偽のユーザー登録が殺到することは、サイトの速度を低下させ、ユーザーデータベースに混乱を生じさせる深刻なセキュリティリスクです。
私はこの問題に数え切れないほど対処してきたが、スパムボットが毎日何十もの偽アカウントを作成しているのを見るとイライラする。朗報は、セキュリティの専門家でなくても、こうした偽登録を阻止できることだ。
このガイドでは、あなたのWordPressサイトで偽のユーザー登録を排除するのに役立つ9つの実践済みのトリックを紹介します。これらは、ほとんどの場合、スパム登録を最大99%減らすために私が使ってきたのと同じ戦略です!
WordPressで偽ユーザー登録を排除する方法
1.WordPressでユーザー登録を無効にする
サイト上での偽のサインアップに対抗したい場合は、まず「そもそも自分のサイトでユーザーがアカウントを作成できるようにする必要があるのか?」と自問する必要があります。
オンラインストアや会員制サイトを立ち上げる場合は、ユーザー登録を許可する必要があります。しかし、個人のブログやビジネスサイトの場合は、ユーザー登録を許可する必要はないでしょう。
必要なログイン情報をすべて設定済みの場合は、登録を完全に無効にすることをお勧めします。これを行うには、WordPressダッシュボードを開き、 「設定」>「一般」をクリックします。

メンバーシップ設定を見つけて、 「誰でも登録可能」のチェックを外します。次に、ページ下部の「変更を保存」ボタンをクリックします。

もちろん、後から新しいユーザーを追加する必要がある場合は、 「WordPress」→「ユーザー」→「新規追加」から手動で追加できます。これにより、サイトにアカウントを付与するユーザーを完全に制御できます。
登録をオンにしたままにする必要がありますか?さらにいくつかのオプションを見てみよう。
2.WordPressでアカウント制限をかける
ユーザー登録をオープンにしておく必要があるが、より厳密な制御が必要な場合は、スマート アカウント制限を設定することが次善の防御策です。
新規ユーザーには常に購読者権限を付与することをお勧めします。購読者はWordPressで権限が限られているため、ウェブサイトの重要な部分にアクセスすることはできません。
例えば、購読者はWordPressダッシュボードに全くアクセスできません。新規ユーザーが登録した際にサイトが割り当てる権限を確認するには、WordPressダッシュボードを開き、 「設定」»「一般」をクリックしてください。

次に、 「新規ユーザーのデフォルトロール」というドロップダウンを探し、 「購読者」に変更します。次に、アカウントが特定の年齢に達するまで、特定のコンテンツへのアクセスを制限します。

WPFormsでカスタムユーザー登録フォームを使用している場合は、ユーザー登録設定パネルで設定を制御できます。登録承認の条件付きロジックの設定などです。

独自のユーザー登録フォームの作成方法がわからない場合は、次にその点について説明します。
3.カスタムユーザー登録フォームを作成する
WordPressのデフォルトのユーザー登録フォームは超基本的です。アカウント作成をもっとコントロールしたい場合は、カスタムユーザー登録フォームを作ることができます。
WPForms にはユーザー登録アドオンがあり、ユーザー登録、WordPress ログイン、さらにはパスワードのリセット用の独自のカスタムフォームを簡単に作成できます。
Pro バージョン以上でアドオンをインストールすると、関連するユーザー情報を収集するためのカスタム フィールド、スマートなスパム対策機能、フォーム検証ルールなどを含むフォームを作成できます。

WPFormsでは、以下のオプションにより、より柔軟にユーザーの登録やログインの動作を制御することができます:
- カスタム・ユーザー・メタ・フィールドを追加して、登録時にユーザーに関する詳細情報を取得できます。
- サイト上のあらゆるフォームにユーザーを登録させる
- ユーザー登録後、自動的にログイン
- ログインユーザーのフォームを隠す
- キャプチャや高度なフィルタなどのスパム保護機能を追加することで、スパムボットによる登録フォームの悪用を防止します。
- ユーザーが登録した時やパスワードを忘れた時に送信するメールを簡単にカスタマイズできます。

アドオンをインストールすると、これらすべての機能に対応する 3 つの既成テンプレートも取得され、フォーム作成プロセスをすぐに開始できるようになります。

カスタムユーザー登録フォームを作成する場合は、WordPressでカスタムログインページを作成する簡単ガイドもご覧ください。
カスタムフォームの利点は、必要に応じてシンプルにも複雑にもできることです。WordPressのデフォルトの登録フォームを置き換えるだけで、スパム登録を最大95%削減できたサイトもありました。
「💡プロのヒント:実際のユーザーだけが正しい入力方法を知っているような、戦略的なカスタムフィールドをいくつか追加しましょう。例えば、写真サイトを運営している場合、ユーザーにカメラの機種名を尋ねることができます。ボットは、このような業界特有の質問には苦労することが多いです。」
4.ユーザー登録の電子メールアクティベーションをオンにする
WordPressで偽のユーザー登録を阻止したい場合は、新規ユーザーアカウントのEメールアクティベーションをオンにすることができます。これにより、ボットによるフォームスパムを防ぐことはできませんが、手動でリクエストを確認するまでログインできなくなります。
WPFormsのユーザー登録フォームは、WordPressサイトで新規アカウントが作成されるたびに自動的にリンクを送信することができます。実際のユーザーはメール内のリンクをクリックするだけで登録が完了します。
これを行うには、登録フォームを編集し、 「設定」>>「ユーザー登録」に移動します。ここから、必要に応じてフォーム設定でアクティベーションをオンまたはオフにすることができます。

また、一定期間(48時間など)経過後に未確認アカウントを削除する自動クリーンアッププロセスを設定することをお勧めします。これにより、ユーザーデータベースをクリーンな状態に保ち、偽の登録待ちアカウントで混乱するのを防ぐことができます。
5.新規ユーザー登録の管理者承認をオンにする
より安全なユーザー登録方法をご希望の場合は、 「手動承認」を選択してください。これにより、サイト管理者は各ユーザー登録リクエストを審査してから、新規ユーザーがアカウントにログインできるようになります。
各リクエストごとにメール通知が届き、新規メンバーを承認または拒否することができます。管理者の承認を有効にするには、 「設定」>「ユーザー登録」に移動してください。
右側の「User Activation Method」までスクロールダウンし、ドロップダウンから「Manual Approval」を選択します。

これで、サイトに登録するすべての新規ユーザーを確認し、スパム的な登録を除外できるようになります。この方法はより実践的な管理が必要になりますが、より高度な制御が可能です。
「💡プロのヒント:登録を確認する際に注意すべき危険信号のチェックリストを作成しましょう。偽アカウントの一般的な兆候としては、一般的なユーザー名、不審なメールパターン、不完全なプロフィール情報などが挙げられます。これにより、審査プロセスがより迅速かつ一貫性のあるものになります。」
6.ユーザー登録フォームにCAPTCHAフィールドを追加する
また、CAPTCHAフィールドを使用して、スパムユーザー登録を阻止することもできます。CAPTCHAはユーザーがフォームを送信するために解かなければならないチャレンジまたはパズルです。
- カスタムCAPTCHA
- Google reCAPTCHA
- hCaptcha
- クラウドフレア・ターンスタイル
テンプレートの1つを有効にした後、スパマーの使用を防ぐためにreCAPTCHAを追加するのは簡単です。いつものように、WPFormsはコードを書くことなく簡単にreCAPTCHAを追加できます。

もしご希望であれば、Googleバージョンの代わりにhCaptchaまたはCloudflare Turnstileをユーザー登録、ログイン、パスワードリセットのフォームに使用することができます。

完璧なソリューションは一つもありませんが、CAPTCHA は自動スパム登録に対する最も効果的な第一防衛線の 1 つです。
7.国別フィルターを使用してスパムユーザー登録を減らす
WPFormsには、キャプチャ認証に加え、国フィルターなどの強力な制限機能も搭載されています。これは、特に特定の国からの偽の登録にパターンがあることに気づいた場合に非常に役立ちます。
同様に、特定の国からのユーザー登録のみを受け入れることが適切な場合は、国フィルターを使用して特定の国からの送信を制限することができます。
国フィルターの設定はWPFormsフォームビルダーから設定 " スパム保護とセキュリティに移動して見つけることができます。
スパムボットや、ブロックしたい国に一致するIPアドレスを持つユーザーによってフォームが送信された場合、ユーザー登録フォームは単に送信されません。

他の位置情報プラグインを使って、WordPressの登録ページやダッシュボードへのアクセスをブロックすることもできます。例えば、 CloudGuardプラグインを使えば、位置情報を使って特定の国からのログインを制限できます。

自国のユーザーをホワイトリストに登録し、他の国からの登録ページへのアクセスをブロックすることができます。ただし、ログインするためにサイトへのアクセスが必要となるユーザーもいる点にご注意ください。
たとえば、 WooCommerceストアをお持ちの場合、ブロックされた国の顧客はアカウントにアクセスできないため、このソリューションは機能しない可能性があります。
8.WordPressのセキュリティ・プラグインをインストールする
WordPressはかなりセキュアだが、優れたWordPressセキュリティ・プラグインを使うことで、さらに強固にすることができる。
これらのプラグインの多くは、独自のデータベースでスパムや悪意のあるIPアドレスを追跡しているので、セキュリティだけでなくスパム防止にも利用できる。
WordFenceのようなプラグインをサイトにインストールすると、すべての訪問者のIPをデータベースと照合します。一致するものがあれば、アクセスを拒否します。これでスパマーがユーザーアカウントを登録するのを阻止できる。

Wordfence はスパム的なログイン試行を検出すると電子メールで通知するため、Web サイトのセキュリティを簡単に監視できます。
Wordfence からセキュリティ レポートを受け取っていない場合は、 Wordfence がメールを送信しない問題を修正する方法に関するこのガイドが問題の解決に役立ちます。
Sucuriが3ヶ月で45万件ものWordPress攻撃をブロックした方法については、WPBeginnerの記事をご覧ください。いくつかの選択肢を確認するには、ウェブサイト保護に最適なWordPressセキュリティプラグインのガイドをご覧ください。
9.スパムIPアドレスを手動でブロック
WPFormsでは、スマートタグを使用して、フォーム送信ごとに訪問者のIPアドレスを取得することができます。
スパム登録のIPアドレスがわかれば、そのアドレスからのサイトへのアクセスを完全にブロックできます。フォーム送信時のIPアドレスを追跡するには、 「設定」>「通知」にアクセスしてください。

メッセージ]フィールドの横にある[スマートタグを表示]をクリックし、[ユーザーIPアドレス]をクリックします。

次のメール通知を受信すると、そのユーザーのIPアドレスが表示されます。そのユーザーを承認するか、IPをブロックして再来訪できないようにするかを決めることができます。
その方法については、WordPressでIPアドレスをブロックする方法についてのチュートリアルをご覧ください。
「💡プロのヒント:IPアドレスをブロックする前に、それが正当なユーザーが使用している共有IPではないことを確認してください。一部のISPやモバイルキャリアは共有IPを使用しているため、ブロックすると複数のユーザーに影響を与える可能性があります。」
10. フォームをAkismetに接続する
Akismetはスパム対策プラグインで、偽の投稿を自動的に認識しブロックすることができます。WordPressサイトにAkismetプラグインをセットアップしていれば、簡単にフォームに接続して不審なエントリーをブロックすることができます。
保護したいフォームを開き、設定 " スパム保護とセキュリティ.そしてAkismetのスパム対策を有効にするをオンにしてください。

詳しくはコンタクトフォームのスパムフィルタリングガイド、またはWPFormsでAkismetを使用するためのドキュメントをご覧ください。
偽のユーザー登録対策に関するFAQ
偽のユーザー登録に関するご質問この問題は、お客様から多くのお問い合わせをいただく問題です。この問題をより明確にするために、よくある質問をいくつか挙げてみました。
なぜスパマーは私のサイトに登録するのか?
スパマーがWordPressサイトを攻撃するとき、彼らは通常、さらなるスパムの拡散を狙っています。アカウントを作成することで、彼らは潜在的にあなたのサイトへの「侵入口」を持っているのです。
プラグインに脆弱性があり、それをアップデートしていない場合、スパマーがあなたのダッシュボードにすでにログインできていれば、それを悪用することは容易でしょう。
ほとんどのスパムボットは、以下のようなスクリプトにアクセスするだけです。 example.com/wp-login.php?action=register
を使って偽のアカウントを作成する。だから、あなたが使っているのと同じツールを使って、彼らを阻止するのは簡単だ。 コンタクトフォームのスパムを防ぐ.
偽の登録があるかもしれないという兆候にはどのようなものがありますか?
偽の登録を見破るのは必ずしも簡単ではありませんが、よくあるパターンがいくつかあります:
- 不完全または無意味な情報(明らかに偽の住所や名前など)
- 複数のサインアップの背後にある同一IPアドレス
- サインアップ以上の活動がないアカウント
- 注文のないWooCommerceの顧客
- 類似したユーザー名、電子メール、その他の経歴情報を使用した複数のアカウント。
セキュリティとスムーズなユーザー・エクスペリエンスのバランスを取るには?
CAPTCHAは登録フォームのスパムを防ぐのに効果的ですが、パズルや数学の和をユーザーに解かせるものもあり、迷惑な場合もあります。
スムーズなユーザーエクスペリエンスを維持したい場合は、Cloudflare TurnstileやAkismetのような、より侵入的でないスパム防止方法を使用することができます。これらのツールはバックグラウンドで静かに動作し、ユーザーの行動パターンに基づいてスパムをブロックするため、セキュリティとユーザーエクスペリエンスのバランスが非常に優れています。
偽登録が疑われる場合はどうすればよいですか?
偽のユーザー登録が疑われる場合、そのユーザーに直接メールを送信し、本物のユーザーであることを証明するために特定のアクションを実行しない限りアカウントが削除されることを警告することができます。返信がない場合は、すぐにWordPressサイトからユーザーアカウントを削除することができます。
WordPress でスパムユーザー登録を停止するにはどうすればよいですか?
WordPressでスパムユーザー登録を阻止するには、いくつかの効果的な方法があります。最も簡単な方法は、スパム対策機能が組み込まれたユーザー登録アドオンを備えたWPForms Proを使用することです。
CAPTCHA フィールドを追加し、電子メール検証を有効にし、Geolocation アドオンを使用して疑わしい場所からの登録をブロックします。
最大限の保護を実現するには、これらの方法を、追加の検証フィールドを含むカスタム登録フォームと組み合わせます。
WordPress サイトで偽のサインアップをブロックできますか?
はい、WordPressサイトで偽のサインアップをブロックすることは可能です。最も効果的な方法は、以下のセキュリティ対策を組み合わせることです。
- 新規登録のメールアクティベーションを有効にする
- フォームにCAPTCHA認証を追加する
- 国フィルタリングを使用して、リスクの高い場所をブロックします
- WordPressセキュリティプラグインをインストールする
- 疑わしいIPアドレスを手動でブロックする
これらの方法を組み合わせることで、最大 99% の偽のサインアップをブロックしながら、正当なユーザーが簡単に登録できるようにします。
WordPress はデフォルトで偽の登録をブロックしますか?
いいえ、WordPressはデフォルトでは偽の登録をブロックしません。WordPressの基本的な登録システムは非常にシンプルで、スパム対策機能は組み込まれていません。
そのため、CAPTCHA、メール認証、またはスパム対策機能を備えた WPForms のようなフォームビルダープラグインなどの追加のセキュリティ対策を追加することが重要です。
これらの追加の保護がなければ、サイトは自動ボット登録やスパムアカウントに対して脆弱になる可能性があります。
次に、WordPressのプラグインをチェックして更新する
WordPressサイトが定期的にメンテナンスされていないと、スパムにさらされる可能性があります。詐欺師は通常、あなたのサイトに侵入する方法として、古いプラグインや古いバージョンのWordPressを探します。
プラグインの更新も重要です。今すぐ確認しましょう。
- WordPressのコアファイルは常に最新バージョンに更新されます。
- 可能であれば、すべてのプラグインとテーマを自動更新に設定してください。
- あなたはNULLED WPForms Proのような任意のクラックまたは盗まれたプラグインを持っていない
フォームを作る準備はできましたか?最も簡単なWordPressフォームビルダープラグインで今すぐ始めましょう。WPForms Proにはたくさんの無料テンプレートが含まれており、14日間の返金保証がついています。
この記事がお役に立ちましたら、Facebookや TwitterでWordPressの無料チュートリアルやガイドをフォローしてください。
ユーザーが支払いを完了しなかった場合でも、データベースにユーザーとして作成され、ログインして保護されたコンテンツにアクセスすることができます。
Zihanさん、こんにちは!ユーザー登録アドオンはデフォルトのWordPressユーザーシステムを拡張したもので、新規ユーザーがすぐにアクティブにならないように設定することができます。User Activation Methodを Manual Approvalに設定することで、新しく作成されたユーザーは、あなたが支払いを確認してからユーザーをアクティブにするまで、あなたのサイトではアクティブになりません。
これについての詳細はこちらの記事を参照されたい。
この件に関してさらにご質問がある場合は、有効なサブスクリプションをお持ちであれば、私たちにご連絡ください。そうでない場合は、遠慮なくサポートフォーラムに質問をお寄せください。
私は "誰でも登録できるようにする "のチェックを外しているのですが、それでも数日おきにスパム登録が削除され続けています。
やあ、ロリ-君がここで直面しているトラブルについては残念だ!
有料ライセンスをお持ちのようですね。サポートチャンネルからご連絡いただけますか。
ありがとう、
スパムコメントを止めるプラグインを教えてください。
こんにちは、Pankaj -Google reCAPTCHAや hCaptchaのような、このガイドに記載されているスパム防止オプションを使用することができます。
お役に立てれば幸いです。ありがとう🙂。