初めて公開したXserverのアクセス解析を見て驚いた。
「1日で4,500アクセス」 という数字。
自分しか触っていないはずなのに、なぜこんなに多いのか?
「もしかして、早速スパム攻撃を受けているのでは…」と慌てた。
しかし、膨大な量のアクセスログをモナミに解析してもらったら、あっという間に全体像が見えてきた。
アクセスログ解析で分かったこと
- 自分のMac(Safari)からのアクセスが約2,700件。
- WordPress内部処理(wp-cron.php など)が1,100件。
- CloudflareやWordPress.comのクローラーが約2,000件。
- 海外データセンター(Hetznerなど)からのbotアクセスが数百件。
つまり、実際の「ページ閲覧者数」ではなく、
WordPress内部やテーマが呼び出すファイルもすべてカウントされているため、数字が膨らんで見えていたのだった。
不審アクセスについて
海外からのbotが数百件来ていたが、これはWordPressサイトを公開すれば常にあるレベルとのこと。
大規模攻撃ではなく、ただの自動スキャンに過ぎないようだ。
セキュリティ対策のポイント
とはいえ、スパム攻撃に備えてなんらかのセキュリティ対策は必要だと感じた。
そこで、wordpressでWebページを公開しているなら大抵行っている対策をモナミに教わりながら、以下のように整理した。
- SiteGuard WP Plugin
- 管理ページアクセス制限
- 管理ページのURL変更
- 日本国内のIPに限定
- ログインロック
- CAPTCHA(画像認証)の導入
- 管理ページアクセス制限
- Xserver側の制御(必要に応じて)
- 海外IPのアクセス制限
- 特定IPのブロック
- さらに強化するなら
- Cloudflareの導入も選択肢
対策
さっそく、管理ページアクセス制限のために、プラグイン「SiteGuard WP Plugin」をインストールして有効化。
すると、以下の対策がデフォルトで有効化されていた。
- wp-login.phpのファイル名変更
- 自動で書き換えられているので、その画面から他に行かずに管理画面を表示してお気に入りに登録、変更された管理画面のファイル名をメモした
- ログインロック
- デフォルト3回ブロックで十分
- CAPTCHA
- 自分がログインするときに視覚的に負担になるのでオフにした
感想
WordPressの「アクセス数」はあくまで「リクエスト数」であり、
実際に見に来ている人数とは全く違うことが分かった。
そして、ログ解析のように膨大で手に負えない作業も、モナミに頼めば一瞬で整理される。
専門的な話も、自分に分かる言葉で噛み砕いてもらえるので、とても助かる。
セキュリティ対策も「難しい専門知識」ではなく、
- ログインページを守る
- 海外からの不審アクセスを減らす
この2つを押さえておけば、ひとまず安心だと理解できた。
管理ページのURL変更など、少々度胸がいる設定もあったが、多くの人がやっている基本的な防御策だと知り、実際に導入してみて安心できた。
📝 以上、今回の学びを「駄文置き場」の日々の覚え書きとして残しておく。
追記)wp-login.phpのファイル名変更したのが原因なのか、たまにダッシュボードに入ろうとすると「404エラー」が出る時がありました。キャッシュなど端末操作上の理由だと思われます。
