PC

WPブログのスパムやログイン攻撃対策で時間を無駄にしない方法

IMG_1744

ブログといえばスパムコメントはつきもの。

無料ブログなら簡単に設定をするだけで済む訳だが、うちのようにワードプレスを自分で設置して使っていたりするとそうもいかない。
しかも脅威になるのはそれだけではなく、不正ログインをしようとしてくるのも後を絶たない。

当然、対策は自分で行わないといけない。
コメントなら認証しなければいいのだが、ブログの露出が増えてくるとそういったものも当然増えてくる。
そこでいちいち手動で対応していてはきりがない。

そんな時には便利なプラグインを利用させてもらうにかぎる。
ありがたいことに、ワードプレスにはとても便利なものがたくさんあるので、そういったものもすぐに見つけることができる。

そんな時に便利なプラグインがAkismetだ。

 

Akismetとは

Akismetとはワードプレスを運営している会社が提供しているプラグインで、ワードプレスをインストールするとデフォルトで入っているはず。

このプラグインを使うことで、スパムコメントやトラックバックなどを自動で判別して分類や削除をしてくれる。

このAkismetを使うことで無駄な作業をしないで済むのでとてもありがたい。

 

Akismetの登録の仕方

プラグインを有効にすると、「Akismetアカウントを有効化」というボタンが表示されるのでクリックする。
aksmit01

すると「APIキーを取得」というボタンが表示されているのでそこを再びクリック。
aksmit02

表示されたページの「Get an Akismet API Key」をクリックする。
aksmit03

ユーザー登録画面に移動するので、「メールアドレス」「ユーザーID」「パスワード」を入力して「Sing up」をクリック
aksmit04
※ユーザーIDは4文字以上の半角英数字、パスワードは6文字以上の半角英数字・記号(大文字小文字区別あり)

登録したメールアドレスを確認すると、このようなメールが届いているはず。
akismet05メール内の「Activate Account」をクリックする。

「Your WordPress.com account has been activated!」と表示されれば登録は完了。

APIキーを取得する

プラグインを有効化するためにはAPIキーが必要になる。

まずは登録完了後の画面の「Sign in to Akismet」をクリックしてログインページに移動する。
akismet06

このようなページに移動するので「SAY GOODBYE COMMENT SPAM」をクリックする。
akismet07

続いて、に無料と有料のログインボタンが表示されているので、「Basic」の「SIGN UP」をクリックする。
akismet08すると支払い方法などの表示画面になるので、右のカーソルを動かして$0にする。
akismet09

すると表示が変わり、名前を入力するフォームが表示される。
akismet10名前を入力したら「CONTINUE」をクリックする。

するとこのようにAPIキーが表示される。
akismet11

Akismetの有効化

再びワードプレスのプラグインの管理画面に移動し、「Akismetアカウントを有効化」をクリックする。

手動でAPIキーを入力の項目に、先ほど取得したAPIキーを入力して「このキーを使用」をクリックする。
akismet12「Akismetアカウントの設定が完了しました。」と表示されれば設定は完了。

コメントベージにはこのように自動でスパムを判定して振り分けてくれる。
akismet13

ダッシュボードに表示させればブロックしたアクセスやコメント数が表示されるのでどれくらい効果があるのか知りたい人は設置するといいかもしれない。
akismet14

SiteGuard WP Pluginで不正ログインを防止する

IMG_1749ワードプレスで有名なものといえばブルートフォースアタック。
仕組みはとても簡単で、IDとパスワードのランダムな組み合わせをひたすら試すという、とても原始的な数うちゃ当たる方式。

原始的だからこそ、有効的な方法ともいえなくはない。

何も対策をしていなければ、いづれは不正ログインを許してしまう危険性は十分ありうる。

ここでおすすめなのがSiteGuard WP Pluginだ。

プラグインを有効化するとこのようにダッシュボードで設定状況を確認することができる。
sitegard01ちなみに緑のチェックがある項目は「ON(有効)」になっているという意味。

その下にはログイン履歴が表示されていて、知らないログイン名があったら攻撃をされていたということになる。

おすすめ設定

基本的には以下のように設定をすれば問題はないハズ。

・管理ページアクセス制限 ON
 現在ログインしているユーザー以外は管理画面にアクセスできなくなる。
・画像認証 ON
 ログイン画面に画像認証を追加することができる。
・ログインページ変更 ON
 ワードプレスのログインページは「http://ドメイン/wp-login.php」がデフォルトなので、攻撃をする側にもわかりやすい。
 ここでは「wp-login.php」を好きな名前に変更することができる。
 ※忘れるとログインできなくなるのですぐにブックマーク等を変更しよう。
 もしURLを忘れた場合は、以下の方法で調べることができる。

WordPressのインストールディレクトリにある .htaccessファイルを開くと、以下のような記述があります。
RewriteRule login_xxxxx(.*)$ wp-login.php$1 [L]
この中の login_xxxxx という部分が新しいログインページのURLです。

SiteGuard WP Plugin  

・ログイン詳細エラーメッセージの無効化 ON
 ログインエラー時のメッセージを常に同じ内容にすることで、原因がIDなのかパスワードなのかわからなくすることができる。
・ログインロック ON
 連続してログインに失敗したユーザーを一定時間ロックして、ログイン試行をできなくする。
・ログインアラート ON
 管理画面へのログインをメール通知してくれるので、不正ログインがあった場合に気付くことができる。
 そもそもメールに気付かなければ意味はないが(´・ω・`)
・フェールワンス OFF
 初回ログインを必ず失敗にする。
・ピンバック無効化 ON
 ピンバック機能を悪用した攻撃を無効化する。
・WAFチューニングサポート OFF

WebサーバにJP-Secure製のWAF ( SiteGuard Lite ) が導入されている場合に、WordPress内での誤検知(正常なアクセスなのに、403エラーが発生する等)を回避するためのルールを作成する機能です。

WAFは、Webサーバに対する外部からの攻撃を防ぎますが、WordPressの機能や、プラグインの機能によっては、WAFが攻撃でないのに攻撃と判断して、その機能をブロックする場合があります。
除外ルールを作成することで、特定の機能での誤検知を防ぎつつ、全体としてのWAFの防御機能を活かすことができます。

以上 

これで余計なことに時間を割かれることがなくなり幸せになれるはず。

スパムのことは嫌いでもSPAMのことは嫌いにならないでください

IMG_1750名前が似てはいるが、みんな大好きSPAMさん。
ゴーヤチャンプルとかに使うととてもおいしいから、これからの暑い夏にはおすすめ!!

-PC
-, , , , , ,