僕はWordPressブログの初心者です。
不正アクセスが増加で分かったきっかけと即時対応した三つの内容を紹介します。
404エラーを避けたいと思って、Redirectionプラグインをインストールして見たら大量の異常アクセスが増えたことが分かりました。
ブログ初めて2か月立ちました。今まではセキュリティ面は全く考慮してなかったです。
今から対策でも全然遅くない、できればブログ立ち上がった後、すぐ対策したほうた良いきがします。
初心者がセキュリティ強化する意識アップ
管理者ログイン画面のアクセス強化
特定ユーザー・特定不正行動を無効化する方法
異常アクセス増えることの気付いたきかっけ
404エラー対策としてRedirectionプラグインを導入
Googleアドセンス審査で4回不合格でした。
対策として思いだした一つは非表示設定した記事をアクセスされたら404エラーになるのではないかのことです。
この404エラーが発生するときっとサイトの評価が落ちると思います。
例:僕はtwitterを利用しています。
記事を書いたらツイートして新記事を紹介します。
その紹介ツイートを削除しない限りずっと残ります。
ブログで書いた記事は何らかの理由で非表示することはありますよね。
非表示した記事は検索エンジンからアクセスすることはないです。
twitter利用して記事紹介したツイートからは直接その非表示した記事のアクセスは可能です。
そのアクセスを操作すると404エラーが起きます。
404エラー対策方法を考えたのが無効なURLを転送することです。
この無効なURLを特定のURLに転送する機能を実現できるのがRedirectionプラグインです。
ですので、早速Redirectionプラグインをインストールしました。
Redirection表示項目で異常アクセス増えたことが分かった
Redirectionプラグインの設定・表示項目の中に404エラーがあります。(下図のように)
404エラーをクリックすると下の図のように表示されます。
日付、ソースURL、ユーザーエージェント、IPの項目があります。
この画像から分かるのが特定のユーザーが同じ時間代で僕のサイトをログインしようとしていること。
対策したこと
wordpressのニックネームとブログ上の表示名を変更
異常アクセス対策をネットで調べてみたら、びっくりしました。
ブログの管理者ログイン画面のログインユーザは簡単に調べられます。
僕はブログの初心者で、wordpress作る時にユーザー設定は特に記憶残るような設定はしておりません。
だから危ないです。
wordpressのユーザー設定に管理者ログイン画面のログインユーザーに設定されている可能性は高いです。
設定場所(Wrodpressのダッシュボードのユーザーのプロフィール設定)ニックネームとブログ上の表示名の部分です。
まずかこの設定を変更しました。(確かに管理者ログイン画面とのログインユーザーと同じ設定でした)
僕みたいに特に設定記憶ない方は是非一度確認してみてください。
重要:ニックネームとブログ上の表示名必ず管理者ログイン画面のユーザーと違う内容を設定すること
管理者ログイン画面👇
設定変更しないとどうなる
ブログのURL後ろに”/?author=1″を追加して(例:www.oo.com/?author=1)、検索エンジンで検索すると投稿者情報が表示されます。(下図のように)
もしこの情報は管理者ログイン画面のログインユーザー情報と同じであれば…..想像してみてください!
Edit Author Slugプラグインを導入
このプラグインは簡単に言うと管理者ログイン画面のログインユーザーをばれないような役割です。
このプラグインを追加すると以下の設定が表示されます。(Author Slugの部分)
設定変更しないとどうなる
先と同じようにブログのURL後ろに”/?author=1″を追加して検索エンジンで検索するとURLの後ろに”author/ユーザー名”に代わります。ログインユーザーが分かることになります(下図のように)
SiteGuard WP Pluginプラグインを導入
これプラグインの機能は簡単に言うとWrodpress標準のログイン画面のURLを任意に変更することです。
例えばAABBCC.comのWrodpressで作ったブログがあるとします。
”AABBCC.com/wp-admin/”で検索エンジンで検索するとAABBCC.com管理者ログイン画面が表示されます。
設定画面はダッシュボード下のSiteGuard設定があります。(下図)
設定色々ありますが、僕が変更したのがログインページ変更の項目です。
下図のようにこの設定は管理者ログイン画面のサクセスURLを任意に変更可能です。
設定変更しないとどうなる
だれでも簡単にブログの管理者ログイン画面のアクセスが可能です。
特定ユーザーの不正アクセスを無効化する方法
Redirectionプラグインがインストールされていることが前提条件です。
Redirectionプラグインの404エラー項目欄を表示させます。
例:下の画像の場合
不正アクセスの特徴:特定ユーザーは数回以上不正行動します。
手順:
①マウスのカーソルを不正アクセス行の周辺に持って行くと新な設定が表示されます。その中の「URLを無視」を選択します。
そうすると以下の画像の設定が表示されます。
設定必要なのが一致条件と一致した時の動きになります。
一致条件の選択は複数ありますが、僕はURLおよびユーザーエージェントでよいかと思います。
とにかく不正アクセスのURLは必ず見たことないようなURLになります。
さらにユーザーエージェント(相手の環境などの情報)を加えることで不正アクセスを無効化にします。
注意:ユーザーエージェントの入力が必要です。しないと設定の意味はありません。
一致した時の設定は「何にもしない」に設定します。
「最後転送ルールを追加」ボタン押すと設定完了!
一つ問題点は定期的に不正アクセスチェックが必要ことと、都度自分で無視したい動きを登録する実用があることです。
現在の状況
まだ毎日数件不正アクセスがありますが、同じIPの不正アクセスが少なくなったと感じます。
同じIPでの多数アクセスが発見したら即時無視に登録します。
定期的にデータのバックアップも実施しています。
まとめ
ブログの管理者ログイン画面にアクセスして、ログインユーザー情報も入力して残りはパスワードだけです。
本当の悪いやつだとパスワードを見つかる手段もあるでしょう!
セキュリティ対策は決してこれだけではありません。
気付いたら即時対応、セキュリティ対策の意識は我々ブログ初心者が重視しなければならないのではないでしょうか!