こんにちは、Naokiです。
ブログ運営をしている方なら、海外からのアクセスがあるかもしれません。海外在住の日本人がアクセスしている可能性もあります。しかし不正アクセス目的のアクセスも否定できません。
下の画像を見てください。
3月だけ異常にページビューが伸びていることが分かります。これは不正アクセスだとわかりやすいですが、実は1月、2月にも不正アクセスがあったんです。
この記事では、『アクセス解析の仕方』と『海外からのアクセス』、そして『コメントの無効』の方法を紹介します。
こんな方が対象です。
- アクセス解析の仕方を知りたい
- サイトの安全性を高めたい
- プログラミングとか出来ないけど大丈夫?!
画像付きで解説するので安心してください。また、コードなどは打たないので簡単です。
【危険!】Xserverのアクセス解析でわかる不正アクセスの履歴
アクセス解析をするには、Xserverのサーバーパネルを使います。サーバーパネルにログインしましょう。
【不正アクセスの確認】Xserverのアクセス解析の仕方
サーバーパネルにログイン後、下記の画面になっていればログインは成功です。
現在使っているドメインを選択。
その後、「管理画面」をクリックしましょう。
アクセス解析からページ別アクセスへ
全体の統計の項目の下にある、「ページ別」をクリック。いくつかの項目を注意して確認してください。
注意ポイント
アクセスが多いと大変なページ
- /xmrpc.php
- /wp-login.php
- /wp-admin
主に上記3つへのビュー数が多ければ、狙われている証拠。これから具体的な施策を紹介していきますので、安心してください。
【安全性アップ】Xserverでセキュリティを強化する施策3つ
Xserverからセキュリティを強化する設定は全部で3つ。
- WAF設定をして、不正プログラムに対応
- Xserverセキュリティ設定で管理画面へのアクセスを禁止
- phpファイルへのアクセス禁止で、プログラムの実行を防ぐ
海外からのアクセスはほとんど、不正なアクセスが目的の可能性があります。そのため、アクセス自体をブロックするのも有効な手段です。また、仮に国内からのアクセスであっても、不正な操作ができないような設定に変える必要がありますよ。
WAF設定をして、不正プログラムに対応
サーバーパネル内のセキュリティから「WAF設定」を選択。
ドメインを選択すると、設定項目に飛ばされます。そしたら全ての設定を有効にします。
その後、「確認画面へ進む」→「設定する」を順番にクリックしましょう。
設定が終わると、反映待ちと表記されます。
Xserverセキュリティ設定の操作手順
次はWordpressの項目から「Wordpressセキュリティ設定」を選択します。ここからは、コメントや編集、国外からのアクセス、ログインなどの対策をしていきますよ。
下記の画像のとおりに、設定を変更すれば完了です。
現時点で、日本国以外に住んでいる方は「ダッシュボードアクセス 制限」をOFFに変更してください。Xserverは日本のレンタルサーバーなので、海外からのアクセスを禁止した場合、あなたもアクセスできなくなりますよ。
phpファイルへのアクセス禁止
ホームページの「htaccess編集」を選択。ドメイン選択から現在使っている、ドメインを選択します。
追加するコードは下記の記事を参考にしてください。
このコードを「htaccess」に貼り付けると、アクセスが制限され、サイトの安全性が高まります。念の為、貼り付けたコードはメモ帳などに書き込むかコピペしておきましょう。
これで、Xserverの設定は一旦終わりになります。
【ログインURLの変更】プラグインを追加して、URLを変更
Xserverからアクセス禁止の設定
ログインURLへのアクセスを制限する設定を行います。ログインURLも狙われる可能性が高いので、対策しましょう。設定方法は、ホームページから「アクセス制限」をクリック。
ドメインを選択します。
その後、下記の画像のようになっているはずです。
wp-adminの項目のみ、アクセス制限をONに変えましょう。それ以外の設定をいじると、サイトの表示に影響を及ぼす可能性があります。設定を変えたら、「設定する」をクリックします。その後「戻る」を押すと、再度アクセス制限の設定項目に戻るはずです。
この後、wp-adminの横にある「ユーザー設定」を触っていきます。ユーザー設定からユーザーを設定しておかないと、ログインURLにすらアクセスできないからです。
忘れるとXserverからの設定を変えない限り、ログインURLにすらアクセスできなくなります。
確認画面へ進むをクリックし、「追加する」を押しましょう。
最後にユーザー設定から、ユーザーが追加されているか確認します。確認されていれば、設定は完了になります。
プラグインの追加『WPS Hide Login』
ログインURLはデフォルトだと「https://ドメイン名.com/wp-admin/」からアクセスできてしまいます。このままでは、不正ログインなどの危険性も高いまま。今回はログインURLを変更していきます。
プラグインを追加して対策しますので、まずはWordpressの管理画面にアクセスしてください。標準の設定では、「ドメイン名/wp-admin」で管理画面にアクセスできるはずです。
管理画面にアクセスしたら、サイドバーから「プラグイン」の中にある「新規追加」を選びましょう。
その後、キーワードに「WPS Hide Login」を入力(「」は入れないでください)。
検索結果に出てきた、プラグインを「今すぐインストール」します。その後、有効化を押しましょう。プラグインの管理画面へ飛ばされるはずです。
管理画面からWPS Hide Loginを探し、「自動更新を有効化」→「設定」をクリック。
ページが切り替わり、WPS Hide Loginの設定へ移ります。
ログイン・リダイレクトURLを変更
上記のように、ログインURLとリダイレクトURLの記入欄が表示されるはず。そしたら、ログインURLを変更しましょう。
その後、リダイレクトURLにリダイレクト先のURLを記入します。
ただし、404以外にしたい場合は固定ページを作る必要があります。
»『固定ページの作り方』
僕の場合は、「https://kokoseinaoki.com/dishonest-access/」にリダイレクトするようになっています。リダイレクト用のURLで参考にしてみてください。
以上で、基本的なセキュリティ対策は終わりになります。
最後に、コメントを無効にする方法を紹介します。必須ではないですが、コメントからスパム内容が送信されることもあるんです。
【コメント無効】Wordpressの管理画面だけでは、狙われます!
ブログ運営していく上で、最も身近な不正行為がコメント機能です。コメントを完全に向こうにするために、『Disable Comments』を導入します。
導入方法»『WordPressのコメント機能を完全に無効化・一括削除できるプラグイン「Disable Comments」』
終わりに:サイトの安全性を高めて、ブログ運営を楽しもう
今回は、Webサイトのセキュリティを高める方法を『コメントの無効』、『海外からのアクセス禁止』『ログインURLを変更』の3つを主に解説しました。
記事を読み、実践することで不正アクセス数は減るかと思います。念の為言っておきますが、Webサイトの安全性は常に高めていく必要があります。そのためにも、WordpressやPHP、有料 or 無料テーマ、プラグインは常に更新していきましょう。
