スマホの方は下のタブでサイドコンテンツが見られます、本ブログはアフィリエイト広告を利用して収益を得ています。

不正ログイン・スパム対策、0まで激減した4つの実践内容

気になる作品・その他
2025.08.13


不正ログイン対策でやって来た事を情報共有します


ワードプレスでHPを作ってブログを運営しています

月に千アクセス以下だと、当然不正ログインや怪しいコメントの書き込みもありません

でも月に1万アクセスぐらいになると、どうやってたどり着くのか分からないけど、コメントが書き込まれるようになってきて、月に5万アクセス数を超えてくると不正対策をしないと行けないと思える状況に追い込まれました


最初に対策を行った1つ目

スパム投稿対策


以下のようなコメントが月に数回書き込まれるようになり導入しました

怪しい薬買いませんか?

精巧な有名ブランドのコピーバッグ買いません?

あなたのサイトのアクセス数を増やすお手伝いをしますよ

英語での書き込みが多いですが、怪しい日本でもコメントが増えてきます

自分のサイトに来た方が被害にあったら大変なので対応策を調べました


すばらしいプラグインがありました

Throws SPAM Away

日本人の方が作ってくれたプラグインで、日本語以外はスルーしてくれますし、アドレスを書き込んでもスルー記録だけを取って表示せず名前の通りにスルーしてくれます
他にもIPアドレスからスパムを繰り返している奴らも自動的に排除してくれます、これによってコメント欄を荒されることが無くなりました


これで安心してブログを運営していたのですが、不正ログインが増えているって記事を読みました

自分は初めからパスワードを大文字・記号を含む10桁以上にしてましたが

読んだ記事によると10桁以上だと不正ログインの可能性がかなりゼロに近づくそうです

不安な方は複雑なパスワードに変更する事をおすすめします


不正ログイン対策その1

ただ実際に不正ログインがされているのか?

本当に不正ログインされていないのか?って分からない

2つ目の対策

そこで導入したプラグインが

Limit Login Attempts Reloaded

不正ログインしようとしてもこちらが決めた回数以上パスワード入力が出来なくしたり、一定時間ロックも出来るし、不正ログインデーターも取ってくれる

不正ログインを防いでいてくれて、安全状態を確認出来る


不正ログインしようとしてる輩が来てる、、、、

最初は月に数回だったが、アクセス数が増えると月に10数回になり、週に数回になり

月に10万アクセス数になると飛躍的に数が増えてきました

一日に7回も来てる日がある、、、


不正ログイン対策その2

危険度は低いですっとコメントしてくれてるし、パスワードはかなり複雑なので安全度はかなり高いはずだけど、さすがに7回もやられていたら何か対策をしないとやばいかもって思って

3つ目の対策を検索する

色々調べていたら、ワードプレス標準のログインページは

https://ドメイン名/wp-login.php

https://ドメイン名/wp-admin

でパスワード入力ページにたどり着くので、不正ログインをやりたい放題やってくれてるとの事

じゃあ、ログインページを変更したら良い

多少プログラムを触ってる方なら自分で変更出来るが、素人がやるのはかなり不安があるのでプラグインで行う事にする

導入したプラグインは

Login rebuilder

自分のログインページでwp-login.phpを好きなアドレスに変更出来る

そんなに複雑じゃ無くても変更したらログインページにたどり着く可能性はかなりゼロに近いはず

一応、記号も入れたアドレスに変更



しかし悪い奴らはそんな事をお見通しのようで、何故か不正ログインのデーター数はあまり減らない

なんでや!!!

自分でこれまで変更前のログインページから入ろうとしても、入れないのにどうやってる????

Limit Login Attempts Reloaded のログデーターを見ると

ゲートウェイが wp/xmlrcp ってなってる

※隠してるのは、自分でチェックするために旧アドレスと新アドレスでログインした記録です

ゲートウェイやwp/xmlrcpを解説サイトを読んでも素人にははっきりは分からないが、通常のログインではなく wp/xmlrcp 経由だと遠隔操作でログイン出来て推測したパスワードを入力すると不正ログイン出来るそうです

ワードプレスのプラグインが何かをする時にたまに使用するので必要ではあるけど、完全に閉じてもほとんどは問題ないそうです

とりあえず導入してプラグインに問題があったら、その時にまた考えるしかない

プラグインの更新はこれまで通りに通知が来て、クリックするとそのまま更新出来ます


4つ目の対策

XML-RPC からの不正ログインを出来ないようにするプラグインを探しました


Disable XML-RPC-API

とにかく有効にして様子を見る

それまでほぼ毎日「おじゃまします」とも言わず人の家の中まで入ろうとやってきてた奴らが、ピタッと来なくなった!!!

一応一週間様子を見たら、全く来ていない

更に毎日来ていたスパム投稿もなくなっている


Disable XML-RPC-API だけを導入したら良いようにも思えるが、不正スパムやログインされた時に記録が残らなくなり分からなくなるし二重・三重の対策だと万全だと思うので他のプラグインも残しておいてます



もし不正ログインに悩んでいる方の為に情報共有しておきますね

調べたらもっと他にもプラグインがあるだろうし、全然大したサイトでも何のにすごい数の不正が日常的に行われているのでセキュリティについて考えて見て下さい

コメント