます。
これらのオプションのいくつかを見てみましょう。まず、設定 » スパム保護とセキュリティ に移動する必要があります。ここでは、スパム対策関連のすべての機能が 1 か所で見つかります。


また、包括的な お問い合わせフォームのスパム防止ガイド を参照して、フォームに使用できるさまざまな種類のスパム対策技術について詳しく知ることもできます。
パスワードリセットフォーム用のAkismet
Akismet は、WordPress の世界で最も信頼性の高いスパム対策ソリューションと言えるでしょう。追加の設定なしで WPForms とシームレスに統合されます。
Akismet がサイトにインストールされ有効化されていれば、Akismet スパム対策保護を有効にする トグルボタンを押すだけで、フォームで簡単に有効にできます。


Akismet は、提供されたフォーム入力のパターンを分析することで、インテリジェントにスパムを検出します。
Akismet が怪しいと検出した場合、送信が通過するのをブロックします。これは、ユーザーのフロントエンドでの表示です。


この完全なチュートリアル Akismet を使用したスパムのフィルタリング に従うことで、スパムボットに対するこの強力なツールを使用できます。
または、さまざまなキャプチャサービスや Cloudflare Turnstile を使用することもできます。
パスワードリセットの悪用を防ぐためのCloudflare Turnstile
Turnstile を WPForms と設定するには、WordPress 管理メニューのメイン 設定 メニューに移動し、CAPTCHA タブをクリックします。ここでは、hCaptcha、Google reCAPTCHA、Cloudflare Turnstile との統合オプションが見つかります。


完全なチュートリアルは、フォーム用のCloudflare Turnstileの設定方法で確認できます。Turnstileを使用することで、友人のスタートアップウェブサイトでスパム送信数が大幅に減少し、素晴らしい結果が得られました。
サイトでTurnstileを有効にすると、フォームビルダーの右上隅に検証バッジが表示されます。


送信の最小時間
送信までの最小時間設定は、スパムに対する私の秘密兵器です。これは最も簡単なスパム防止技術の1つです。それにもかかわらず、最も影響力のあるものの1つであり続けています。
それは、スパムボットが自動化されたプログラムであり、短時間で大量のフォームを繰り返し送信するように設計されているためです。単純な最小時間制限を追加することで、多くの種類のスパムボットをゲームで打ち負かすことができます。
このスパムフィルターを使用するには、単に送信までの最小時間トグルボタンを有効にし、秒単位で値を挿入します。


パスワードリセットフォームは非常に短いため、実際のユーザーがフォームに入力するのに少なくとも2秒かかると予想できます。しかし、ボットはミリ秒で完了するため、これらの偽の不正な送信が決して通過することはありません。
キーワードと国別フィルター
キーワードと国フィルターは非常に用途が広く、必ずしもスパムをブロックするために使用されるわけではありません。しかし、注意していれば、スパムボットによって同じ種類のキーワードパターンが繰り返されていることがわかる場合があります。
たとえば、別の言語の文字、スパマーが使用している特定のウェブサイト名、または同様のものかもしれません。キーワードフィルターは、実際の訪問者が使用しないと予想されるキーワードの頻繁な使用を特定した場合、そのようなスパムインスタンスを効果的にブロックできます。


同様に、国フィルターは、スパムが特定の国から発生している状況に非常に役立ちます。その国に実際の顧客や訪問者がいる場合、フォームへのアクセスを国全体でブロックすることは良い選択肢ではないかもしれませんが、この機能は、ビジネスの実際のオーディエンスの場所とスパマーの場所が明確に分離されているローカルビジネスに非常に効果的です。
しかし、スパムがどこから来ているのかについての明確な情報が必要です。この情報を取得する簡単な方法は、WPFormsジオロケーション機能を使用するか、ユーザーのIPアドレスに基づいて場所を推測することです。
カスタムキャプチャを追加する
カスタムキャプチャは、スパムに対するもう1つのシンプルでありながら効果的な解毒剤です。これを使用するには、フォームビルダーを開き、[Fancy Fields]までスクロールダウンして、カスタムキャプチャオプションをドラッグまたはクリックしてフォームに追加します。


追加できるカスタムキャプチャの質問には、数学と質疑応答の2種類があります。
数学キャプチャ
デフォルトのカスタムキャプチャは数学の質問です。フィールドオプションを開くには、フォームビルダーでクリックします。


数式問題を選択した場合、ページが読み込まれるたびに新しい問題が自動生成され、足し算、引き算、掛け算のいずれかになります。
数式キャプチャをカスタマイズしたい場合は、カスタムコードで可能です。詳細については、数式キャプチャの変更方法に関するチュートリアルをご覧ください。
質問と回答のキャプチャ
カスタムの質問と回答に変更することもできます。このオプションを使用すると、ユーザーが回答する必要のある独自の質問を作成できます。これらの質問は一般的な知識で、スペルが簡単なものにするように注意してください。


デフォルトでは質問は1つだけですが、追加することもできます。フォームはそれらを循環し、ページが読み込まれるたびに異なる質問を表示します。
これで、フォームにカスタムキャプチャフィールドを追加する方法はすべて完了です!
完全なカスタマイズオプションについては、カスタムキャプチャアドオンのインストールと使用方法に関するドキュメントをご覧ください。
4. フォームを保存して公開する
短時間で、WPFormsをインストールし、独自のユーザーパスワードリセットフォームを作成して、WordPressでの不正なパスワードリセット要求を停止するのに役立ちました。
とても簡単でしたよね?
あとは、フォームを保存して公開するだけです。この作業は簡単です。
まず、右上にあるオレンジ色の 保存ボタンを見つけてクリックします。作業を失いたくないでしょう!


フォームが保存されたら、左に移動して 埋め込みボタンをクリックします。
フォームをウェブサイトに埋め込むには2つのオプションがあります。既存のページに埋め込むか、新しいページを作成することができます。
既存のページを選択した場合、ウェブサイトのページのリストがドロップダウンで表示され、使用したいページを選択できます。
例として、このフォームを新しいページに埋め込みましょう。そのオプションを選択すると、ページに名前を付けるように促されます。新しいページに名前を付けたら、 開始!をクリックします。新しいページがフォームが埋め込まれた状態で開き、そこから追加の更新を行うことができます。


今すぐフォームを埋め込む準備ができていなくても、心配しないでください。後で準備ができたときに埋め込む他の方法があります。ウェブサイトにフォームを埋め込む方法に関する追加情報がありますので、準備ができたら確認してください!
WordPressパスワードリセットをさらにロックダウンする方法
あなたが作成したパスワードリセットフォームは最も強力な防御線ですが、WordPressレベルのいくつかの習慣により、ボットが問題を引き起こすのをさらに困難にします。私はこれらを、私が取り組むすべてのサイトのベースラインとして扱っています。
最初に有効にするのは二要素認証です。これは、ボットが何らかの方法でパスワードを入手した場合でも、アプリ、テキストメッセージ、またはメールから2番目のコードを要求することでログインを停止させます。ほとんどの優れたセキュリティプラグインには、ここに記載されている次のいくつかの項目とともに、これらが含まれています。
次のレイヤーはログイン試行回数の制限です。これにより、IPアドレスが一時的なロックアウト前に何回試行できるかを制限し、リセットスパムとともに表示されることが多い総当たり攻撃スクリプトをシャットダウンします。専用のWordPressセキュリティプラグインがこれを処理し、試行を記録するため、サイトに何がヒットしているかを正確に確認できます。
最後に、すべての管理者アカウントに強力でユニークなパスワードを使用し、時々変更してください。これらは上記のスパム保護フォームに取って代わるものではありませんが、これらを組み合わせることで、自動攻撃が利用するギャップを埋めることができます。
不正なWordPressパスワードリセットに関するFAQ
サイト所有者がリセットメールを見始めると、不正なWordPressパスワードリセットが頻繁に発生します。パスワードリセットスパムとログインのセキュリティ維持について、私が最もよく聞く質問への回答を以下に示します。
WordPressのパスワードリセットリクエストは、私のサイトがハッキングされた兆候ですか?
それだけでは違います。リセットリクエストは、誰か、またはより頻繁にはボットがログインページでメールまたはユーザー名を入力し、リセットリンクを要求したことを意味します。
そのリンクは一度しか使用できず、期限切れになるため、メールを受信してもアカウントにアクセスされたことを意味するわけではありません。リクエストが続く場合は、侵害の兆候ではなく、このガイドのスパム防止フォームとセキュリティ手順を追加するきっかけとして扱ってください。
他の誰かが私のWordPressパスワードをリセットしようとしているかどうかはどうすればわかりますか?
他の誰かがあなたのWordPressパスワードをリセットしようとしている場合、要求があったことを知らせるメールが届くでしょう。ログイン試行のためにウェブサイトのログを確認することもできます。この場合は、パスワードを変更してください。
WPFormsでスパム対策が有効なパスワードリセットフォームを作成することにより、ボットの試行を排除するのに役立つ追加のセキュリティレイヤーを追加しています。
WordPressのパスワードリセット機能を完全に無効にできますか?
できますが、カスタムコードまたは小さなプラグインが必要で、パスワード紛失リンクを削除し、リセットエンドポイントをブロックします。これは、他の誰もログインを回復する必要のない、単一作成者のサイトでは機能します。
しかし、ほとんどのサイトでは、リセットを完全に無効にすると正当なユーザーもロックアウトされるため、スパム保護されたリセットフォームがより安全な中間地点となります。これにより、ボットをフィルタリングしながら、実際のユーザーのために機能を維持できます。
不正なWordPressパスワードリセットからサイトを安全に保つために、他にどのような対策を講じることができますか?
常に、サイト固有の強力なパスワードを作成してください。多くのウェブブラウザや1Passwordのようなツールは、提案さえしてくれます。パスワードは定期的に変更してください。
2FA(2要素認証)を有効にすることも賢明です。サインインプロセスにステップが追加されますが、その過程でWordPressセキュリティの別のレイヤーが作成されます。
たとえば、パスワードを入力し、次にメール、テキストメッセージ、または認証アプリで取得した認証コードを入力する必要がある場合があります。
WordPressサイトでどのようなサイトセキュリティを検討すべきですか?
すでに提案されているものに加えて、サイトでSSL暗号化を使用してデータを保護してください。レート制限を実装することもできます。これにより、通常はボットから送信される総当たり攻撃を防ぐのに役立ちます。
他のユーザーがサイトにアカウントを持っている場合は、何らかのユーザー認証プロセスを設けることも良い考えです。
次に、パスワード保護されたページをカスタマイズしてみてください
これで、WordPressで不正なパスワードリセットを最終的に排除するために必要な手順が整いました。次に、WordPressでパスワード保護されたページをカスタマイズする方法について読んでください。
フォームの作成準備はできましたか?最も簡単なWordPressフォームビルダープラグインで今日から始めましょう。WPForms Proには多くの無料テンプレートが含まれており、14日間の返金保証が付いています。
この記事がお役に立った場合は、FacebookとTwitterでフォローして、WordPressの無料チュートリアルやガイドをさらにご覧ください。


