Movable Type4.xのスパム対策プラグインを今さら、の覚え書き

2011年5月26日Web制作・ブログ"Movable Type",プラグイン

どうも。そうですこのブログはいまだMovable Type4.x運用です。4だの5だのは見る人には関係ないからいいけど4ったら4ですフォーです。

最近、MT5を他のブログで使うためにせっせこいじっているのですが、なかなか使いやすいし快適ですねえ。そういえば昨日MT5.1が出て、MT5.0や4.Xのセキュリティーアップデートも出たらしいですね、さてさて…とかいうことも書きたいけれど、今日はMT4の話。一ヶ月ブログ放置してそんな話かと思われようともゆるぎませんこの決意。

コメントに認証を付けていないこのブログ。
多いときには10分に1個の割合で届く英語コメントスパム。数だけ見ればなんて人気ブログ。しかしね、なんでMTってこうスパム多いんだろ。SereneBachで丸腰状態の比じゃないわ。(しかも対策は簡易なスパムフィルタひとつで十分)

コメントスパムの内容をいくつか見てみました

トラックバックならまだわかるんだけどね。普通スパムったらリンクで誘導させようとか、なんかしらの利益を得ようとするものじゃないの? 文字列ばっかでなんのメリットがあるの? ああそうかメールアドレス宛に返信するバカがいるかも、数撃ちゃ当たるってことかいねまったく腹のたつ。

例えば…

  • これどうぞこれどうぞリンク系もしくは広告出しませんか? 売り込み系。
  • 経済がマーケティングがとずらずらずらずらひとり語り系。
  • 私ブログ始めたんですけど、このテンプレって…ご相談系。
  • まあよくぞこんな素敵記事書いてくださった参考になったgreat work! ほめちぎり系。
  • なんかあんたのブログ、jsでエラーが出ますよ? 一見指摘系。

nice! great article! と褒めてくれてるだけだしもしかして? なんて情けをかけてやる必要はございません。スパムですああスパムです。前はyahoo.comのメールが多かったけど、今はGmail多いなあ。

ということでスパム対策プラグイン。

MTには標準でプラグインが入っているけど大して働いてくれなくて(※誤解)、といってあまり調べることもせずにとりあえず…と.htaccessでアホみたいにIPアドレスやホスト制限かけてました。

それはもうせっせと。いたちごっこなのはわかってたわ、でもやめられなかったの。ではなくあんまり更新しないから面倒だったのごめんなさい。ここ一ヶ月くらい少なかったのがまた多くなってきたのでウキッとなって、かたっぱしからMT4に使えるプラグインを試してみました。この四つ。

Not Japanese Lookup、MT BanASCII、両方入れる必要が? というのはさておいて、ガチガチです。結果はこんな感じ。これでもう多い日も安心。

スパムはじいた結果

Not Japanese LookupもMT BanASCIIも英字のみのコメントをはじく点では同じだけど、全角文字・ひらがな・句読点の文字数やスコア指定ができるのが前者なので、Ban ASKIIは削除。いくつかスパム来てみて、どっちかだけで防いでいるものがなかったので。

MTのコメント管理画面をちゃんと見てなかったんですが、そもそもLookupsデフォルトのブラックリストでずいぶんはじいてくれてたんですね。スパムコメントが3,000件以上たまってたわ。

プラグインもいいんだけれど。

とはいえこれらは、ありがたくコメントを押し戴いてからの処理。
本当は、TaekoさんのエントリにあるWingMemo: MT4を運営開始する前に設定しておくと良い9つの項目、これをしようと思っていました。すっかり後回しで…

MT4ではコメント認証機能が充実してコメントスパムにそれほど気を使わなくてよくなりました。(略)認証IDなどに無縁な人が閲覧対象のほとんどだった場合、認証に関係なく、オープンに誰でもコメント可にしなければいけなくなります。が、それだと恰好のスパマーの餌食になってしまいます。キャプチャも使いたくない場合はスパム対策が必須になってきます。

スパマーに一番効果的なのはmt-comments.cgiのリネームです。スパム対策プラグインの類はスパムコメントを表に出さないようにしているだけで、CGIへの大量アクセスでMTに過度な負荷を生じさせる状態を改善してはくれません。ここはやっぱり直接mt-comments.cgiを叩かせないようにするのがMTにも優しくていいと思います。(WingMemo: MT4を運営開始する前に設定しておくと良い9つの項目より抜粋)

そして今回は入れていないけれども、cgi叩かせねーぞ的プラグインがMT-Keystrokes。投稿ボタンをクリックしてコメントしなくちゃオシオキするプラグイン(要テンプレート修正)。

リリースは2005年だけど、MT5でも動くみたいですね。詳しい設定はkeystrokes.pl による Movable Type 5.04 のコメント・スパム対策 (カナダからのブログ)とかMT-Keystrokesプラグイン Movable Typeコメントスパム対策 – WEBデザイン BLOGでしょうか。

ポイントは、MT3以外で使う場合にplファイルの中身を変更してやらないと「<$MTKeystrokes$>がありません」エラーが出ますよっという話で。

とまあいくつか方法があるのですが、近いうちmkbもMT5運用にしちまいたいので、ひとまず今は最初に挙げたプラグインでいいや。