こんなんが60ページも続いてた。
1ページで50件×60=3000
実際はこれ以上だったと思う。
ちょっと驚いた。
さすがに不正アクセス?がここまで多いなら対策しないとなと。
そりゃアナリティクスのデータも汚れるわ。
私はアフィリエイト記事を書く事は出来るが、こういうのには疎くて。
まぁメインサイトでの話しなんだが、よく今までご無事で・・・
ある意味命を懸けているようなサイトなので、放置は出来ないな。
不正アクセスへの対策現在は3つ
いつでも誰でも簡単対策法。
管理者名、管理者そのものの変更という不正アクセス対策。
サイト作成段階で不正アクセス対策をするなら、この項目はいらんかもしれん。
ユーザー一覧からユーザーを追加。
管理者で作成し、元の管理者から全てを移すだけ。
で、〝すべてのコンテンツを以下のユーザーのものにす〟す?るだなこれ。
~ものにする、を選ぶ。
すべてのコンテンツ消去したら死ぬよ。ダメだよ。
削除を実行、これは元の管理者の事。
ポチっと。これで新しい管理者名になる。
新しい管理者ではプロフは消えてしまうので、コピー忘れずに。
新しい管理者名でログイン出来るようになったらプロフはコピペ。
あとパスワードは自動生成されるものでいいんじゃないかね。
不正アクセス対策としても、自分で覚えやすい、どこかで使っているようなパスワードは避けたい。
私は今までそれだった。だから自動生成のパスワードで設定。
一応PCでスクショして、スマホでも写真撮って、
別々に保存した。何なら物理的に紙とペンでメモれ。
XML-RPC、物理的に遮断。
当サイトとメインのアフィリエイトサイトでも使用しているプラグイン。
CloudSecure WP Securityのダッシュボードから簡単に設定出来る。
ごめん、これ以外のプラグインを使っているなら、それぞれ調べてくれ。
さすがにすべてのプラグインでどういう設定するかは、ここでは言えない、わからない、調べるつもりもない。
あくまで私が行っている不正アクセス対策がこれだからだ。
ログインURL変更
.htaccessファイルの編集(サーバー上の制御ファイル)-
functions.phpへのコード記述(WordPressの動作定義ファイル)
ってのがあるらしいが、ある程度育ってきたサイトでそこら辺いじって何かあっても困る。
だから私はURL変更のプラグインを入れた。
WPS Hide Login
これ。
※リダイレクトはそのままいじるな。変更しなくていい。
設定からログインURL変更するだけ。
で、変更後は 当サイトのURL例だと
.jp/ 変更欄 /
※変更欄:元のURL?は、確かloginとかじゃなかったかな。
英数字-数字-英語でも数字でも何でもいい : とか、- を使った方がいいかも。
で、変更を保存の前にスクショしとけ。
スマホで写真でもいい。
そして保存後はブクマ登録と、一旦ログアウトしてログインし直す。
シークレットブラウザ Ctrl Shift N で起動して、新URLを貼り付けてログインページに移動出来るかの確認を。
別にシークレットブラウザでログインする必要はないが。
これは〝ログインURLを変更するだけ〟なので、サイトの評価どうこうに関係はない。
ただ何らかの理由でログイン出来なくなる事態を避ける為、必要なものは全てスクショ推奨。
まとめ
不正アクセスする為に毎日スパムの嵐だった。
さすがに放置出来る問題ではないので、早々に対策を。
私の現時点でのメインサイトはアフィリエイトサイトで、収益化する為に命を削りながら作成している。
おかげで個人ブログの立場で、作成から半年、実質3カ月レベルのサイトだが、YMYLの壁を突破出来そうである。
そんなサイトが乗っ取られでもしたら、数々の絶望を乗り越えてきた私でもさすがに落ち込むわ。
- 管理者を変更。
- XML-RPCを物理的に遮断。
- ログインURLの変更。
現時点ではこの3点で不正アクセスへの対策としている。
今後何か追加したら、このページを更新する。
私の頭の中は現代のアフィリエイトで〝どう生き残るか、どう収益化するか〟これしか頭になかったので、不正アクセスの対策はあまり考えていなかった。
サイト作成中、ふと、なんとなくログイン履歴を確認した。
ちょっと心臓に悪い。
たまたま確認出来て良かったと思う。
皆もなるべく最初の段階で、これらの対策をしておくべきだな。
管理者変更に関しては、サイト作成段階不正アクセスへの対策をするのなら不要かもしれない。
その場合、XML-RPCを遮断、ログインURLの変更だけで済む可能性が高い。
まぁいつどうなるかはわからんので、思い出したら確認を怠るな。
その都度対策していく事を忘れてはならない。
私はしていなかったので、今焦って対策した・・・。