悪いボットを止める方法: WordPress ユーザーのためのガイド

公開: 2023-04-05

すべてのインターネット トラフィックの半分は人間の活動ではなく、ボットです。 スパムボット、検索ボット、Twitterbot、DDoS ボットは、一般的なタイプの Web ロボットのほんの一部です。 それらはオンラインの世界のどこにでもあり、すべてが悪いわけではありません。 しかし、それらのいくつかは悪いものであり、悪いボットは迷惑以上のものになる可能性があります. WordPress サイトの機能を妨害し、ワークフローを遅くし、ユーザーや顧客を遠ざける可能性があります。

悪意のあるボットによる WordPress サイトへの干渉を阻止するときは、いくつかのアプローチが他のアプローチよりも効果的です。 幸いなことに、WordPress はボットに対処するためのいくつかの実用的なソリューションを提供してくれます。

このガイドでは、ボットとは何か、ボットが優れている理由、悪いボットをブロックする方法、WordPress サイトに害を与えないようにする方法について説明します. 脆弱な WordPress サイトに引き寄せられるボットをブロックするには、今すぐこのガイドをお読みください。 最終的に、WordPress で悪意のあるボットをブロックするために必要な答えが得られます。 見てみましょう。

ボットとは

すでにお気づきかもしれませんが、「ボット」という用語は「ロボット」の略です。 ここで説明しているボットを「インターネット ボット」または「Web ボット」と呼ぶことがあります。 簡単に言うと、ボットとは、個人の独立したユーザー エージェントとして動作するソフトウェア、または多くのボットのアクションを指示する大規模なコマンド アンド コントロール プログラムです。

良くも悪くも、ボットを使用して、実際の人間が Web を閲覧し、反復的なタスクを実行するアクティビティをシミュレートすることがよくあります。 日常的なタスクを実行する場合、ボットは人間よりもかなり高速であるため、ボットを使用して多くの単純なことを迅速かつ大規模に実行します。 一般的に言えば、すべてのインターネット トラフィックの 40 ~ 50% は、実際には Web ページと対話したり、人々と直接通信したり、特定のコンテンツをスキャンしたり、その他の基本的なタスクを実行したりするボットです

多くの場合、これらのボット主導のタスクからメリットを得ることはできません。 あなたはそれらを望んでおらず、それらはあなたにとって役に立たない. それらは、サーバーとエネルギー リソースの浪費です。 さらに悪いことに、悪意のあるものもあり、これらのボットは常に脅威となっています。

悪いボットを止める

ボットはどのくらい正確に機能しますか?

ほとんどの場合、ボットはネットワーク上で動作します。 ボットが相互に通信する場合、IRC (インターネット リレー チャット) などのさまざまなサービスや、ソーシャル メディア プラットフォームのダイレクト メッセージング システムを使用します。

ボットは、デザイナーがプログラミングして実行するタスクを定義するさまざまなアルゴリズム セットに従って、人々と会話したり、インターネットから Web サイトのコンテンツをスクレイピングしたりできます。 最も洗練されたボットは、Google Duplex のように真の人間の行動を模倣しようとします。

ボット管理

ボットを使用する人や組織は、通常、Web アプリ セキュリティ プラットフォームの一部であるボット管理ソフトウェアを使用します。 ボット マネージャーは、害を及ぼす可能性のある悪いボットをブロックしながら、良いボットが適切に機能できるようにします。

ボット マネージャーは、疑わしいボットまたは既知のボットを検出すると、保護している Web サイトからボットをリダイレクトします。 これは、Web アプリケーション ファイアウォールのように機能します。

ボット管理ソフトウェアのより基本的な機能には、CAPTCHA (人間とボットを検出するため) や IP レート制限 (1 つの IP アドレスから送信できるリクエストの数を制限する) などがあります。

その機能の一部として、iThemes Security は CAPTCHA やその他の方法を使用してボット トラフィックを検出し、ブロックします。

一般的な 8 種類のボット

さまざまな種類のボットがあり、それぞれに独自のタスクとアジェンダがあります。

最も一般的なボットには次のものがあります。

  1. チャットボットは人間の会話をシミュレートし、他の人がするようにあなたとやり取りします。 最初のチャットボットの 1 つは、ワールドワイド Web よりも前から存在していました — Eliza。 Eliza は、より多くの質問で質問に答えるロジャーの心理療法士のように振る舞うプログラムです。
    • ルールベースのチャットボットは、ユーザーが選択できるように事前定義されたプロンプトを提供することで、ユーザーと対話します。 知的に独立したチャットボットは、機械学習を利用して人間の入力を学習および理解し、既知のキーワードに応答します。
    • AI (人工知能) チャットボットは、知的に独立したボットとルールベースのボットの特性を組み合わせたものです。 これらの洗練された AI ボットは、自然言語処理、パターン マッチング、および自然言語生成ツールを使用して、非常に現実的な方法で人間のやり取りを再現します。
  2. ショップボットは、ユーザーに代わってインターネットをスキャンします。 Shopbot の仕事は、ユーザーが探している製品、アイテム、またはサービスの最低価格を見つけることです。 OpenSesame などのボットは、ユーザーの Web サイトのナビゲーション パターンを観察し、ユーザーごとにサイトをカスタマイズします。
  3. ソーシャル ボットは、 Facebook、Twitter、およびその他のソーシャル メディア プラットフォームで動作します。
  4. ノウボットは、それらを制御する人物によって定義されたサブジェクトに関する特定の情報を収集します。
  5. クローラーとスパイダー別名 Web クローラーまたは Web スパイダーは、遭遇する可能性のある最も一般的なボットです。 検索エンジンはそれらを使用して、Web サイトの構造とコンテンツをマップし、インデックスを付けます。
  6. Web スクレイピング クローラーは、データを収集し、誰かがプログラムして見つけた他のコンテンツを抽出します。
  7. トランザクション ボットは、それらを制御する人間に代わってトランザクションを完了します。
  8. 監視ボットは、ネットワークまたは Web サイトの全体的な状態を監視します。

これらの各カテゴリのボットは、システムのテスト、監視、保護などの正当な目的を果たします。 もちろん、各カテゴリには悪意のあるボットも含まれる可能性があります。

良いボット

カスタマー サービス ボットは、1 日 24 時間、週 7 日利用できます。 よくある質問に答えて基本的な支援を提供するために、これは私たちボットにとって良い方法です. これにより、カスタマー サービス スタッフが解放され、人的介入を必要とするより複雑な問題に集中できるようになります。

仮想エージェントまたは仮想担当者としても知られるカスタマー サービス ボットと会話したことがあるでしょう。 20 年以上前、「Andrette」と「Shallow Red」はカスタマー サービス ボットのパイオニアでした。 これらは、製品やサービスに関する詳細な質問に答えることができるボットの第 1 世代でした。

今日では、おなじみの多くのサービスでボットが使用されています。

  • WhatsApp、Slack、Facebook Messenger などのインスタント メッセージング アプリ
  • The New York Timesなどのニュース アプリ
  • Lyft などのライドシェア アプリ
  • Clara や Trevor など、AI を使用するスケジュール アシスタント

これらの例は、テクノロジーやビジネスにおけるボットの多くのアプリケーションの表面をなぞっただけではありません。 残念なことに、ボットがサイバー犯罪で果たす不正な役割も同様に数多くあります。

悪いボット

人々や企業にとって非常に有益な目的を果たすボットが存在する一方で、ハッキングやサイバー犯罪を支援する悪意のあるボットも存在します。 これらの悪意のあるボットは、役に立つチャットボットとは大きく異なります。 1 つには、チャットボットは問題を探して Web を自由に歩き回ることはありません。 悪いボットはそうします。

最も一般的な悪意のある、または「悪い」ボットには、次のものがあります。

  • DDoS または DoSボットは、「ボットネット」または「群れ」で連携して、標的のサーバーのリソースを過負荷にし、正当なユーザーにサービス拒否 (DoS) を引き起こします。 ほとんどのボットネットは多くのネットワークとデバイスに分散しているため、その攻撃ベクトルは「分散型サービス拒否」としてより適切に定義されています。
  • スパムボットは、訪問者を別の Web サイトに誘導する目的で、標的のサイトに不要な商用コンテンツを挿入します。
  • ハッカーボットはWeb サイトのインフラストラクチャを攻撃し、マルウェアを配布します。

その他の種類の悪意のあるボットには、メール ハーベスター、悪意のある Web クローラー、ブルート フォース パスワード クラッカー、資格情報またはパスワードを詰め込むボットなどがあります。

ボットの長所と短所

テクノロジーの他の分野と同様に、ボットを使用すると、正当なビジネス目標を持つ人々にいくつかのプラスの利点を提供できます。

  • 彼らは人間よりも速く、しかも人間を使わずに繰り返しのタスクを実行します。
  • ボットは、クライアントと顧客との直接的な個人対個人のやり取りにかかる時間を節約します。
  • 昼夜を問わずいつでもご利用いただけます。
  • ボットを使用すると、多くの人に非常に迅速に到達できます。
  • 顧客サービスの UX (ユーザー エクスペリエンス) は、ボットによって大幅に向上します。
  • 企業は、ロボティック プロセス オートメーション (RPA) を使用してワークフローを合理化できます。

一方で、

  • ルールベースのボットは、プログラミングのタスクと機能に限定されています。 AI を活用したチャットボットの流暢さと知性に比べると見劣りします。
  • AI チャットボットでさえ、ユーザーの意図を「誤解」し、人々を苛立たせることがよくあります。
  • 犯罪者は常にボットを使用してスパムや詐欺を行っています。
  • ボットが害を及ぼすようにプログラムされている場合、ボットは悪意のあるものになる可能性があります。
  • 人々にボットを「信頼」してもらうのは難しいため、単なるトランザクション エクスペリエンスではなく、リレーショナル エクスペリエンスが必要な場合の使用は限られています。

WordPress で悪意のあるボットをブロックするにはどうすればよいですか?

WordPress だけでは停止できない悪意のあるボット トラフィックを停止する方法を学ぶことが重要です。 悪質なボットは真の脅威となり、毎日大きな被害をもたらしています。 あなたの WordPress サイトは攻撃対象の 1 つであり、ブロックする必要があります。

WordPress でボット トラフィックを阻止する方法を学ぶことは、悪いボットとは単に WordPress サイトを攻撃するだけで、サイト所有者にとって何のメリットもないことを理解することから始まります。

悪質なボットはサーバー リソースを大量に消費します。 これは、侵入方法を探してwp-loginページやサイトの他の領域に頻繁にアクセスする場合に特に当てはまります。

それらをブロックすることで、サーバーのストレスに対処する必要がなくなります。 ホスティング コストと帯域幅を節約できます。 これにより、サイトが高速化され、DDoS 攻撃が防止されます。

悪いボットを遠ざける方法は次のとおりです。

1. 無料の iThemes Security プラグインを入手する

最初に行うことは、無料の iThemes Security プラグインを入手することです。 iThemes Security は、WordPress サイトにセキュリティを追加する WordPress セキュリティ プラグインです。

iThemes Security プラグインを使用すると、ボット アクティビティを含む Web サイトのセキュリティ イベントを収集するリアルタイムの WordPress セキュリティ ログを取得できます。

iThemes セキュリティを今すぐダウンロード

iThemes Security のようなプラグインを使用して WordPress のセキュリティ ログを生成すると、さまざまなレベルで役立ちます。 セキュリティ ログには、Web サイト全体のセキュリティ戦略においていくつかの利点があります。

ログは次のことを可能にします。

  1. 悪意のある動作を特定して阻止します。
  2. セキュリティ侵害を警告できるアクティビティを見つけます。
  3. 侵害が発生した場合に、どの程度の損害が発生したかを評価します。
  4. ハッキングされたサイトの修復を支援します。

サイトがハッキングされた場合、迅速な調査と復旧をサポートするための最良の情報が必要になります。 その情報がサーバー アクセス ログです。

2. iThemes Security Pro を入手し、ユーザー登録、パスワードのリセット、ログイン、およびコメント用に CAPTCHA を選択します

iThemes Security Pro プラグインの最も優れたボット バスティング機能は、その CAPTCHA オプションです。

WordPress サイトは、盗んだパスワードや推測したパスワードでログイン フォームに侵入したり、フォーム スパムやスパム コメントを送信したり、コンテンツをスクレイピングして盗んだりしようとするボットによって常に標的にされています。

多くの異なる CAPTCHA プロバイダーから選択

Cloudflare の noCAPTCHA Turnstile、Intuition Machines の hCaptcha、Google の reCAPTCHA はすべて、悪意のあるボットを Web サイトから締め出すために iThemes Security Pro に用意されているオプションです。 これらの CAPTCHA はそれぞれ、正当な訪問者を識別し、ログイン、購入、ページの表示、またはアカウントの作成を許可します。 これらの CAPTCHA サービスはすべて、高度なリスク分析技術を使用して人間とボットを区別しますが、ボットではないことを人間に証明するように要求することさえしない場合もあります。 (回転式改札口は通常、目に見えないところで作動します。)

選択した CAPTCHA サービスの使用を開始するには、 [機能] › [ロックアウト]ページの[セキュリティ] › [設定]で CAPTCHA 機能を有効にします。

あなたのCAPTCHAキー

次のステップは、使用する CAPTCHA のタイプを選択し、そのキーを生成することです。キーを取得するには、選択した CAPTCHA プロバイダーで無料のアカウントを設定する必要があります。

注: Cloudflare の Turnstile は、現在、最も侵入的でなく、最も洗練された CAPTCHA ソリューションです。 Google reCAPTCHA を使用する場合は、非表示の reCAPTCHA オプションを使用することをお勧めします。

noCAPTCHAの便利さ

Cloudflare の Turnstile と Google の Invisible reCAPTCHA の優れている点は、通常、ユーザーの操作なしで Web サイト上のボット トラフィックを検出できることです。 目に見える CAPTCHA チャレンジを表示する代わりに、ブラウザー エージェントの動作を監視して、それが人間なのかボットなのかを完全に裏で判断します。

WordPress のユーザー登録、パスワードのリセット、ログイン、およびコメント画面で、選択した CAPTCHA を有効にします。

最後に、手動の CAPTCHA テストが使用されている場合に、ロックアウト エラーのしきい値を使用して、ロックアウトをトリガーするために必要な失敗した CAPTCHA の数を設定します。 ログイン画面やその他のフォームを調査するボットは、繰り返しテストに失敗する可能性が最も高いため、それらを自動的にロックアウトすることは、ブロックリストを強化する良い方法です。

アクティブ化すると、CAPTCHA プラットフォーム バッジがアクティブなすべてのページの右下隅に表示され、悪意のあるボットから保護されていることがわかります。

3. iThemes Security の Local Brute Force Protection で悪意のあるボットを自動的に識別してブロックする

iThemes Security の Free エディションと Pro エディションの両方で、悪意のあるボットや、繰り返しログイン試行に失敗したり、「Admin」ユーザー名を使用したりするユーザーを自動的に禁止できます。 これは、ブルート フォース ログイン試行を行うボットの典型的な動作です。 Local Brute Force Protection機能の使用を開始するには、iThemes Security Pro 設定ページのメイン ページで有効にします。 これらのボットの処理方法を決定する設定は、構成 › ロックアウト › ローカル ブルート フォース画面で変更できます。

サイト ユーザーに許可するログイン試行回数を減らすことで、 wp-loginページで無効なログイン条件を繰り返し入力したユーザーとボットをすぐにロックアウトします。

iThemes Security Pro のローカル ブルート フォース保護機能は、ホストまたは IP アドレスとユーザー名による無効なログイン試行を追跡します。 IP またはユーザー名が連続して無効なログインを何度も試行すると、ロックアウトされ、一定期間それ以上試行できなくなります。

4. iThemes Security の Network Brute Force Protection で悪意のあるボットを自動的に識別してブロックする

悪いボットからサイトを保護する非常に効果的な方法は、ブロックリストを共有している iThemes のユーザー ネットワークにオプトインすることです。 あなたのサイトがブロックした悪意のあるボットは、ネットワーク内の他のユーザーによって共有およびブロックされ、ブロックリストを受け取ることもメリットになります。 オプトインするだけで、それ以上の操作は必要ありません。

5. 悪いボットのリストを手動で特定してブロックする

iThemes セキュリティ ダッシュボードには、試行されたブルート フォース攻撃の数、ブロックされたボットとユーザーの数など、重要な最新情報がヘッドアップ表示されます。 これは、iThemes Security が保持するログに収集された情報の視覚的な表示です。

セキュリティ ログに慣れる

[セキュリティ] › [ログ]でセキュリティ ログを確認します。 多くのロックアウト (不適切なログイン試行) と検出されたブルート フォース ログイン試行が表示される可能性があります。

iThemes Security は、疑わしいリクエストや悪意のあるリクエストを探します。 サイトを繰り返し攻撃するボットは、人間が操作する通常のブラウザー リクエストとは異なります。 彼らは繰り返しになる傾向があります。 1 つの IP が平均数を超えるリクエストを行っている場合、または同じ IP から定期的に (1 時間ごとなど) リクエストが繰り返されている場合、それはボットである可能性が最も高くなります。 それらのホスト名をググって IP を調べることで、それらの詳細を調べ、無害か有害かを確認できます。

ロックアウト時間を増やし、繰り返し違反者を禁止する

ロックおよび禁止されたホスト IP の多くは、繰り返し表示されます。 ロックアウトと禁止のしきい値設定で、より長い期間それらを禁止することをお勧めします。

不正な IP の大規模なリストを永久に禁止する

iThemes セキュリティ ダッシュボードの禁止ユーザー ウィジェットを使用して、多くの IP を永久に禁止することもできます。 ただし、リストが非常に大きいと、サーバーの速度が低下する可能性があることに注意してください。

悪意のあるユーザー エージェントの大量のリストを永久に禁止する

悪意のあるユーザー エージェントをブロックすることは、既知のボットをブラックリストに登録する効果的な方法です。 これは、iThemes Security のユーザー禁止機能の一部でもあります。

定期的に更新される共通ソースに基づいて悪いボット リストを作成することで、多くの時間を節約できます。 Jim Walker の禁止リストは、既に iThemes Security に統合されています。 Jeff Starr の 4G bad bot blacklist のように、他のものを追加することができます。これには、現在 1200 の悪いユーザー エージェントのエントリがあります。
Googlebot のようなボットは正当なものであり、ブロックする必要はありません。実際、有益なボットの現在のリストを使用してホワイトリストに登録できます。

iThemes Security の新機能: ゼロフリクションとより優れたプライバシーでボットをブロック — ウェビナーのリプレイを見る:

WordPress で悪質なボットをブロックすると、作業が楽になります

WordPress サイトの所有者であれば、サイトを攻撃する悪意のあるボットに対処したことはほぼ間違いありません。 この eBook では、より安全な未来に備えるための簡単なアドバイスを紹介しています。 悪質なボットやその他のセキュリティ技術をブロックして、Web サイトを攻撃対象にしにくくする方法を学びましょう。

ボーナス コンテンツを入手: A Guide to WordPress Security
PDFをダウンロード

WordPress を安全に保護するための最高の WordPress セキュリティ プラグイン

WordPress は現在、すべての Web サイトの 40% 以上で使用されているため、悪意のあるハッカーにとって格好の標的となっています。 iThemes Security Pro プラグインは、WordPress のセキュリティから当て推量を取り除き、WordPress Web サイトを簡単に保護および保護できるようにします。 これは、WordPress サイトを常に監視して保護するフルタイムのセキュリティ専門家がスタッフにいるようなものです。

iThemes Security Pro を入手