insomniaque

もし今、WordPressのプラグインフォルダに10個のプラグインしか追加できないとしたら、最低限何を入れますか？ プラグイン名とその理由を簡単に述べてください。（標準装備のAkismetとwp-multibyte-patchは除外します）

[TB] WP2.5に入れるプラグイン10選 – MMRT daily life

というわけで、トラバ企画に乗っかって久々に記事をば書きまする。尚、順番は管理画面に上から表示された順なので、多分五十音順かと。

• Admin Custom CSS: Blueman
  通称、。2.5 になってからずっとこれを愛用中
• Admin Drop Down Menu
  これがないと管理画面なんて使ってられませんわ (笑)
• Dashboard Editor
  ダッシュボードの要らない項目を消せるし、表示させたいものを加えることもできる、というかほとんど消しているねぇ・・
• iG:Syntax Hiliter
  コード表示はこれ系のプラグインがないと見辛くて仕方がない
• Simple Tags
  WP に備え付けのよりも使い勝手が良い、関連する記事も表示出来るので助かる
• Theme Tester
  裏でテーマをごにょごにょ出来るので便利
• WordPress Database Backup
  たまーにやらかした時のための wp-cron バックアップ
• wp-mosquito
  軽くてイイっす。シンプルだしね
• WP-SpamFree
  巷で冤罪を作り出していると噂の対スパム君。Somy さんのやつに戻そうかと検討中。
• wp-tegaki
  これがないと楽しくないよね。尚、キャッシュ版を使用中

他のもあわせて 30 個のプラグインが現在有効になっとります。あ、WP-Modore をテーマに組み込んでしまったので、それも入れると 31 個ですな。

・・・やっぱり多いのかな。サーバーさえ軽ければもっと試したいのはあるのだけれど。

WP 2.3 Beta2 がリリース (WordPress 2.3 ベータ 2 | わーどぷれすっ！)されたので、先日入れた Beta1 からアップロードしました。今回のはバグフィクス中心なので見た目上は変化はありません。

恐らく今度は実装されているだろうと思っていたタグの管理画面は今回も実装されておらず、trac にもそれっぽいものはないので、、、まさか管理画面なし

（追記）WordPress 2.3 のタグ機能の管理画面は… | わーどぷれすっ！によると、管理画面はコアには内蔵されないようです。

話は変わり、SpamKarma に代わるスパム対策に aka さんの 最強の対コメントスパム及び対トラックバックスパムの設定/プラグインの布陣を敷いてみる ≪ :: plasticdreams :: というのを試そうと思ったところ、”admin-funtions.php” が見つからないよとエラーが出たので調べてみたら、なんと、admin-funtions.php がいなくなっているではありませんか

もしかして色々ファイルが変わっているのかしら と思い、WP 2.2.2 と WP 2.3 beta 2 のファイルを比較してみました。尚、ファイルの中身については確認しておりませんのでご注意を。

scriptaculous に sound.js が追加ってことは音が出るんでしょうかねぇ・・。

追加されたもの

• wp-admin/
  • css/
    • install.css
    • install-rtl.css
    • upload.css
    • upload-rtl.css
    • widgets.css
    • widget-rtl.css
  • images/
    • heading-bg.gif
  • import
    • jkw.php
    • stp.php
    • utw.php
    • wp-cat2tag.php
  • includes/
    • admin.php
    • bookmark.php
    • comment.php
    • file.php
    • image.php
    • import.php
    • misc.php
    • plugin.php
    • post.php
    • schema.php
    • taxonomy.php
    • template.php
    • theme.php
    • update.php
    • upgrade.php
    • upload.php
    • user.php
  • js/
    • cat.js
    • categories.js
    • custom-fields.js
    • dbx-admin-key.js
    • edit-comments.js
    • link-cat.js
    • upload.js
    • users.js
    • xfn.js
  • edit-link-categories.php
  • edit-link-category-form.php
  • edit-post-rows.php
  • link-category.php
• wp-includes/
  • scriptaculous/
    • sound.js
  • atomlib.php
  • canonical.php
  • taxonomy.php
  • update.php

削除されたもの

• wp-admin/
  • admin-functions.php
  • cat.js
  • categories.js
  • custom-fields.js
  • dbx-admin-key.js
  • edit-comments.js
  • install.css
  • install-rtl.css
  • upgrade-functions.php
  • upgrade-schema.php
  • upload.css
  • upload.js
  • upload-functions.php
  • upload-rtl.css
  • users.js
  • widgets.css
  • widgets-rtl.css
  • xfn.js
• wp-includes/
  • js/
    • tinymce/
      • licence.html

そういえば前回書き忘れていたので…ψ(。。)ﾒﾓﾒﾓ…

正常に動かなかったプラグイン

• Comment Post Rewriter
• PHP Exec
• wp-murasame (?)

雑念ベースさんの記事にあるように、セキュリティソフトによってはリファラを送ってくれないこともあるそうなので、そういう方も弾いてしまうやも。

ここ数日、ボット達の活動が賑やかですね。どこかのお国のスパマーが世界中に伝染させたゾンビを目覚めさせたのでしょうか?SpamKarma殿が頑張ってくれているのでほとんどは防いでくれているので表面上は問題ないのですが、アクセスログを見ると、ことに気が付きました。

htaccessで門前払いに!

最初はdenyコマンドを使えばいいのかなと思っていたのですが、deny from allとしたら何もかも弾いてしまったので(笑)、検索してみたところ、本家のコーデックス(Combating Comment Spam/Denying Access « WordPress Codex)にちゃんと対策方法が載っていました。それを参考に少しだけ手を加えて、以下のようにしてみました。

Rewriteを使っているので、パーマリンクが設定できないサーバでは使えないないのかもしれません。これは、「POSTでデータが送信され、リクエストURLにwp-comments-post.phpを含み、リファラにブログのドメインを含まない場合、自分のIPに叩き返す!」という処理をしています(多分)。健全なコメントにはコメントをつけようとしている記事のリファラを持っているので、引っかかることはありません。これで少しでもスパムが減るといいなぁ・・・。

RewriteについてはApache : mod_rewriteリファレンス - Flash/Web Application Weblog Directoryが参考になると思います。

プラグインのせいでエラーが出ていました。。。スミマセン。

WordPress Plugin DB Japan » SPAM対策さんから、SpamKarma2使用書βへのリファラが増えているのを見ると、みんなスパム対策を求めているのね～と感じます。ですが、WordPressユーザが更に増えたのか、Akismetの補完として調べる方なのか、はたまた単にスパムが増えただけなのか・・・果たしてどれが理由なのでしょうか。

さて、以前の記事ではSpamKarmaの各機能については触れたのですが、実際にどの機能がスパムにより有効なのかということについては触れませんでした。そこで、自分の実際の設定を元に、コレさえ機能させておけばSpamに対抗できる！という最小設定を探ってみようと思います。。。

尚、フィルタ名についてはIndex of /sk2/l10nにある日本語リポジトリに合わせてあります。

ユーザレベル (My設定: 無効)

ログインユーザ時に加点されるものなので、無効でも問題は無いと思います。自分がコメントスパムを送ることは無いでしょ？

リンク数 (My設定: 標準)

スパムの多くは複数のURIを書いていることが多く、( 宣伝目的だから当然ですが )このフィルタは必須でしょう。ただし、記事の議論内容によっては複数リンクを貼って下さる善意の方がスパム判定をされる可能性もあり得ます。

ストップウォッチ (My設定: 標準)

スパムは短い時間で事を済ませて去っていくので、有効だと思います。

ブラックリスト (My設定: 標準)

SK2データベース内のリストから照合します。リストのデータが増えるほど、判定精度も上がっていくので( 多分 )、必須。

Javascript ペイロード (My設定: 標準)

ボットはJavascriptを扱えないらしいので、有効にしておいたほうが精度が上がりそうな気がします。ブラウザを使うボットだったら負けるのかな・・・？

暗号化ペイロード (My設定: 標準)

フォーム内に隠し要素が追加されます。有効の方が無難かな？

HTMLエンティティ 検出 (My設定: 無効)

最近のボットは<a href...ではなく、[URL=...という形を取ってくるので、出番は減ってきているかもしれませんね。。。

トラックバック 参照チェック (My設定: 標準)

トラックバックスパムを判定するのには不可欠だと思います。

雪だるま効果 (My設定: 無効)

スパムは名前をランダムに付けて来るので、減点対象になると思われますが、これが無くてもそれ以外のフィルタで弾けてしまうので・・・。

投稿日と発言状況 (My設定: 無効)

スパムがどうやってロックオンして来るのかは分かりませんが、古い記事が多い気がします。( SpamKarmaの記事に集中砲火されていたことも･･･ ) なので、このフィルタはスパムに有効なのですが、古い記事を見てコメントをくれた方にも減点が行ってしまうので、難しいところ。

RBLチェック (My設定: 標準)

最近、"スパムコメントのデータをRBLに登録する" にマークを入れていると、チェックが全然終わりません。RBLサーバーが不調なのでしょうか？最新のリストから照合できるので有効にしておいた方が良いと思います。ただし、そのマークは外して。
( 設定アリ )

Captcha（画像認証）チェック (My設定: 無効)

しょっちゅう民間人が檻に入れられるようならば必要かもしれませんが、大抵は無効で問題ないと思います。

Anubis (My設定: 有効)

これがないとスパムの処理が面倒になってしまいます。自動的にスパムを収監してくれるので、絶対必須。

シンプル ダイジェスト (My設定: 無効)

これはお好みで。「昨日は1000件でした。」なんて言われたらちょっとショックかも・・。

最後に

現在の設定でもほとんどのスパムは判定されるのですが、たまにすり抜ける事があります。それは、本文が「Well done! My homepage | Please visit」のような場合です。多くのスパムは宣伝目的ですからリンクいっぱいというのが御決まりのパターンなのですが、この愉快犯？の場合はスパムに認められないことがあります。ご注意を。

もしかしたら、コメントスパム対策（投稿前に阻止するものとしては）の決定打になるかもしれないプラグインです。コメント投稿者に非常に簡単な足し算をしてもらうというものです。不正解の場合はメッセージが表示され、投稿できません。計算する値はランダム関数で生成されているので、ボットが正解するのは困難なのでは？(それ以前にプログラムに含まれていないだろうけど:mrgreen:)

導入手順は・・・
did_you_pass_math.phpとdid_you_pass_math_functions.phpをpluginsフォルダへアップロードし、有効化するだけです。

日本語版が無かったので、自分で作りました。3行だけですので、とっても簡単です。

did_you_pass_math.phpの14行目～17行目を

としています。

1行目は問題文のメッセージで（%operand1と%operand2は残してください。）、2行目は不正解時に表示されるメッセージ、3行目は回答がなされていない場合に表示されるメッセージです。

名前とメールアドレスの必須を外して(有効にしていたところで防ぎきれていませんでしたが:cry:)、どの程度防げるようになるのか試してみます。