再作成中です - Mitsuhiro Yoshida 2009年2月9日 (月) 22:59 (CST)

The easy way

Upgrade to 1.9.4 or later and use the new Security report to analyse your configuration. Then do all the things it tells you.

Strongly recommended

• Make sure that 'register_globals' is switched off in your PHP settings (this is the default). Otherwise your site may be at risk of being cracked, allowing spammers to modify your scripts and insert spam wherever they like.

Further suggestions

• Keep "Force users to login for profiles" enabled in Administration > Security > Site policies to keep anonymous visitors and search engines away from user profiles.
• Keep "Profiles for enrolled users only" enabled in Administration > Security > Site policies (in Moodle 1.6.9, 1.7.7, 1.8.8 and in 1.9.4 onwards).
• Keep self registration disabled in Administration > Users > Authentication > Manage authentication common settings.
• Consider the spam risks involved in allowing certain capabilities, such as replying to forum posts, for visitor accounts.

If Email-based self-registration is used for self registration:

• Add spam protection to the new account form by enabling reCAPTCHA (in Moodle 1.9.1 onwards) - see Security FAQ for details of how to do so. ReCAPTCHA is quite effective against most automated spambots, but will not foil human spammers at all.
• Limit self registration to particular email domains with the allowed email domains setting or deny email addresses from particular domains, such as mailinator.com and temporaryinbox.com, with the denied email domains setting. Both settings are in Administration > Users > Authentication > Manage authentication common settings.
• Consider only enabling self registration for a short period of time to allow users to create accounts, and then later disable it.
• Keep "Email change confirmation" enabled in Administration > Security > Site policies (in Moodle 1.8.6 and in 1.9.2 onwards).

Cleaning up profiles

If your site was open and you have a spam problem then here are some things you can do to clean up the profiles:

• Browse your user list looking for patterns to detect users who need to be deleted. For example, spammers might have chosen a country that none of your real users has.
• Use the "Bulk user actions" tool under Admin > Users > Accounts to find all these users and delete them. Note that versions prior to 1.6.7, 1.7.5, 1.8.6, 1.9.2 had a bug that did not properly hide deleted user profiles, so make sure you have upgraded to a later version if you want to keep user profiles visible to the world.
• Spam Cleaner is a simple script to help you delete spammer accounts more easily:
  • Download: spamcleaner.php
  • Feedback/discussion: issue MDL-17144 in the Moodle tracker

以下、Moodleにおけるスパムのリスクを減らすための提案です。

• 匿名ビジターおよびサーチエンジンがユーザプロファイルにアクセスできないようにするため、「サイト管理 > セキュリティ > サイトポリシー」の「プロファイル閲覧時にユーザのログインを強制する」を有効にしてください。
• 「サイト管理 > ユーザ > 認証 > 認証の管理」の共通設定で「自己登録」を無効にしてください。
• 例えばビジターアカウントに対する投稿に返信するの許可等、特定のケイパビリティを許可することにより、スパムリスクが存在することを認識してください。

ユーザ登録にEメールによる自己登録が使用されている場合:

• reCAPTCHA要素を有効にすることで、新しいアカウント作成フォームにスパムプロテクションを追加してください (Moodle 1.9.1以降)。これは、ほとんどの自動スパムボットに対して有効ですが、手動によるスパマーを拒絶することはできません。
• 「許可されたメールアドレスのドメイン」に特定のドメインを設定、または「拒否されたメールアドレスのドメイン」に「mailinator.com および temporaryinbox.com」のようなドメインを設定することで、ユーザによる自己登録を特定のメールドメインに限定してください。両者とも「サイト管理 > ユーザ > 認証 > 認証の管理」共通設定にて設定することができます。
• ユーザがアカウントを作成するため、Eメールによる自己登録を短い期間のみ有効にした後、無効にすることを考慮してください。
• 「サイト管理 > セキュリティ > サイトポリシー」で「メール変更確認 (emailchangeconfirmation)」を有効のままにしてください (Moodle 1.8.6または1.9.2 以降)。

プロファイルのクリーンアップ

あなたのサイトがオープンな状態で、スパム問題が発生している場合、プロファイルをクリーンアップするため、以下の方法をお試しください:

• あなたのユーザ一覧を確認して、削除する必要のあるユーザを探してください。例えば、スパマーは、あなたの実際のユーザが設定していない国を選択している場合があります。
• これらすべてのユーザを探して削除するには、「サイト管理 > ユーザ > アカウント」の「バルクユーザ処理」ツールを使用してください。1.6.7、1.7.5、1.8.6、1.9.2以前のバージョンでは、削除されたユーザのプロファイルを適切に隠さないというバグがあります。ですから、あなたがユーザプロファイルを完全に閲覧可能な状態にしたい場合、最新バージョンにアップグレードしてください。
• スパムクリーナー (Spam Cleaner)は、さらに簡単にスパマーのアカウント削除を手助けするシンプルなスクリプトです:
  • ダウンロード: spamcleaner.php
  • フィードバック/ディスカッション: Moodle Trackerの MDL-17144