昨日もちょこっと書きましたが、Movable Typeを3.11-jaにアップグレードしたので、それに関することをちょっと書いておこうと思いました。このMovable Typeというブログシステムは、知ってる人は良く知っていると思うんですが、ディフォールトのままほったらかしにしていると、スパムメールのコメント版、いわゆる「コメントスパム」というのがつくことがあります。
なぜスパマーがいるのか、とかどんな利益があってそんなことやる人がいるのか、などは他のサイトで見ていただくことにして、単純に、どうしてこのMovable Typeが簡単に狙われるのか。それは、このMovable Typeのシステムに含まれている、コメント用のCGIの名前が予想がつくということで、スパマーはそれを狙って自動的にコメントを飛ばしている、といわれています。
SEO (Search Engine Optimization) のことを少しでも知っている人は分かると思いますが、グーグルのようなタイプのサーチエンジンは、ウェブページの利用価値、いわば”Usefulness”を、被リンクの数で計算しているので、スパマーがコメントやトラックバックによって「被リンク」が増えると、サーチエンジンの上位に自分のサイトを持ってくることができるわけです。
ではスパマーはどうやって、「ここにMovable Typeを使ったブログがある!」と判別するか、というと、実はそれもサーチエンジンでやっているんですね。SEOをちょこっと勉強すればすぐに分かることですが、ヘッダータグであるHタグ関連にMovable Typeという字があれば、キーワードを”Movable Type”にしてサーチしたときにひっかりやすく、上位に来やすくなります。Movable Typeはタイトルタグ(一番上にある、私の場合はMTWEBと書いてあるタグですね)にHタグを使っている場合が多いので、そこにある単語ははっきり言ってサーチにかかりやすいと言っていいと思います。
つまり、アーカイブページ(Permalink)などに行くと、直接、エントリーのタイトルがそのHタグに入ります(この記事の場合は「コメントスパム対策について」)。ですから、単純にスパマーが”Movable Type”という単語をつかってサーチをかけたときに、”Movable Type”という単語をタイトルに使ったことがある人はほぼ間違いなくヒットしてしまう、というわけです。ですから、これからMovable Typeを使おうという人は、エントリのタイトルは気をつけてつけたほうがいいと思いますね。「コメントスパムに悩まされています」と記事に書きつつ、タイトルが「Movable Typeにつくコメントスパムについて」だったりするのを見ると、私はアラアラアラと思ってしまいます。もちろん、Movable Typeで検索する人はスパマーだけではないので、その単語で検索されたい場合はガンガン使うといいと思いますが。
そういったコメントスパムにどうやって対策するかというと、まずCGIの名前を変えちゃう、という大胆なやりかたがあります。でもこれは、アップグレードの度にやらなければいけないし、Movable Typeほどの大量のファイル構成になると、素人ではどこにそのCGIがリファーされているか把握できかねる、という問題点があります。
次に、これは私もやっていますが、コメントフォームに隠れ機能を入れて、自動コメント送信ができないように細工をする、という対策があります。フォームのタグにHiddenタグを入れて、手動だと問題なくとも、自動ではできないようにするといいと思います。このやり方を利用したのが、オンラインでチケットなどを買うときに見る、「画像に出ている文字を入力してください」とか「このチェックボックスにチェックを入れてからボタンを教えてください」などの細工です。あれがあると、自動でチケットを大量購入したりできませんからね。私の場合は、具体的にはこちらのサイトを参考にして、少しアレンジしました。
そして、これはちょっとイタチゴッコになりかねませんが、特定の単語や特定のIPからのコメントをはじく、という方法です。Movable Typeにもともと、「禁止IP」などを入れるところがありますが、それじゃまったく足りない、ということで、MT-Blacklistというプラグインがとても有名ですね。名前そのままですが、みんなで情報を寄せ集めてブラックリストを作り上げてスパマーをはじこう、というコンセプトです。イタチゴッコですが(スパマーにとってみれば、URLやIPを変えれば解決する場合が多い)、かなり効果的です。今回、私がアップグレードしたMovable Type 3.11に対応したMT-Blacklistがプラグインパックとして本家サイトからダウンロードできたので入れてみました。すると、普通のMovable Typeのメニュー画面の左下に、このようなプラグイン用のメニューができています。
それをクリックするとさらに左のような画面がでてきます。全体図は普通のメニュー画面にそっくりですが、右下にMT-Blacklistのアップグレード状況や、どれだけコメントスパムをはじいたか(私のスクリーンショットはインストール直後なのでゼロですが、以前のものは驚くほど弾いていました)、などの情報を見ることができて非常に便利です。見た目、インストール方法などがかなりソフィスティケイトされていたのでそれも良かった。
ただ、今恐れているのはここでひたすらコメントスパムについて書いてしまったので、これがサーチエンジンにひっかかってしまわないかということ。一応メタタグは追加しましたが、あとは祈るばかりです。なんだか全体的にオタクっぽい内容でごめんなさい。