WordPressで偽のユーザー登録を止めたいですか?
スパムアカウントはウェブサイトのセキュリティリスクとなります。また、大量のスパムアカウントがデータベースを乱雑にしたり、WooCommerceのジャンクカスタマーを増やしたりするのも迷惑です。
この記事では、これらのスパムボットがWordPressでユーザーアカウントを作成するのを阻止する方法を紹介します。
WordPressで偽ユーザー登録を排除する方法
1.WordPressでユーザー登録を無効にする
あなたのサイトで偽のサインアップを撲滅したいのであれば、まず、"私のサイトでユーザーアカウントを作成できるようにする必要があるのか?"と自問すべきです。
オンラインショップや 会員制サイトを 立ち上げた場合、ユーザー登録を許可する必要があります。
しかし、個人ブログやビジネスサイトであれば、登録を許可する必要はないだろう。すでに必要なログインをすべて設定しているのであれば、登録を完全に無効にすることは理にかなっている。
これを行うには、WordPressのダッシュボードを開き、設定 " 一般をクリックします。
Membership "設定を見つけ、"Anyone Can Register "のチェックを外す。
これだけです!あなたのサイトに偽のユーザー登録を作成できないようにする最も簡単な方法です。
ヒント:もしあなたが複数著者のブログを持っているなら、ユーザー登録を無効にしてWPFormsPost Submissionsアドオンをインストールすることができます。これにより、あなたのサイトにログインすることなくゲスト投稿を投稿することができる。
登録をオンにしたままにする必要がありますか?さらにいくつかのオプションを見てみよう。
2.WordPressでアカウント制限をかける
WordPressでユーザー登録を有効にしたままにする場合、WordPressダッシュボードの管理者権限を新しいメンバーに決して与えないことが超重要です。
新規ユーザーには常にSubscriberロールを与えることをお勧めします。SubscribersはWordPressでほとんど権限を持っていないため、ウェブサイトの重要なエリアにアクセスすることができません。例えば、購読者はWordPressのダッシュボードにアクセスすることはできません。
新規ユーザー登録時にサイトが割り当てるロールを確認するには、WordPressダッシュボードを開き、設定 " 一般をクリックします。
ここで、「New User Default Role」と書かれたドロップダウンを探し、「Subscriber」に変更します。
WPFormsでカスタムユーザ登録フォームを使用している場合、ユーザ登録設定パネルでも設定をコントロールすることができます。
ユーザー登録フォームの作り方がわからない?次はそれについてお話ししましょう。
3.カスタムユーザー登録フォームを作成する
WordPressのデフォルトのユーザー登録フォームは超基本的です。アカウント作成をもっとコントロールしたい場合は、カスタムユーザー登録フォームを作ることができます。
WPFormsには、独自のカスタムフォームを簡単に作成できるユーザー登録アドオンがあります:
- ユーザー登録
- ワードプレスログイン
- パスワードのリセット
アドオンはPro版以上でインストールできます。
WPFormsでは、以下のオプションにより、より柔軟にユーザーの登録やログインの動作を制御することができます:
- カスタム・ユーザー・メタ・フィールドを追加して、登録時にユーザーに関する詳細情報を取得できます。
- サイト上のあらゆるフォームにユーザーを登録させる
- ユーザー登録後、自動的にログイン
- ログインユーザーのフォームを隠す
- キャプチャや高度なフィルタなどのスパム保護機能を追加することで、スパムボットによる登録フォームの悪用を防止します。
- ユーザーが登録した時やパスワードを忘れた時に送信するメールを簡単にカスタマイズできます。
アドオンをインストールすると、これらすべての機能に対応した3つのテンプレートがあらかじめ用意されているので、すぐに使い始めることができます。
カスタムユーザー登録フォームを作成する場合は、WordPressでカスタムログインページを作成する簡単ガイドもご覧ください。
4.ユーザー登録の電子メールアクティベーションをオンにする
WordPressで偽のユーザー登録を阻止したい場合は、新規ユーザーアカウントのEメールアクティベーションをオンにすることができます。これにより、ボットによるフォームスパムを防ぐことはできませんが、手動でリクエストを確認するまでログインできなくなります。
WPFormsのユーザー登録フォームは、WordPressサイトで新規アカウントが作成されるたびに自動的にリンクを送信することができます。実際のユーザーはメール内のリンクをクリックするだけで登録が完了します。
これはオプションですので、フォームの設定でアクティベーションのオン・オフを設定できます。
スパムユーザー登録は通常ボットによって作成されます。そのため、この追加ステップを追加することで、サイトのセキュリティを向上させることができます。
5.新規ユーザー登録の管理者承認をオンにする
さらに安全なユーザー登録方法をご希望の場合は、「手動承認」をお選びください。
これにより、新規ユーザーがアカウントにログインする前に、サイト管理者は各ユーザー登録リクエストを確認するように促されます。 各リクエストに対してEメール通知が届き、新規メンバーの承認または拒否を選択することができます。
管理者の承認を有効にするには、設定 " ユーザー登録に進んでください。
右側の「User Activation Method」までスクロールダウンし、ドロップダウンから「Manual Approval」を選択します。
これで、サイトに登録されたすべての新規ユーザーを確認し、スパム登録をフィルタリングすることができます。
6.ユーザー登録フォームにCAPTCHAフィールドを追加する
また、CAPTCHAフィールドを使用して、スパムユーザー登録を阻止することもできます。CAPTCHAはユーザーがフォームを送信するために解かなければならないチャレンジまたはパズルです。
- カスタムCAPTCHA
- Google reCAPTCHA
- hCaptcha
- クラウドフレア・ターンスタイル
テンプレートの1つを有効にした後、スパマーの使用を防ぐためにreCAPTCHAを追加するのは簡単です。いつものように、WPFormsはコードを書くことなく簡単にreCAPTCHAを追加できます。
reCAPTCHAフィールドを追加した後のパスワードリセットフォームテンプレートの外観は以下の通りです:
もしご希望であれば、Googleバージョンの代わりにhCaptchaまたはCloudflare Turnstileをユーザー登録、ログイン、パスワードリセットのフォームに使用することができます。
7.国別フィルターを使用してスパムユーザー登録を減らす
キャプチャ方式以外にも、WPFormsには国フィルターのような強力な制限も含まれています。
特定の国からのユーザー登録しか受け付けない場合や、特定の国からのスパムが多い場合は、カントリーフィルターを使用して特定の国からの送信を制限することができます。
国フィルターの設定はWPFormsフォームビルダーから設定 " スパム保護とセキュリティに移動して見つけることができます。
スパムボットや、ブロックしたい国に一致するIPアドレスを持つユーザーによってフォームが送信された場合、ユーザー登録フォームは単に送信されません。
また、他のジオロケーションプラグインを使用して、WordPressの登録ページやダッシュボードへのアクセスをブロックすることもできます。
例えば、CloudGuardプラグインでは、ジオロケーションを使って特定の国からのログインを制限することができます。自分の国をホワイトリストに登録し、他の国からのログインをブロックすることができます。
ログインするためにサイトにアクセスする必要があるユーザーもいることに留意してください。例えば、WooCommerceストアをお持ちの場合、ブロックされた国のお客様はアカウントにアクセスできないため、このソリューションは使えないかもしれません。
WordPressのジオロケーションプラグインガイドをご覧ください。
8.WordPressのセキュリティ・プラグインをインストールする
WordPressはかなりセキュアだが、優れたWordPressセキュリティ・プラグインを使うことで、さらに強固にすることができる。
これらのプラグインの多くは、独自のデータベースでスパムや悪意のあるIPアドレスを追跡しているので、セキュリティだけでなくスパム防止にも利用できる。
WordFenceのようなプラグインをサイトにインストールすると、すべての訪問者のIPをデータベースと照合します。一致するものがあれば、アクセスを拒否します。これでスパマーがユーザーアカウントを登録するのを阻止できる。
ファイアウォールがブロックしたスパム訪問者のテストサイトの例です:
Wordfenceは、スパムログイン試行を検出した際にEメールで送信することもできるので、簡単にウェブサイトのセキュリティに目を配ることができます。Wordfence からセキュリティレポートが届かない場合は、Wordfence がメールを送信しない問題の解決方法をご覧ください。
詳しくは、Sucuriが3ヶ月で450,000件のWordPress攻撃をブロックしたWPBeginnerの記事をご覧ください。
いくつかのオプションをチェックするには、ウェブサイト保護のための最高のWordPressセキュリティプラグインのガイドをお読みください。
9.スパムIPアドレスを手動でブロック
WPFormsでは、スマートタグを使用して、フォーム送信ごとに訪問者のIPアドレスを取得することができます。
スパム登録のIPアドレスが分かれば、そのアドレスからのアクセスを一切ブロックすることができます。
フォーム送信のIPアドレスを追跡するには、設定 " 通知に進んでください。
メッセージ]フィールドの横にある[スマートタグを表示]をクリックし、[ユーザーIPアドレス]をクリックします。
次のメール通知を受信すると、そのユーザーのIPアドレスが表示されます。そのユーザーを承認するか、IPをブロックして再来訪できないようにするかを決めることができます。
その方法については、WordPressでIPアドレスをブロックする方法についてのチュートリアルをご覧ください。
ボーナス: フォームをAkismetに接続する
Akismetはスパム対策プラグインで、偽の投稿を自動的に認識しブロックすることができます。WordPressサイトにAkismetプラグインをセットアップしていれば、簡単にフォームに接続して不審なエントリーをブロックすることができます。
保護したいフォームを開き、設定 " スパム保護とセキュリティ.そしてAkismetのスパム対策を有効にするをオンにしてください。
詳しくはコンタクトフォームのスパムフィルタリングガイド、またはWPFormsでAkismetを使用するためのドキュメントをご覧ください。
偽ユーザー登録への対策 - FAQs
偽のユーザー登録に関するご質問この問題は、お客様から多くのお問い合わせをいただく問題です。この問題をより明確にするために、よくある質問をいくつか挙げてみました。
なぜスパマーは私のサイトに登録するのか?
スパマーがWordPressサイトを攻撃するとき、彼らは通常、さらなるスパムの拡散を狙っています。アカウントを作成することで、彼らは潜在的にあなたのサイトへの「侵入口」を持っているのです。
プラグインに脆弱性があり、それをアップデートしていない場合、スパマーがあなたのダッシュボードにすでにログインできていれば、それを悪用することは容易でしょう。
ほとんどのスパムボットは、以下のようなスクリプトにアクセスするだけです。 example.com/wp-login.php?action=register を使って偽のアカウントを作成する。だから、あなたが使っているのと同じツールを使って、彼らを阻止するのは簡単だ。 コンタクトフォームのスパムを防ぐ.
偽の登録があるかもしれないという兆候にはどのようなものがありますか?
偽の登録を見破るのは必ずしも簡単ではありませんが、よくあるパターンがいくつかあります:
- 不完全または無意味な情報(明らかに偽の住所や名前など)
- 複数のサインアップの背後にある同一IPアドレス
- サインアップ以上の活動がないアカウント
- 注文のないWooCommerceの顧客
- 類似したユーザー名、電子メール、その他の経歴情報を使用した複数のアカウント。
セキュリティとスムーズなユーザー・エクスペリエンスのバランスを取るには?
CAPTCHAは登録フォームのスパムを防ぐのに効果的ですが、パズルや数学の和をユーザーに解かせるものもあり、迷惑な場合もあります。
スムーズなユーザーエクスペリエンスを維持したい場合は、Cloudflare TurnstileやAkismetのような、より侵入的でないスパム防止方法を使用することができます。これらのツールはバックグラウンドで静かに動作し、ユーザーの行動パターンに基づいてスパムをブロックするため、セキュリティとユーザーエクスペリエンスのバランスが非常に優れています。
偽登録が疑われる場合はどうすればよいですか?
偽のユーザー登録が疑われる場合、そのユーザーに直接メールを送信し、本物のユーザーであることを証明するために特定のアクションを実行しない限りアカウントが削除されることを警告することができます。返信がない場合は、すぐにWordPressサイトからユーザーアカウントを削除することができます。
次に、WordPressのプラグインをチェックして更新する
WordPressサイトが定期的にメンテナンスされていないと、スパムにさらされる可能性があります。詐欺師は通常、あなたのサイトに侵入する方法として、古いプラグインや古いバージョンのWordPressを探します。
プラグインのアップデートも重要だ。
今がそれをチェックする絶好の機会だ:
- WordPressのコアファイルは常に最新バージョンに更新されます。
- 可能であれば、すべてのプラグインとテーマを自動更新に設定してください。
- あなたはNULLED WPForms Proのような任意のクラックまたは盗まれたプラグインを持っていない
ユーザー登録フォームを作る準備はできましたか?最も簡単なWordPressフォームビルダープラグインで今すぐ始めましょう。WPForms Proはユーザー登録アドオンを含み、14日間の返金保証を提供しています。
この記事がお役に立ちましたら、Facebookや TwitterでWordPressの無料チュートリアルやガイドをフォローしてください。
ユーザーが支払いを完了しなかった場合でも、データベースにユーザーとして作成され、ログインして保護されたコンテンツにアクセスすることができます。
Zihanさん、こんにちは!ユーザー登録アドオンはデフォルトのWordPressユーザーシステムを拡張したもので、新規ユーザーがすぐにアクティブにならないように設定することができます。User Activation Methodを Manual Approvalに設定することで、新しく作成されたユーザーは、あなたが支払いを確認してからユーザーをアクティブにするまで、あなたのサイトではアクティブになりません。
これについての詳細はこちらの記事を参照されたい。
この件に関してさらにご質問がある場合は、有効なサブスクリプションをお持ちであれば、私たちにご連絡ください。そうでない場合は、遠慮なくサポートフォーラムに質問をお寄せください。
私は "誰でも登録できるようにする "のチェックを外しているのですが、それでも数日おきにスパム登録が削除され続けています。
やあ、ロリ-君がここで直面しているトラブルについては残念だ!
有料ライセンスをお持ちのようですね。サポートチャンネルからご連絡いただけますか。
ありがとう、
スパムコメントを止めるプラグインを教えてください。
こんにちは、Pankaj -Google reCAPTCHAや hCaptchaのような、このガイドに記載されているスパム防止オプションを使用することができます。
お役に立てれば幸いです。ありがとう🙂。