MovableTypeのコメントスパム対策（メモ）。

MovableTypeのコメントスパムがまたひどくなってるようですね。mt-blacklistも効かないとか。
このサイトはMTではないし、もうひとつのサイトのほうもスパムされたわけでもないんですが、Blogdexで対策の話をいくつか見つけたのでメモしときます。Buriningbirdのほうはスパム対策として、ここで挙げている記事をそのうち”draft”に戻してしまうとか（記事への直接リンクは有効なまま、トップページやカテゴリページには現れなくなる）。スパマーには、”comment”とか”spammer”とかいうテキストを狙ってスパムをする傾向があるらしいので、それを逃れるため…だそう。

Burningbird: MT Comment Helpから抄訳。詳しいやり方は原文をご参照ください。

• MySQLで、スパムコメントのみをさくっと消せる（delete+スパムコメントされた時間）。
• 過去n（例：30）日以前のコメントをクローズしてしまえば、スパムの被害がいくらか減らせるはず。クローズ自体はMySQL+cronで自動化できるのでラク。（同じことができるプラグインもある）
• 例によって、「バックアップはきちんと取ること」！！

それから、Yahooの会員登録なんかで使われている、ランダムな画像を表示してそこに書かれている文字をタイプしてもらう、という、自動化攻撃を防ぐプラグインなども紹介されてました。

コメントスパムは削除が面倒なだけじゃなく、CGIの負荷を異常に増やしてBlog（のデータ）を壊す(kill)ことまで狙ってるそうなので、やっぱりバックアップは定期的に取らないとなーとつくづく思いました。それから、コメントをメールで通知する設定にしている場合は、大量の通知メール自体が攻撃ツールになる可能性もあるとのこと…。こういう危険を減らすために、上記の「過去コメントクローズ」という方法が有効、と聞いて納得しました（コメントをつけられるエントリーの数が少ない＝分散攻撃がしにくい）。

（あまりにもスパム被害がひどい場合）コメントをすべてクローズして、会員登録制の掲示板などをフィードバック用として使ったほうが手っ取り早い、という意見（Many-to-Many）も。まあ、これは超人気サイトBoing Boingを例に取ってるので、一般的にはそこまでする必要はないのでは…とも思うけど。

ちなみに…WordPressでは「コメント承認モード」も使えます。コメントを書いても、管理人が承認するまでは表示されない、という機能ですが、今のところ私は使ってません。大量スパムコメントがきたりしたら導入も考えようと思ってますが…。