XMLRPC経由の不正アクセスが多くてプラグインJETPACKを使うのをやめた
ログインされなきゃいいかなと思ってたんだけど、それによって負荷がかかるのも嫌だったので、対策をすることにしました。
XMLRPC経由の不正アクセスが多くてプラグインJETPACKを使うのをやめた
JETPACKは便利だけど使わないようにしたほうが安心かも。
XMLRPCを利用した不正アクセスをされている場合、XMLRPCを無効化するのが手っ取り早いです。
ただJETPACKでXMLRPCが使われているため、使っていると無効化ができないんですね。
私の場合、XMLRPCを利用した不正アクセスが多かったので、JETPACKを使うことをやめました。
セキュリティプラグイン「SiteGuard WP Plugin」は入れておこう
ログイン履歴は「SiteGuard WP Plugin」というプラグインを入れると見られるようになります。
他にもいろんなプラグインで代用はできるけど、「SiteGuard WP Plugin」を入れることによって、
- ログイン履歴が分かる
- ログインページURLの変更
- ログインするとメールで通知が届く
- 連続でログイン失敗するとロックがかかる
- XMLRPC全体の無効化
- ログイン時の画像認証
- 正しいパスを入れてログインしても一回目は必ずエラーになる(フェールワンス)
などなど。
これ1つでまとめてセキュリティを向上させることができるので導入しておくと安心です。
このログイン履歴を見ると、XMLRPCを利用した不正アクセスが1時間に1回くらいあったので、対策をすることにしました。
ログインページと管理ページにIP制限もかけておくと安心
ちなみにログインページ経由での不正アクセスが多かった場合は、自分IP以外ログインページや管理ページにアクセスできないようにするのが効果的です。
私は1つのサイトはXMLRPC経由の不正アクセス、もう1つのサイトはログインページ経由の不正アクセスばかりだったので、こればかりはサイトによると思います。
私は2サイトともXMLRPC無効化とIP制限を併用しています。
ここから自分のIPが確認できます。
IP制限の書き込みに失敗した場合は最悪レンタルサーバーのファイルマネージャーから記述を削除すれば対処できます。
それかバックアップとっておいて記述する前の状態に直すかですね。
そして、IP制限がうまくできているかの確認はポケットWiFiを使うと便利でした。
JETPACKの代用
私がJETPACKで使っていた機能は
この2つだけ。
逆に2つだから断捨離できましたが、たくさん使っている方は大変ですね(; ・`д・´)
アクセス解析の代用
PVが25,000以下なら「Ptengine」がオススメ。
無料で使えて広告も出ません。
プラグインもあるので、Ptengineで検索をするとワードプレスの管理画面からも見ることができて便利です。
1つのサイトはアクセスほとんどなかったのでPtengineを導入。
メインは越えてしまっているので、ひとまずアナリティクスだけで運用していきます。
2017/4/18 追記
「Juicer」を入れていたのを思い出したので、Juicerも使うことにしました!
Juicerも無料で使えて広告も出ないですし、PV制限もないです。
アナリティクスはやっぱり見にくいので、一応解析だけはしてもらうけど、メインとしてJuicerを見る感じですかね。
ただ、外部リンクのクリック数が計測できないので、そこだけネックです。
「Pretty Link Lite」というプラグインを使うと外部リンクを自分の独自ドメインの短縮URLで転送できるんですね。
それを通せばクリック数は計測できるのですが、リンク改変禁止のASP(楽天、バリュコマ、リンクシェアなど)のクリック数は追えません。
なので、そこはまた別のプラグインを入れるか、ちゃんとアクセス解析でコンバーション設定をしないといかんなと思っています。
記事を投稿したときに自動でSNSに投稿する機能の代用
これは「NextScripts: Social Networks Auto-Poster」というプラグインがオススメ。
ツイッターで自動投稿したときにサムネイル画像も出るのと、過去記事をランダムでツイートしてくれるからです。
まとめ
うちみたいなブログでも攻撃されているので、早めに対策しておくのが安心です。