No Captcha reCaptchaを使ったWordPressへのボット攻撃の防止

ReCaptcha は、画像にテキストを表示し、ユーザがそのテキストを入力することでフォームを送信する仕組みです。ボットが画像上のテキストを読み取ることは困難でしたが、ボットのアルゴリズムがより高度になるにつれ、このセキュリティを破るようになりました。もはや安全ではありませんでした。この古い方法は、ユーザーの利便性という点ではかなり悪いものです。そこでGoogleは、No Captcha reCaptchaという新しいreCaptchaを作りました。

このチュートリアルでは、No Captcha reCaptchaとは何か、また、WordPressのログイン、登録、コメントのフォームにreCaptchaを統合し、様々なタイプの攻撃を防ぐプラグインの作り方を紹介します。

No Captcha reCaptchaの紹介

No Captcha reCaptchaは、ユーザーがボットではない場合にチェックを入れるようにチェックボックスを表示するだけです。一見、ハッキングしやすそうに見えますが、内部ではGoogleが高度なアルゴリズムと手法を用いて、ユーザーがボットであるかどうかを判断しています。この新しいモデルは、従来のモデルよりもユーザーフレンドリーで安全です。

どのように機能するのか？

単なるチェックボックスのように見えるかもしれませんが、これはチェックボックスではありません。それは、チェックボックスのように動作するグラフィックです。ほとんどのボットはJavaScriptを実行しないので、エミュレートできません。しかし、エミュレートできるボットの場合は、マウスの動きとGoogleのアドセンス不正クリック検出アルゴリズムによって追跡されます。

No Captcha reCaptchaアプリの登録

このプラグインをインストールしたユーザーは、サイトキーとシークレットキーを取得するために、自分のウェブサイトを登録する必要があります。

WordPressの管理者がreCaptchaの管理画面から取得したサイトキーとシークレットキーをインストールできるように、プラグインの設定ページを作成する必要があります。

上記のコードがどのように機能するか見てみましょう。

• WordPressの管理画面に設定ページを作成しました。
• この設定ページには、サイトキーとシークレットキーの2つの入力テキストフィールドが表示されます。
• これらのキーはWordPressのオプションとして保存されています。オプションには site_key と secret_key という名前をつけました。

スパムコメントの防止

フロントエンドのコメントフォームにreCaptchaを統合して、ボットがスパムコメントを入れないようにする必要があります。

プラグインディレクトリにstyle.cssファイルを作成し、以下のコードを配置してください。

上記のコードは、WordPressのコメントフォームの送信ボタンを非表示にし、送信ボタンとreCaptchaボックスの両方を手動で挿入することで、送信ボタンの上にreCaptchaボックスを配置することができます。

以下はコメントフォームに reCaptcha を組み込むためのコードです。

上記のコードがどのように機能するか見てみましょう。

• Google reCaptcha の JavaScript ファイルを wp_enqueue_scripts アクションを使って WordPress のフロントエンドにエンキューしました。
• また、wp_enqueue_style を使って style.css ファイルをエンキューしました。
• コメントフォームでは comment_form アクションを使ってチェックボックスを表示しています。
• コメントが投稿され、データベースに挿入される前に、WordPress は preprocess_comment フィルターを呼び出します。このフィルターでは、ユーザーが人間かボットかをチェックします。人間の場合は挿入されるべきコメントを返し、そうでない場合はコメントがデータベースに追加されるのを防ぐために null を返します。

ブルートフォースログイン攻撃の防止

ボットがパスワードを解読するためにブルートフォース攻撃を行うのを防ぐために、管理者ログインフォームにreCaptchaを統合する必要があります。以下は、管理者ログインフォームにreCaptchaを統合するためのコードです。

上記のコードがどのように機能するか見てみましょう。

• login_enqueue_scriptsアクションを使って、GoogleのreCaptcha JavaScriptファイルをWordPress管理画面のログイン、登録、パスワード紛失ページにエンキューしました。
• login_formアクションを使用して、チェックボックスを表示しました。
• 最終的な認証結果を出す前に、WordPressはwp_authenticate_userフィルターを実行して、追加の検証ステップを追加します。このフィルターでは、ユーザーがボットか人間かをチェックします。人間の場合はユーザーオブジェクトを、そうでない場合は WordPress のエラーオブジェクトを返します。

偽装アカウントの作成を防ぐ

ボットが偽のアカウントを作成するのを防ぐために、管理者登録フォームにreCaptchaを統合する必要があります。以下は、管理者登録フォームにreCaptchaを組み込むためのコードです。

上記のコードがどのように機能するか見てみましょう。

• register_formアクションを使ってチェックボックスを表示しました。
• 最終的な認証結果を出す前に、WordPress は registration_errors フィルタを実行して、追加の検証ステップを追加できるようにしています。このフィルターでは、ユーザーがボットか人間かをチェックします。人間の場合は空のエラーオブジェクトを返し、そうでない場合はエラーオブジェクトに追加を加えて返します。

ボットによるパスワード紛失フォームの送信を防止する

ボットがこのフォームを送信するのを防ぐために、admin lost password formにreCaptchaを統合する必要があります。以下は admin lost password フォームに reCaptcha を統合するためのコードです。

上記のコードがどのように機能するか見てみましょう。

• lostpassword_formアクションを使ってチェックボックスを表示しました。
• 最終的なパスワードリセットリンクを作成する前に、WordPressは追加の検証ステップを追加するためにlostpassword_postアクションを実行します。このフィルターでユーザーがボットか人間かをチェックします。人間の場合は何も返しませんが、そうでない場合はエラーメッセージを出してスクリプトを終了させます。

最後に

Webサイトのフォームをボットから守り、ユーザーの利便性を高める新しい方法です。また、Google はこの新しいタイプのキャプチャを使用して内部的にボットまたは人間を検出する方法を学ぶことができます。