WordPress サイトへのブルートフォースアタックは、日に日に勢いを増している気がします。当ブログもかなりの攻撃を受けております。
Limit Login Attempts を導入しているので、ある程度はサーバーへの負荷軽減もできていると思うのですが、そもそも不正ログインを試みようとするユーザーはブロックして対応した方がいいような気もします。
そこで今回は、特定の接続元からのアクセスをブロックしたい時に便利なプラグイン「WP-Ban」をご紹介いたします。
WP-Banとは
WP-Ban は、指定した IP アドレスやユーザーエージェントからのアクセスを BAN (ブロック) することができる WordPress プラグインです。
BAN は、”垢BAN” (アカウントの停止・ブロック)とか “永久BAN” (永久にアカウントを停止・ブロック)といった使い方をされますね。怪しい接続元からのアクセスは BAN しちゃおう、というプラグインです。
WP-Banのインストール
インストール手順は以下の通りです。
- WP-Banをダウンロードします。
- ダウンロードしたファイルを展開し wp-content/plugins にアップロードします。
- 管理画面の[プラグイン]ページで、WP-Banプラグインを有効化します。
WP-Banの設定
WP-Ban の設定は、管理画面の [設定] – [Ban] から行います。一番上に表示されているのは、あなたのアクセス情報です。
各設定項目の詳細については、以下の通りです。
Banned IPs
アクセスを拒否するIPアドレスを指定します。ワイルドカード(*)も使えます。
例)
192.168.1.100
192.168.1.*
192.168.*.*
Banned IP Range
アクセスを拒否するIPアドレスの範囲を指定します。
例)
192.168.1.1-192.168.1.255
Banned Host Names
アクセスを拒否するホスト名を指定します。ワイルドカード(*)も使えます。
例)
*.sg
*.cn
*.th
Banned Referers
アクセスを拒否する参照元を指定します。ワイルドカード(*)も使えます。特定の参照元からのアクセスをブロックするための設定です。
例)
http://*.blogspot.com
Banned User Agents
アクセスを拒否するユーザーエージェントを指定します。ワイルドカード(*)も使えます。
例)
EmailSiphon*
LMQueueBot*
ContactBot*
Banned Exclude IPs
アクセスを許可したいIPアドレスを入力します。Banned IP Rangeなどで指定した範囲に該当するIPに例外設定をすることができます。
例)
192.168.1.100
Banned Message
WP-Ban によってアクセスが拒否されたユーザーに表示されるメッセージを設定します。<title>○○</title>の○○がページのタイトルで、<p style=”text-align: center; font-weight: bold;”>○○</p>の○○の部分が表示されるメッセージです。
初期設定では「You Are Banned.」と結構挑発的な内容になっています。アクセスをブロックするのはよっぽどのことだと思うので、ブロックする相手に気を使うことはないと思いますが、ブロックしていることが悟られないような内容に変更するのもアリだと思います。
「Show Current Banned Message」をクリックするとプレビューが表示されます。
WP-Banの日本語化
WP-Ban は日本語化パッチが公開されていますので、簡単に日本語化して使うことができます。手順は以下の通りです。
- こちらにアクセスすると日本語化パッチがダウンロードされます。
- ダウンロードしたファイルを解凍します。
- /wp-content/plugins/wp-ban に .po と .mo ファイルをアップロードします。
日本語化されると、管理画面の設定オプションも [設定] – [アクセス禁止] に変わります。
うまく日本語化されない場合は、一旦プラグインを停止して、再度有効化してみてください。
あとがき
当ブログも相当な攻撃を受けていますので、Limit Login Attempts や Crazy Bone で不正ログインを試みるアクセスを調べて、いくつかの接続元をブロックしています。
スパムやウイルスと一緒で、イタチごっこにはなると思いますが、何も対策しないよりはだいぶいいと思います。
不正なアクセスで悩んでいる方は、ぜひ導入してみてください。
Pingback: プラグインで、ブルートフォースアタックの状況を確認して対策する(覚書として) | ゼロからはじめるインターネットビジネス
Pingback: Wordpressを不正なアクセスから守るためにやっておきたいこと | 電脳的道具屋オフィシャルブログ
初めまして。
私のブログは同一IPからのコメントスパムが1日10件以上来るので参考にさせて頂きました。
防ぐ対策しかできないのが歯がゆいですね。
西川さん、コメントありがとうございます。
>防ぐ対策しかできないのが歯がゆいですね。
そうですよね^^; しかも完全に防ぐことも難しいので余計ですね。
海外からのスパムだったら、Throws SPAM Awayがかなり強力なので併せて使うといいですよ^^ 当ブログも1日500~1000件くらいスパムコメントやトラックバックスパムがついていましたが、WP-BanやThrows SPAM Awayを導入したおかげで今は1日1~2件くらいに減りました。
とても参考になりました。
僕はここ1ヶ月ほど、
semalt.comという外国サイトからのアクセスが
急に増えたので、
そのサイトからのアクセスをブロックしたいと
思っていたところでした。
正確にアクセス数が計測できなっていたので
非常に困っていたので本当に助かりました!
また別のスパムがくるかもしれないですが、
そのときも随時排除していこうと思います。
ありがとうございます^^
なぜか、WP-Banの日本語化プラグインを導入しても日本語化になりません。他のプラグインが影響しているのでしょうか。