セキュリティも進化しちゃって、ついてくのは大変
結局、時代はGoogleなんですな
以前なら数字をフォームに打ち込んで認証してました。その後、それでは破られるようになってアルファベットになり、更に写真認証が主流になってますね。
今も違法ダウンロード? などを行っているサイトでは数字を使った旧型タイプが設置されてますね。
セキュリティ性能は今ひとつなんですが、正規版というか高機能版が登録制に変わってきていることが影響しています。使用には住所氏名や電話番号が必要になります。
匿名でとか捨てアドで登録する人もいますが、いつアカウントが凍結や停止されるかがわからない。アダルトサイトとか違法ダウンロードのサイトだと、正直に住所氏名を書いたら通報されるリスクもあります。高機能版は使いたくても使えないので旧型のサーバー内で完結する認証を用います。
近年はサーバー内での完結ではなくて。Googleとの連携、reCAPTCHAというものが徐々に主流になりつつあります。認証するのにも外部との接続や登録が不可欠になってきています。
スパム、いわゆる宣伝とか振り込め詐欺とかマルウェアを仕込む側もたっぷり時間があるわけではないので。手動ではなく、セキュリティが弱い所をパソコンとかプログラムを使って割り出そうとします。
個人のサイトとかフォームメールを踏み台にしてタイマーをセットしたり、自分の犯行だとわからないようにして迷惑行為や犯罪行為、宣伝メールを送りつけることを繰り返します。
企業のブログよりもセキュリティが甘くなる個人や中小企業のWordPressのフォームがどうしても狙われやすくなってしまう。ロボットやソフトを使った連続攻撃を避けるために「ワンクッション増やして」認証をさせて、人であるかどうかを判断させる必要に迫られるようになりました。
特殊なアルゴリズム、Googleがネットから収集した膨大なデータから「人間であるかどうか?」を自動的に判断してフォームや投稿欄を守るようになってます。
移るのがはや~い、中の解説がわかりにく〜い
インビジブルとは姿が見えないとか透明人間という意味があるので。意識しないでも守ってくれる透明なフィルターといった意味でしょう。なかなか意味深というか凝ったネーミングですね。
困るのはGoogleは元が外資ですので。基本的には英語になります。日本語にあとで翻訳してローカライズするのですがそれがわかりにくい。
その上に爆速で変化するネット企業のトップランカーですから。仕様がコロコロと変わってゆく。しばらくして訪れると使い方がわからない。この辺りはAmazonと同じ。
数年前どころか数ヶ月前とインターフェィスとか仕様とか見た目が変わるので。つい先日、覚えた機能がもう使えないとか設定のやり方が変わってるとかがあります。
reCAPTCHA、reCAPTCHA V2の時は「コンタクトフォーム」だけを保護したのですが。第3世代と言われているInvisible reCAPTCHA(インビジブル・レチャプター)になるとWordPressの入り口、ログイン画面とコンタクトフォーム、それに投稿までを複合的に守ることが可能になっています。
reCAPTCHA V2を設定した時に管理画面の写真をスクリーンショットで撮って。解説用に用意していたのですが、今ならInvisible reCAPTCHA(インビジブル・レチャプター)の設定の仕方を解説したほうが良さそうです。まあ、これもまた半年後には古くなっちゃう情報なのでしょうが(笑)。
すでにWordPressを使っていてContact Form7の設置が終わっているものとします。Contact Form7の設置については公式サイトやネット検索を利用してください。
reCAPTCHA V2、Invisible reCAPTCHA(インビジブル・レチャプター)の場合も共通するのは先に「Googleへの登録」が必要だということです。
パーツとかプラグインをダウンロードして設定してお終いではなく、別途、Googleでの作業があることを忘れないでください。
旧WebマスターツールとGoogle サーチコンソールは同じ
ややこしいのはGoogle Analytics(グーグル・アナリティクス)というのと、Webマスターツールというのが別々で過去にはあったんです。初期段階では解析やツールを使うためにGoogle.comに登録する必要がありました。
comドメインのアメリカで登録を済ませろ、になってました。当初は英語。これは開発チームが幾つかに別れていて。最終的には「一つの組織、一つのコンソール」にまとめることを前提にスタートしたのでしょう。
Webマスターツールという名称で必死で検索していたり、Googleのコミュニティで質問している人がいますが・・・。Webマスターツールはすでに存在しません。
日本のGoogleでも以前にアメリカで登録したメールアドレスやアカウントが使えます。その後、アカウントが日本とアメリカでも統一されましたので。おまけにWebマスターツールの名称が2015年5月20日に「Google Search Console(サーチ・コンソール)」という名称に変わってます。
古いタイプのメタタグ、ウェブマスター認証も現時点では稼働しているようです。Webマスターツール時代の認証やプラグインをそのまま使い続けている人がいます。
そのために入力欄を設けているプラグインもあって。All in One SEO Packもその一つ。
ですのでWordPressの定番であるAll in One SEO Packのウェブマスター認証「Google ウェブマスターツール」の所は、新規ユーザーなら空欄でいいことになります。
代わりにGoogleアナリティクスIDを「違う場所に」入力することで何事もなく動いてますね。
えー、更にややこしいのはGoogle Analytics(グーグル・アナリティクス)とGoogle Search Console(サーチ・コンソール)は別物です。ですので旧Webマスターツールを使っていた人は必死になって「メタタグを吐き出すボタンがない!」と探すことになります。
まあ、これは少し前の私なわけですが(笑)。
実際にはGoogle内で統合とかコンソールの一本化が進んでいるので、サーチコンソールとアナリティクスを「連携させる」ことで解決してしまいます。
サイトやブログの所有者や運営者が誰かがはっきりすればいいので。同じWordPress内で何箇所もGoogle用のメタタグやIDを打ち込む必要がなくなったんですね。
詳しくは上記のサイトを参照を。非常によくまとまっています。参考にさせて戴きました。
ここを読んでで初めてAll in One SEO Packの設定方法が理解できました。
たったそれだけのことを理解するのに、結構な時間がかかってしまった(笑)。
Google Analytics(グーグル・アナリティクス)で全ての操作ができる
サーチ・コンソールとアナリティクスを一つにまとめてから、All in One SEO Packの「一般設定」>「Google設定」>「GoogleアナリティクスID」を打ち込みましょう。
ドメインやブログの所有者はすでに確定していますので、Googleアナリティクスの中だけで全ての操作、ログの確認ができるようになっています。
少し前ならYahoo!やMicrosoftがやっていたマスターセンターにも登録する必要があったと思うのですが・・・。
現時点ではGoogle一強ですね。Yahoo!内部の検索エンジンもGoogleに取って代わられています。
何が凄いってあーた、Apache系のサーバーに付属してるへっぽこ解析とはわけが違います。一日あたりのヒット数どころかリアルタイムで「今、何人がサイトを見てて、どういった文言でたどり着いてて何分間、滞在中で閲覧に使っているのはスマホかパソコンか」まで表示される。
正直、ログをみてそう思っちゃいました(笑)。リアルタイムだと都道府県まで表示されるのか〜い。
う〜ん、これだと普段の検索、見てるサイトがバレバレ。アダルトサイトとかいかがわしいサイトを見てるのもGoogleには隠せないってことか・・・。まあバレた所でどうってことはないですが。別に犯罪行為に加担しているわけでもなし。
ただ、凄い時代になったもんだなとは思います。
自分のID(接続しているポイント)を外すとか、巡回してくる検索エンジンとかbot系はカウントしない機能も備わっています。純粋に「人間が興味を持って見た分だけ」をカウントするようで。
私が開業した当時に商売敵? というかものまねサイトが盛んにやっていた自作自演で「カウンターを回して当たっているホームページのように見せかける」という手法はもう通用しないんですね。
番組に出たり講演会やってた全盛期に「Googleアナリティクス」が欲しかった。
10年以上、ウチの検索上位は昔は「催眠術」絡みのモノだらけだったのですが・・・。今は「洗脳」関連と「自殺したい」とかが入ってくる。2ちゃんや5ちゃんにリンクも貼られているようで。しばらくお休みしてて更新していなかったので仕方ないとは言えますが・・・。
すっかり洗脳問題の専門家扱いですな。
これで次に多重人格に関する本を出したら。今度はそっちの検索ばかりになるような・・・。
しかし自分の書いた文章で「何が当たっているか」を知ることのできるGoogleアナリティクスはとても面白いですよ。読者というか検索者が何を求めてやって来てるかがわかります。
初期設定は面倒だったり難しく感じるかもしれないですが、ブログやサイトの所有者にはお勧めします。見てて飽きないですよ。私のように古くからの運営者が設置するのもいいですが、せっかくの便利なツールです。これからを目指す若い方もヒット数が増える前、最初から入れておくといいでしょう。
無料なんですから(笑)。私が若い頃はこんな詳細なアクセス解析付けたら何十万円も取られました。
Contact Form 7の設定と設置後の入力欄
元々はサーバーの移転とサイトのリニューアルでフォームメールを設置しようとしただけなのですが。
そのためにはGoogle Analytics(グーグル・アナリティクス)が必要で。それをやってる最中にGoogle Search Console(サーチ・コンソール)と連携させたほうがいいですよ、って検索結果に当たった。
Webマスターツールがサーチ・コンソールに名称変更されてグーグル・アナリティクスとセットになるように設計変更されていることも知りませんでした。
久しぶりにGoogleのアカウント内に入ったらGoogle AdSense(グーグル・アドセンス)に参加しませんか、って案内まで出ます。試しに申し込んだらあっさり審査を通ったので。せっかくならGoogleの進化とか登録方法についても、ここで触れておく気になりました。
Contact Form 7ってのがともかく便利です。ウチは運営開始が1997年でしたのでYouTubeもGoogleも無かった時代なんですよ。当然、ネットリテラシーとかストーカーって言葉や概念もなかったので、当時は生のメールアドレスをそのまま載せてありました。
余談ですが、当時は会社の登記簿の住所が自宅だったので変な連中が直接押しかけてきたり。留守中に部屋に誰かが入り込んだ気配があったので入り口に目に見えない糸(ストッキングをほぐした手品用)貼ったりね。薄く小麦粉を撒いて誰かが踏み込んだら「足跡がつく」ようにして出張してました。
ホームページに捨てアド載せてあるだけだと信頼がないでしょう? 私のように背景とか学歴が弱い、当時は駆け出しの催眠術師? としては困るわけで。番組出演や講演会を依頼する側からすれば連絡先もろくにのってない相手には頼みにくい。
かといって自分で取得した独自ドメインとかプロバイダの本アドレス、携帯キャリアのメールアドレスを載せると、あっという間に膨大なスパムメールが届きます。
本アドだと嫌がらせとかメールアドレスをばらまいたり、偽って成り代わる行為もあります。今ならSNS、TwitterやFacebookを証明書代わりに使ったりもできます。当時はまだありません。
結果として生アドレスを晒さずに済むフォームメールを使うようになります。フォームメールだとどのメールアドレスに送られているかは運営者にしかわかりませんので。
ただし、その脆弱性や管理の甘さを狙って執拗なハッキングを仕掛けてくることもあります。
Contact Form7の開発者は日本の方なのですが。セキュリティに関する意識がとても高くて。常に最先端というかしっかりした対策をとられています。
下記にリンクを貼っておきます。サイトは英文ですが日本語でも利用可能です。
Invisible reCAPTCHAだと全体が守られる
WordPressを利用されている皆さんは。多少敷居が高かったとしても、このフォームは設置したほうがいいでしょう。Contact Form7は無料で公開されているというのが信じられないほどのクオリティです。
サイトキーとセキュリティキーというのが必要になります。その2つがあればサイト全体が防御できます。
GoogleのInvisible reCAPTCHA(インビジブル・レチャプター)は単にフォームだけではありません。
WordPressに標準装備されている「設定」>「ディスカッション」>「コメントブラックリスト」にも対応しています。ですので、ブラックリストにIPやプロバイダを書き込んだら、その時点でコメント欄にもフォームメールにも書き込みできなくなります。
悪質な書き込みやうっとおしいメールは誰の目にも振れることなく自動的にゴミ箱へ。IPだけではなく悪意のある書き込みとか内容、差別用語や卑猥な言葉にも対応していますので。キーワードを追加するだけです。
子供さんとか若い女性が目にするサイトなら必須かもしれないですね。
設定後はWordPressのログイン画面にもこういったアイコンが入ります。いつものユーザー名とパスワードの他に「写真をクリックして」自分がロボットではない証明をすることになります。
車とか道路標識が多いですね。ダウンロードサイトではお馴染みのものなので一度は使ったことがあるかもしれないです。
Invisible reCAPTCHA(インビジブル・レチャプター)はスマホやタブレットでも同様に稼働します。個別に設定する必要はなくて自動で同じアイコンが入ります。
位置も調整できますので、ご自分の好みの場所に設置を。
Contact Form 7ですと誹謗中傷を繰り返したり、嫌がらせ行為をやってる人のIPアドレスも残して証拠にすることもできます。.htaccess(エイチティアクセス)などを使ってIPでプロバイダ全体を蹴るよりもかなり柔軟性があるので、多くの人に迷惑をかけずに済みます。
ウチでも悪質な荒らし行為が相次いだことがあったので仕方なくプロバイダをブロックしてました。中国とかシンガポール、ブラジルなどを踏み台にしているものも多い。
確かにそれで悪質な荒らし行為は減るのですが、必然的に全体のヒット数も下がってしまいます。殆どが無関係の善良な方なのにわずか数人の不心得者のために、サイトを見られなくなったりもします。
WordPressのプラグイン、Googleの管理、検索システムは日々進化してますね。びっくりです。
プラグインを使うとWordPressなら設定は一瞬
これもややこしいんですが、WordPressのプラグインにも同名のものが存在してます。Invisible reCAPTCHA for WordPressです。末尾にWordPressがくっついただけ。
プラグインの管理画面で検索するか、下記リンクからダウンロードしてください。
こいつをインストール。すると設定画面にこういった入力欄が2つあります。Google Analytics(グーグル・アナリティクス)で取得したサイトキーとシークレットキーをココに打ち込んでください。
ここに先程、とってきた2つのキーを順番に入れます。
以前はGoogle Analytics(グーグル・アナリティクス)のデーターを取得するために全部のページに一々、タグを打ち込まなければならなかったのですがこれがとても面倒で。泣きそうになりましたよ。ウチの場合だとページ数が多いので数百箇所もありました。
Webマスターツール時代の頃ですね。
少し前までは「ページ、記事ごとに個別のタグを」手作業で打ち込んでおく必要がありました。このプラグインとAll in One SEO Packを組み合わせると、それが数カ所で終わってしまったり。
入力するのは(All in One SEO Packを含めても)わずか3箇所だけ。それでコメント欄とログイン、フォームの保護が出来てサイト全体のデータ収集が可能になります。
難しいのはGoogle Analyticsで自分のブログを登録してキーを取得する所だけですね。Googleサーチ・コンソールとGoogleアナリティクスを連携させてひとまとめにすれば今後の管理が楽です。
セッティングのチェックは全部に入れてます。一時期、嫌がらせ行為が頻発していたのでウチはコメント欄を全部、消してあるのですが、今後、様子を見て復活させるかもしれないです。
使ってるのはContact Form 7だけです。ただし、一応全部のフォームに保護をかけてあります。
これで現在様子見中。海外の情報などだとInvisible reCAPTCHA(インビジブル・レチャプター)はスパムには劇的な効果があるようで、Akismetプラグインなどを外したとの書き込みもありますね。
Akismetより動作が軽快なので、調子がいいようなら私もそうしようかなと思っています。
2017年12月29日
谷口信行
