指定したIPアドレスやユーザーエージェントからのアクセスをブロックするWordPressプラグイン「WP-Ban」

指定したIPアドレスやユーザーエージェントからのアクセスをブロックするWordPressプラグイン「WP-Ban」

指定したIPアドレスやユーザーエージェントからのアクセスをブロックするWordPressプラグイン「WP-Ban」

WordPress サイトへのブルートフォースアタックは、日に日に勢いを増している気がします。当ブログもかなりの攻撃を受けております。

Limit Login Attempts を導入しているので、ある程度はサーバーへの負荷軽減もできていると思うのですが、そもそも不正ログインを試みようとするユーザーはブロックして対応した方がいいような気もします。

そこで今回は、特定の接続元からのアクセスをブロックしたい時に便利なプラグイン「WP-Ban」をご紹介いたします。

WP-Banとは

WP-Ban は、指定した IP アドレスやユーザーエージェントからのアクセスを BAN (ブロック) することができる WordPress プラグインです。

BAN は、”垢BAN” (アカウントの停止・ブロック)とか “永久BAN” (永久にアカウントを停止・ブロック)といった使い方をされますね。怪しい接続元からのアクセスは BAN しちゃおう、というプラグインです。

WP-Banのインストール

インストール手順は以下の通りです。

  1. WP-Banをダウンロードします。
  2. ダウンロードしたファイルを展開し wp-content/plugins にアップロードします。
  3. 管理画面の[プラグイン]ページで、WP-Banプラグインを有効化します。

WP-Banの設定

WP-Ban の設定は、管理画面の [設定] – [Ban] から行います。一番上に表示されているのは、あなたのアクセス情報です。

あなたの情報

各設定項目の詳細については、以下の通りです。

Banned IPs

アクセスを拒否するIPアドレスを指定します。ワイルドカード(*)も使えます。

例)
192.168.1.100
192.168.1.*
192.168.*.*

Banned IP Range

アクセスを拒否するIPアドレスの範囲を指定します。

例)
192.168.1.1-192.168.1.255

Banned Host Names

アクセスを拒否するホスト名を指定します。ワイルドカード(*)も使えます。

例)
*.sg
*.cn
*.th

Banned Referers

アクセスを拒否する参照元を指定します。ワイルドカード(*)も使えます。特定の参照元からのアクセスをブロックするための設定です。

例)
http://*.blogspot.com

Banned User Agents

アクセスを拒否するユーザーエージェントを指定します。ワイルドカード(*)も使えます。

例)
EmailSiphon*
LMQueueBot*
ContactBot*

Banned Exclude IPs

アクセスを許可したいIPアドレスを入力します。Banned IP Rangeなどで指定した範囲に該当するIPに例外設定をすることができます。

例)
192.168.1.100

Banned Message

WP-Ban によってアクセスが拒否されたユーザーに表示されるメッセージを設定します。<title>○○</title>の○○がページのタイトルで、<p style=”text-align: center; font-weight: bold;”>○○</p>の○○の部分が表示されるメッセージです。

初期設定では「You Are Banned.」と結構挑発的な内容になっています。アクセスをブロックするのはよっぽどのことだと思うので、ブロックする相手に気を使うことはないと思いますが、ブロックしていることが悟られないような内容に変更するのもアリだと思います。

「Show Current Banned Message」をクリックするとプレビューが表示されます。

WP-Banの日本語化

WP-Ban は日本語化パッチが公開されていますので、簡単に日本語化して使うことができます。手順は以下の通りです。

  1. こちらにアクセスすると日本語化パッチがダウンロードされます。
  2. ダウンロードしたファイルを解凍します。
  3. /wp-content/plugins/wp-ban に .po と .mo ファイルをアップロードします。

日本語化されると、管理画面の設定オプションも [設定] – [アクセス禁止] に変わります。

日本語化

うまく日本語化されない場合は、一旦プラグインを停止して、再度有効化してみてください。

あとがき

当ブログも相当な攻撃を受けていますので、Limit Login Attempts や Crazy Bone で不正ログインを試みるアクセスを調べて、いくつかの接続元をブロックしています。

スパムやウイルスと一緒で、イタチごっこにはなると思いますが、何も対策しないよりはだいぶいいと思います。

不正なアクセスで悩んでいる方は、ぜひ導入してみてください。

この記事が気に入ったら
いいね!してね♪

Twitter で

6 thoughts on “指定したIPアドレスやユーザーエージェントからのアクセスをブロックするWordPressプラグイン「WP-Ban」

  1. Pingback: プラグインで、ブルートフォースアタックの状況を確認して対策する(覚書として) | ゼロからはじめるインターネットビジネス

  2. Pingback: Wordpressを不正なアクセスから守るためにやっておきたいこと | 電脳的道具屋オフィシャルブログ

  3. 西川

    初めまして。

    私のブログは同一IPからのコメントスパムが1日10件以上来るので参考にさせて頂きました。

    防ぐ対策しかできないのが歯がゆいですね。

    1. himecas Post author

      西川さん、コメントありがとうございます。

      >防ぐ対策しかできないのが歯がゆいですね。

      そうですよね^^; しかも完全に防ぐことも難しいので余計ですね。

      海外からのスパムだったら、Throws SPAM Awayがかなり強力なので併せて使うといいですよ^^ 当ブログも1日500~1000件くらいスパムコメントやトラックバックスパムがついていましたが、WP-BanやThrows SPAM Awayを導入したおかげで今は1日1~2件くらいに減りました。

  4. 高木秀朗

    とても参考になりました。

    僕はここ1ヶ月ほど、
    semalt.comという外国サイトからのアクセスが
    急に増えたので、

    そのサイトからのアクセスをブロックしたいと
    思っていたところでした。

    正確にアクセス数が計測できなっていたので
    非常に困っていたので本当に助かりました!

    また別のスパムがくるかもしれないですが、
    そのときも随時排除していこうと思います。

    ありがとうございます^^

  5. ぺぺろみあ

    なぜか、WP-Banの日本語化プラグインを導入しても日本語化になりません。他のプラグインが影響しているのでしょうか。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です