WPへの不正アクセスを防止／404エラーのIPアドレスをアクセス制限する手順【初学者向け】

（はじめに）プログラミング知識があまりない方、サーバの知識があまりない方が対象です

不正アクセスの状況は、WAFだけではなく404エラーからも確認することができます。

日々のアクセス数が多いサイトは、不正アクセスもとても多いので日頃からチェックすることをおすすめします。
知らない間にハッキング・改ざんされないように注意していきましょう。

【前提条件】

●WordPressのプラグインを使用しますので、WordPressでホームページを公開していること

【手順】

１：WPプラグイン「Redirection」のインストール
２：WPプラグイン「Htaccess Editor」のインストール
３：Redirectionの404エラーログを参照し、アクセス元IPを取得
４：Htaccess Editorを使用して、.htaccessを編集

１：Redirectionのインストールとセットアップ

Redirectionは、すべての 301 リダイレクトを管理し、404 エラーをモニターする機能を持ったプラグインです。

【インストール】

１：プラグイン画面［新規追加］をクリック
２：キーワードにプラグイン名「Redirection」を入力
　候補が表示される
３：［今すぐインストール］をクリック
　数秒待つと［有効化］に変わるのでクリック

【初期画面】

左側メニュー［ツール］の中に、インストールしたプラグインが表示されます。
ようこそが表示されたら、内容をさらっと読んで［セットアップ開始］をクリックします。

【セットアップ】

3つのチェックボックスにチェックを入れ、［セットアップを続行］をクリックします。

【最後の画面】

REST API［良好］の状態になれば、［セットアップ完了］をクリックして終了です。

２：WPプラグイン「Htaccess Editor」のインストール

詳細はこちらのページより

３：Redirectionの404エラーログを参照し、アクセス元IPを取得

Redirection管理画面：上部メニュー「404エラー」（ブルーの丸印）をクリックすると、ログが表示されます。

※ログが無い場合は「Nothing to display.」と表示

【表示項目の設定】
（上記画像：ピンクの丸印）標準画面をクリック。プルダウンを表示させ必要な項目にチェックを入れます。

【ログの参照】

画像の7件は全て海外からのアクセスで、URLも存在しないページのアドレスです。
7番目のユーザエージェントは「Bot」と表示されますが、よいBotばかりではありません。Botの見きわめが分らない場合は、拒否リストから除外しましょう。

【不明なURLへのアクセス元が日本だった場合】

日本を対象としたWEBサイトは、不明なURLへのアクセスであっても拒否リストから除外します。対象のIPアドレスが固定IPでない場合に、同じIPからアクセスしている人が他にいるからです。

IPアドレスから住所を検索して、どこの国からのアクセスなのかチェックしましょう。

IPアドレスから住所検索：国、地域の特定 | ラッコツールズ🔧

４：Htaccess Editorを使用して、.htaccessを編集

特定のIPからのアクセス拒否するため、プラグインを使用して.htaccessに追記します。

# アクセス制限
order allow,deny
allow from all
deny from 51.91.121.242
deny from 2.56.56.192

＊注意：保存前チェック＊
［Test Before Saving］をクリックしてエラーチェックをしましょう。

テストで問題なければ［Save Changes］をクリックして保存します。

まとめ

404エラーがあまりにも多い場合はサーバに余計な負荷がかかっていますので、定期的にチェックしてアクセス制限を更新していくようにしましょう。
日々の業務のお役に立つことができれば幸いです。