WordPressサイトが404bot攻撃に遭遇し、サイトのパフォーマンスに悪影響を与えている場合、適切な対策を講じることが重要です。しかし、何から始めれば良いのでしょうか？この記事では、404bot攻撃からあなたのサイトを守るための具体的な対処法を紹介します。

404bot攻撃（404エラーを利用した攻撃）を受けたワードプレスサイトに対する対策方法

1. サーバーレベルでの対策

• .htaccessファイルの編集：
  • アクセス拒否リストに404botを含めることで、特定のbotからのアクセスをブロックできます。

    RewriteEngine On
    RewriteCond %{HTTP_USER_AGENT} ^404bot [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} ^404monitor [NC]
    RewriteRule .* - [F,L]

2. Redirectionプラグインの活用

• 404ログの監視：
  • Redirectionプラグインを使って404エラーを監視し、頻発するIPやユーザーエージェントを特定します。
  • その後、特定のユーザーエージェントやIPに対してアクセス制限を設定します。
• カスタムリダイレクトの設定：
  • 攻撃者がよく訪れる404ページに対して、無害なページやログインページへのリダイレクトを設定します。

3. セキュリティプラグインの使用

• WordfenceやSucuriなどのプラグイン：
  • これらのプラグインは不正なトラフィックを監視し、ブロックすることができます。特にWordfenceはブラックリストに載っているbotや知られている攻撃パターンに基づいてアクセスを制限します。

4. サイトのセキュリティ強化

• 最新バージョンの使用：
  • WordPressの最新バージョン、テーマやプラグインを常に更新しておきます。セキュリティパッチが適用されていることが重要です。
• 強力なパスワード：
  • 管理者パスワードを強固なものにし、定期的に変更します。
• ログイン試行制限：
  • ブルートフォース攻撃を防ぐために、特定のIPからのログイン試行回数を制限するプラグインを利用します（例：Login LockDown）。

5. ウェブサーバーの設定

• レート制限（Rate Limiting）：
  • サーバーレベルで、特定のIPから短時間に大量のアクセスがある場合にブロックする設定をします。
• Googlebotのクロール制御：
  • Googlebot自体は攻撃者ではないですが、攻撃者がGooglebotを装うことがあります。Googleのガイドラインに従って、クロール頻度を制御する設定をサーバー側で行うことも考慮します。

6. ホスティングプロバイダーへの相談

• ウェブホスティングサービスに連絡して、DDoS攻撃や特定のIPからの攻撃を防ぐための対策を依頼することができます。多くのホスティング会社はこの種の攻撃から保護するためのツールやサービスを提供しています。

7. 定期的なモニタリングと分析

• アクセスログを定期的にチェックし、異常なパターンを早期に発見して対応することが重要です。

これらの方法を組み合わせて、404bot攻撃からワードプレスサイトを守ることができます。常に最新の情報を確認し、必要に応じて対策をアップデートすることも忘れないでください。

WordPressプラグイン「Redirection」を使った404エラーの解消方法

1. 404エラーを検知する

– Redirectionプラグインをインストール・有効化：まずはWordPressのプラグインからRedirectionをインストールし、有効化します。

2. リダイレクトルールの設定

– ダッシュボードから設定：
– 管理画面の「ツール」メニューから「Redirection」を選択します。
– 「＋新規リダイレクト」ボタンをクリックします。
– ソースURL：ここに404エラーを起こしているURLを入力します。ワイルドカードを使って、例えば/*を入力すれば全ての404エラーを対象にできます。
– ターゲットURL：エラーが発生した場合にユーザーをリダイレクトさせたいURLを設定します。例えば、トップページやカスタムの404ページにすることができます。
– リダイレクトタイプ：301（永続）、302（一時的）、307（一時的かつメソッドを保持）などから選択します。

3. 404エラーログの確認と管理

– ログのチェック：
– Redirectionは自動的に404エラーをログに記録します。「404s」タブでこれらのログを確認できます。
– ここで頻発しているエラーを見つけ、それぞれにリダイレクトルールを設定することができます。

4. カスタム404ページの設定

もし特定の404エラーに対するカスタムページを設定したい場合、WordPressのテーマで独自の404.phpファイルを作成するか、またはRedirectionプラグインの設定内でカスタムURLを設定します。

5. パフォーマンスの考慮

– ログのサイズ管理：
– 404のログが非常に大きくなるとデータベースのパフォーマンスに影響を与える可能性があるので、定期的にログをクリアするか、古いログを削除する設定が必要です。

6. パーマリンクの再設定

404エラーがパーマリンク設定の変更によるものなら、パーマリンク設定を更新する必要があります。設定 > パーマリンク設定から「変更を保存」をクリックするだけで、URLのリライトルールが更新されます。

補足

– セキュリティとパフォーマンス：リダイレクト設定はサイトのパフォーマンスに影響を与えることがあるため、バランスを取ることが重要です。特に大量のリダイレクトを設定する場合は注意が必要です。

Wordfence Securityで404botを撃退！

Wordfence Securityは、WordPressサイトのセキュリティを強化するための強力なプラグインであり、404botのような不正アクセスの試みを検知し、ブロックするための機能を提供しています。以下に、Wordfenceを使って404botを撃退する方法を説明します。

1. Wordfence Securityのインストールと設定

• インストール：WordPressのプラグイン管理画面から「Wordfence Security」と検索し、インストールして有効化します。
• 初期設定：Wordfenceを有効化すると、メールアドレスを登録するように求められます。セキュリティアラートや更新情報を受け取るための重要なステップです。

2. ファイアウォール設定

• ファイアウォールを有効化：
  • Wordfenceダッシュボードの「Firewall」セクションで、ファイアウォールを「Learning Mode」から「Enabled and Protecting」に切り替えます。
• カスタムルールの追加：
  • 特定のユーザーエージェントをブロックするためのカスタムルールを追加します。例えば、404botを直接ブロックするためのルールを追加します。
    • メニューから「Firewall Options」を選択し、「Firewall Rules」セクションまでスクロールします。
    • 「Create a custom rule」ボタンをクリックして、「User agent is」から始まる条件を設定し、「404bot」を入力して、そうしたユーザーエージェントから来るアクセスをブロックするルールを作成します。

3. ブロックされたIPの管理

• Wordfenceのライブトラフィック：
  • 「Live Traffic」セクションで、404botからのアクセスを監視できます。怪しいアクティビティを見つけたら、そのIPをブロックリストに追加することができます。
  • ページ上部の「IP Blocked」タブで、既にブロックされているIPの一覧を確認し、必要に応じて404botのIPを手動で追加します。

4. ログインセキュリティ

• ログイン試行の制限：
  • Wordfenceはブルートフォース攻撃から保護するためのログインセキュリティ機能も提供しています。これを有効にすることで、404botがログイン試行を繰り返すのを防ぎます。
  • 「Login Security」セクションで、試行回数の制限や2要素認証（2FA）の設定を行います。

5. 404ログモニタリング

• 404エラーの追跡：
  • Wordfenceは404エラーをログに記録し、異常なパターンを検出することができます。これにより、404botがサイトのどの部分を探っているかを把握し、そのエリアに対する防御を強化できます。

6. レート制限（Rate Limiting）

• アクセス頻度の制御：
  • Wordfenceの「Rate Limiting」オプションを使用して、特定のIPからのリクエストの頻度を制限します。短時間に大量のアクセスがあると自動的にブロックされるよう設定します。

7. 定期的なスキャンと更新

• マルウェアスキャン：
  • Wordfenceのマルウェアスキャンを定期的に行い、サイトが既に侵害されていないかを確認します。

これらの対策を講じることで、Wordfence Securityは404botの攻撃を効果的に防ぎます。Wordfenceは定期的に更新されるため、新しい脅威に対しても柔軟に対応できるようになっています。常に最新バージョンにアップデートしておくことが重要です。

コウ

WordPressの高速化、SEOの内部対策のやり方、最適なサーバー環境構築など、Webサイト運営に役立つ情報を発信しています。