最善の策

Moodleの最新の安定バージョンにアップグレードし、セキュリティレポートを使用し構成を分析します。次に、指示されたすべてのことを行います。

これは、プロファイルスパム（以下の重要な設定を参照）だけに対処するために厳密に必要なわけではありませんが、他の多くの既知のセキュリティ脆弱性から保護します。

重要な設定

1. PHP設定で 'register_globals'が off に切り替えられていることを確認します（これがデフォルトです）。そうしないと、サイトがクラックされる危険性があり、スパマーがスクリプトを変更してスパムを好きな場所に挿入できるようになります。
2. サイト管理 > セキュリティ > サイトのセキュリティ設定 "プロファイル閲覧にユーザのログインを強制する" を有効にして、匿名の訪問者と検索エンジンにユーザプロファイルが表示されないようにします。
3. サイト管理 > セキュリティ > サイトセキュリティ設定 プロファイルを登録済みユーザにのみ表示する を有効にしたままにします。これにより、影響を受けるプロファイルがサイト上の他のユーザにも表示されなくなります。

強力な推奨事項

• サイトを頻繁にアップグレードしてください。 Moodleの最近のバージョンには、セキュリティの問題を回避するのに役立つ新しい修正と警告があります。
• フォーラムの投稿への返信またはブログへの投稿など、訪問者アカウントに特定のケイパビリティを許可することに関するスパムリスクを検討してください。

自己登録を許可する

必要ない場合は、 サイト管理 > プラグイン > 認証 > 認証管理 の共通設定で自己登録を無効（デフォルト）にしてください。

もし、あなたがEメールによる自己登録を使用して、人々が自分のアカウントを作成できるようにする必要がある場合：

1. reCAPTCHAを有効にして、新しいアカウントフォームにスパム保護を追加します。その方法の詳細については、セキュリティFAQを参照してください。 ReCAPTCHAはほとんど自動スパムボットに対して非常に効果的ですが、人間のスパマーを完全に阻止することはできません。
2. 許可されたメールドメイン設定で自己登録を特定のメールドメインに制限するか、拒否されたメールドメイン設定で一時的なメールドメインからのメールアドレスを拒否します。 （ヒント：インターネットで最新のドメインリストから使い捨ての一時的な電子メールアドレスを検索し、リスト全体をコピーして拒否された電子メールドメインフィールドに貼り付けます。）両方の設定は、 サイト管理 > プラグイン > 認証 > 認証管理 にあります。
3. ユーザがアカウントを作成できるようにするために、短期間の自己登録のみを有効にし、その後、 サイト管理 > プラグイン > 認証 > 認証管理 で '自己登録' を無効に設定することを検討してください。
4. サイト管理 > セキュリティ > サイトのセキュリティ設定 から メール変更確認 を有効にしてください。
5. サイト管理者 > セキュリティ > IPブロッカー > ブロックされるIPアドレスリストを使用します。こちらのディスカッションをご覧ください：https://moodle.org/mod/forum/discuss.php?d=222063#p996786

ユーザプロファイルスパムのクリーンアップ

Spam cleaner

過去にサイトを開いていて、スパムの問題が発生している場合は、プロファイルをクリーンアップするためにできることがいくつかあります。

1. サイト管理 > レポート > スパムクリーナー のスパムクリーナーレポートを使用して、スパムやその他の厄介なものの原因となっているユーザアカウントを特定し、それらの削除を支援します。ユーザプロファイルの説明に加えて、コメント、ブログ投稿、メッセージもキーワードで検索されます。
2. ユーザリストを参照してパターンを探し、削除する必要があるユーザを検出します。たとえば、スパマーは、実際のユーザが誰も持っていない国を選択した可能性があります。
3. 削除ボタンまたは、サイトの管理 > ユーザ > アカウントのバルクユーザ処理 ツールを使用して、これらすべてのユーザを検索し、それらを削除します。

こちらもご覧ください

• セキュリティFAQ
• ハッキングされたサイトの復旧
• moodle.orgでのスパム対策フォーラムディスカッション