サイトのスパム対策をちょっとやった

表題の通り。
無料で使えるものとして、 Invisible reCaptcha を導入した。それだけの話。

背景(余談)

うちの自宅鯖では、ゲームなどの鯖を立て、2ch* に晒すことでみんなとゲームをすることがある。
そうするとどうなるか
いろんなbotがやってくる。

特に、PhpMyAdminやMediaWikiを狙ったbot攻撃は想像以上に多い

初めてのWeb鯖として利用した初代のRaspberryPi 1 Model-B
HPとしてMediaWikiを主に使って更新していた。
すると、こいつMediaWiki使ってるぜ!って大量の、本当に大量のMediaWikiを狙ったbotがやってきた
一瞬DAU1万行ったんじゃないか?(スパムはUserって言わないかw)
ただでさえMySQLはRaspberryPiのCPUを使い潰し、あまりにもリソース不足になるからとSQLiteでやっていた。
自分のためのサイト、知人しか見ないようなサイト、そういう所謂の個人サイトなら初代RasPiでも有り余るほどのリソースだった
しかし、このbotスパムはCPUを使い潰し、SDカードをも焼き尽くした。
俺のすべての資産が消えた。

ちなみに、このMediaWikiを使ってRaspberryPiの設定をいっぱい載せた。
それを冬コミで本にして出そうとしていた
11月にSDカードを焼かれた
SDカードをどう読み込んでも戻ってこない
新刊は落とした
俺は新刊を落とした

もうMediaWikiだけは絶対に使わねえ

このあたりでSQL嫌いが始まったのかもしれない
これは完全な冤罪

改め、背景(本題)

すぐ話が逸れる
こうしたbotはhttpアクセスのaccess.logを眺めているといっぱい見れる。

MediaWiki、PhpMyAdmin、最近はJenkinsを狙うものも多くなった
このWP*を狙ったスパムも多い
奴らは直接コメントを投稿するURLでやってくる
ここを守るしかない

Akismet

インストール時に、最初から入ってたプラグイン
月4500円のプランを超勧めてが、個人で条件付きなら無料で利用できる。

サイトで商売を行っていないことが条件のようだ
どうも広告を貼り付けていることもNGっぽい
漫画を読んで、その感想を書きながら、ついでにちょこっとアドを載せようと思っているからダメだ

一番の理由はアカウント登録も必要なこと、面倒くさくて辞めた

アカウント管理ができなくなってきたのでなんとかしたいと考えていたとこなので、完全に手が止まった。

Google reCAPTCHA

あの「あなたはロボットですか?」って聞いてくる有名なやつ
確かにあれを導入することでスパムは格段と減るだろう
早速導入

導入したプラグインはこれ
invisible reCAPTCHA

invisible reCaptcha

何も難しいことはない、プラグインページでインストールするだけ

というわけにも行かなかった

reCaptchaのAPIをGoogle様からもらう
そしてそれを設定に入れる

reCaptchaにはGoogleのアカウントが必要
Googleのアカウントは流石にこのご時世必要不可欠なのである
reCaptchaにはv2とv3がある
v3のほうがいいだろうという安易な理由で内容を見ずにv3

reCaptchaのドキュメントはここ
Register reCAPTCHA v3 keys here.
から登録できる

このブログにエロマンガを読んで、その感想及びアドを入れる可能性があり、Googleはそういうアダルトコンテンツでの利用は規約で制限されている。
そういう規約を確認していたが、見当たらなかった
ライセンス等々は気をつけてねという表記は見つけたが、ななめ読みでは見当たらなかった。
大丈夫なのか?コメントお待ちしています感謝します。

登録内容は、GCPと同じ感じだった

  • ラベル
    識別用のラベル、名前
  • reCaptcha
    • v3はスコアで判定(と書いてあるだけで追加選択肢はない)
    • v2は非表示だったり、よく見るチェックボックスだったり、Androidアプリでの認証の追加選択肢
  • ドメイン
    ドメイン
  • オーナー
    gmailのアカウント
    G Suite認証かな?
  • 後は利用規約とかアラート(エラー数が増大時にメール?)とか、そういう

必要な項目を入力したら、APIキー(サイトキー)とシークレットキーをもらう
このキーをどこに入力するのかわからなかった

invisible reCaptchaはプラグイン設定だったり、WP自体の設定だったりで設定する
Googleで検索したときはプラグイン設定だった
自分は設定の中にあった
ここに入力し、設定
これでOKでしょう

これで設定終了
動いているかどうか、見えないもんだからわからないけど、大丈夫でしょう
どこかで自演コメントためしてみるかな

※2ch、5chとは言わない
したらばとかnextとかパーとかあるからね
自分の中で、それらをひっくるめて2chって言うようになった
時たま忘れる

※WPってアレですよ、ワードのプレスですよ
まだ未設定なので、左下にpowered by WPってあったりするが、スパムbotにこいつWP使ってるぜー!って攻撃されたくないから、あまり書きたくない

コメントを残す

メールアドレスが公開されることはありません。