うらなか書房のあやしいグッズあり〼

うらなか書房と申します。AmazonYahooClubTTTrinitySUZURIなどで、ちょっとあやしいTシャツやグッズの販売をしています。このブログでは、おすすめのホラー映画や漫画、本、その他風変わりなもの・場所などの紹介をしています(たまにお役立ち情報や暗い話も書きます)。

たまに毒吐くちゃん

カテゴリー「WordPress」の人気記事TOP3

【WordPress】「悪意あるログイン試行」への対策【.htaccess】

time 更新日:  time 公開日:2017/03/26

WordPressロゴ

WordPressのダッシュボードに「ブロックされた悪意あるログイン試行」という項目があります。
悪意ある……ということで、恐らくWordPressに不正にログインして、記事の改ざんなどの悪さを行うスパムのことだと思われます。
この数が2016年末から2017年のはじめにかけて突如として急増したので、対策を行うことにしました。

スポンサーリンク

プラグイン「WP-SpamShield Anti-Spam」

スパム対策としてプラグイン「WP-SpamShield Anti-Spam」を使用しています。
Jetpackにも「プロテクト」という機能があるのですが(詳しくは「使用中のJetpackの機能」をご覧ください)、これだけでは「悪意あるログイン試行」の数があまり減らなかったので、「WP-SpamShield Anti-Spam」もあわせて使うことにしました。すると「悪意あるログイン試行」の数が激減しました。

しかし2016年末になって、「WP-SpamShield Anti-Spam」をもすり抜けて、「悪意あるログイン試行」がまた増え始めたのでした……。これは他にも何か対策を講じねば、と調べてみることにしました。

「.htaccess」でアクセス制限

プラグインで対処できると手軽でいいのですが、いろいろ調べた所、「.htaccess」ファイルでアクセス制限をするのが一番効果がありそうだったのでやってみることにしました(本当はあまりいじりたくないファイルなのですが……)。

先に「.htaccess」に追記する記述を載せておきます(下の方にも再度同じ記述を載せています)。

以下は、参考にさせて頂いたページや、どのような問題点があったかなどということを備忘録的に書いた文章になりますので、ご興味がある方はお読みください。


まずはじめに参考にさせて頂いたのが、

海外からWordpressにイタズラされるので、不正アクセス対策をしました。

というページです。「wp-cron.php」「xmlrpc.php」「wp-login.php」の3ファイルへの海外からのアクセスを禁止する方法が書かれています。

で、その後どうなったかというと……。

「ブロックされた悪意あるログイン試行」の数
対策直後 5833
2時間後 5838

あれ……2時間で5個も増えてる……???

記述を少し変更

その後また調べて、

.htaccess/特定のファイルだけ許可したい

というページを見つけました。このページの回答を参考にさせて頂きまして、記述を少し変更しました。

またサーバーのアクセスログを調べて、「admin.php」ファイルへのアクセスも弾くことにしました。

Jetpackとの連携がおかしくなるのでその対策

上記の記述の変更を行ってからスパム対策としてはなかなか調子がよかったのですが、しばらくしてJetpackの「パブリサイズ」が使えないことに気付きました。

調べてみた所、下記のページを発見しました。

WordPressでJetpackプラグイン連携エラーがでる場合

「xmlrpc.php」ファイルをブロックしているとJetpackとの連携がエラーになってしまうとのこと。

という訳で、「xmlrpc.phpファイルへのJetpackからのアクセスは許可する」という記述を「.htaccess」に追加しました。

上記ページではIPアドレスで許可を出しているのですが、

allow from jetpack.wordpress.com

という記述でも大丈夫でした(この記述はどこのページを参考にしたのだか失念……。「Jetpack Debug」でエラーを調べて、そこに出てきた文章を検索してどこかのページに辿り着いたような気が……)。

最終的な「.htaccess」の記述

以下に改めて最終的な記述を載せておきます。

WordPressのフォルダがある階層に「.htaccess」ファイルがあるので、その最後に上記の記述を追記しました。

注意
「.htaccess」ファイルは下手にいじるとまずいファイルなので、取り扱いにはくれぐれもご注意ください(いじる際には必ず元に戻せるようにコピーを取っておいてください)。

効果

「ブロックされた悪意あるログイン試行」の数
1月14日 5838
3月26日 5877

増えとるやん……!

と思う方もいらっしゃるかもしれませんが、それまで1日100個とか200個とか増えていたので、それに比べればだいぶマシになったかと……。
約70日で39個増……1日1~2個のペースで増えている感じでしょうか。

その間も「WP-SpamShield Anti-Spam」(※)が更新されて、そうするとスパムがピタッと止んだりもするのですが、またすぐにパラパラッと増えて……の繰り返しです。
スパムを完全に防ぐのはやはり難しいのでしょうか……。

上記の記述がどなたかのお役に立てば幸いです。また、他にもっといい方法がある場合には教えて頂けると嬉しいです。


(※)その後訳あって「WP-SpamShield Anti-Spam」から「Limit Login Attempts Reloaded」というプラグインに乗り換えました。詳しくは下記の記事をご覧ください。

おすすめのWordPressプラグイン―不正ログイン対策「Limit Login Attempts Reloaded」―

追記:ブログをSSL化した所……

2017年9月のはじめ頃にブログをSSL化しました。それから2週間ほど経つのですが、その間「ブロックされた悪意あるログイン試行」が全く増えていません。SSL化はスパム対策になるのでしょうか……?

スポンサーリンク

AmazonでTシャツや電子書籍(短編小説集)を販売しています

Amazon詳細ページへ Amazon詳細ページへ

Tshirt TrinityでTシャツやバッグを販売しています

TSHIRTS TRINITY

マスコットキャラ

たまに毒吐くちゃん

当ブログのマスコットキャラ「たまに毒吐くちゃん」。所々に出没します。
TSHIRTS TRINITYClubTSUZURIでTシャツ・グッズ販売中です!

同じカテゴリーの記事

WordPressテーマ「マテリアル」のカスタマイズ方法【更新日を表示、スマホのメニューを最初から開いておく等】

WordPressテーマ「マテリアル」のカスタマイズ方法【更新日を表示、スマホのメニューを最初から開いておく等】

無料ワードプレステーマ「マテリアル」のカスタマイズ方法を載せています(更新日を表示、スマホのグローバルメニューを最初から開いておく、カテゴリーとタグを記事下に表示、サイト説明文にリンクを貼る、カテゴリーごとの記事の表示をフッターに移動する)。
Read More
【WordPress】「悪意あるログイン試行」への対策【.htaccess】

【WordPress】「悪意あるログイン試行」への対策【.htaccess】

WordPressの「悪意あるログイン試行」への数が急増したので、.htaccessを使い、ログインページなど特定のファイルへの海外からのアクセスを制限することにしました。その方法や問題点を書いています。
Read More
WordPressブログをAMPに対応させ広告、関連記事、SNSシェアボタンを表示する方法(アナリティクスにも対応)

WordPressブログをAMPに対応させ広告、関連記事、SNSシェアボタンを表示する方法(アナリティクスにも対応)

WordPressブログをプラグインでAMPに対応させ(有効化するだけなので簡単)、そのページに広告(アドセンスの表示・非表示の切り替えが可)、SNSシェアボタン、関連記事などを表示する方法と、AMP用のアナリティクスのコードの貼り方、AMPでエラーが出た時の対処法について書いています。
Read More
【WordPress】Jetpack「関連投稿」の表示場所、記事数を変更する方法

【WordPress】Jetpack「関連投稿」の表示場所、記事数を変更する方法

ワードプレスのプラグイン「Jetpack」の機能「関連投稿」を任意の場所に表示+表示する記事数を変更するカスタマイズを載せています。
Read More
WordPressの無料テーマ おすすめ8個【日本語、レスポンシブ、SEOに強い】

WordPressの無料テーマ おすすめ8個【日本語、レスポンシブ、SEOに強い】

ワードプレスの無料テーマ(テンプレート)で、おすすめの「個性的なテーマ」「初心者向けのテーマ」「高速・多機能なテーマ」「カスタマイズに向いているテーマ」を2つずつ紹介しています。いずれも日本語、レスポンシブデザイン対応、SEOに強いといわれているテーマです。テーマを選ぶ決め手や注意点も書いています。
Read More
2017年使用中のJetpackの機能【WordPressプラグイン】

2017年使用中のJetpackの機能【WordPressプラグイン】

WordPressの公式プラグイン詰め合わせ「Jetpack」の内で使用中の機能(Markdown、関連投稿、サイト統計情報、コンタクトフォーム、購読、プロテクト、パブリサイズ、サイトマップ、拡張配信、シングルサインオン)を紹介しています。
Read More
【WordPress】SNS Count Cacheが有効化できない+Twitterのシェア数がカウントされない時にしたこと

【WordPress】SNS Count Cacheが有効化できない+Twitterのシェア数がカウントされない時にしたこと

WordPressのプラグイン「SNS Count Cache」が有効化できなかったのですが、PHPのバージョンを変更した所、無事有効化することができました。Twtterのシェア数の表示もできるようになりました。
Read More
【WordPress】Jetpack Markdownを使う時の注意点2つ

【WordPress】Jetpack Markdownを使う時の注意点2つ

Jetpack Markdown(ジェットパック マークダウン)を使おうとした所、困ったことが2つ起きました(見出しが出ない+段落が効かない)。その解決方法を書いています。
Read More
【2017年】おすすめのWordPressプラグイン【無料、定番多め25個】

【2017年】おすすめのWordPressプラグイン【無料、定番多め25個】

実際に使ってみて、記事が書きやすくなったり、管理がしやすくなったWordPress(ワードプレス)のプラグインを紹介しています。定番のものが多めです(スパム対策やバックアップ、リンク切れチェック、公式プラグイン「Jetpack」など)。
Read More