不正アクセスが増加する要因としては、いわゆる季節性があり、全世界的な大型連休と色濃く連動します。
例えば、年末年始は全世界的に一定期間の長期休日となるため、不正アクセスが毎年増加します。
そのため当サイトでは不正アクセス対策のために、全接続IPのページ接続要求に対して‘VPN’・‘Tor’・‘Proxy’・‘Cloud’サービスのチェックを有効化しました。
これにはワードプレスプラグインである『Proxy & VPN Blocker』を用いることで、簡単に対処できます。
Proxy & VPN BlockerBlocks Proxies, VPN's, select Countries, IP's, Ranges & ASN's accessing your site login or commenting on pages & posts using th … ... 外部サイトへアクセス
ja.wordpress.org
普段は、このプラグインの検査対象をログインページのみに留めています。
これは少なからずこのプラグインによる判定はオーバーヘッドがかかるためです。
いわゆる「全通過チェック」を行うと、レスポンスが悪化します。概ね1秒程度要するため、‘SEO対策’(Search Engine Optimization)としてはマイナス効果となります。
近年では『Google Search Console』にもβ版ながら「速度(試験運用版)」という項目が追加されています。
Google Search Console ... 外部サイトへアクセスsearch.google.com
当サイトではPC用ウェブでは「中速」、モバイル用ウェブでも「中速」とそれぞれ判定されています。
しかし、このプラグインを有効化すると、モバイル用ウェブが大多数「低速」判定となり指標が悪化します。
(評価がどの程度下がるかはサイトに依存しますが、確実にアクセス速度は悪化します)
全通過チェックは過剰防衛的な手段です。
基本的にはログインページへのアクセスのみの判定に留めるべきです。
しかし、1年のうちで一番不正アクセスが多いのが12月後半から1月前半なのです。
過度なセキュリティ対策ではあるものの、当サイトではセキュリティを優先することとしました。
セキュリティが高いサイトのほうが、当サイトの読者や訪問者にとっても安全で安心だからです。
ただし、全通過チェックを有効化したところ、当該プラグインに不具合を確認しました。
当該プラグインは『proxycheck.io』という、「Open Proxy」や「Open VPN」と呼ばれる、不正アクセスの温床となりかねないIPアドレスを共有し、チェックできるサービスを用いて開発されています。
Proxy & VPN Detection API | proxycheck.ioproxycheck.io is a premium Proxy detection API with a full featured free plan. Try us today! ... 外部サイトへアクセスproxycheck.io
アクセスログを精査していると、全通過チェックを有効化した時点から『Googlebot』のアクセスが記録されていないことを突き止めました。
当サイトは、自作の不正アクセス対策プラグインとともに、自作のアクセスログを用いており、『Googlebot』などの活動状況がひと目で把握できるようになっています。
10分・20分程度なら、『Googlebot』からアクセスがないことは稀に起こるかもしれませんが、1時間・2時間経ってもアクセスがないことはこれまでありませんでした。
実際Proxy & VPN Blockerのブロックログを確認してみると、ことごとく『Googlebot』のIPアドレスが「危険性の高いVPN」として誤判定されていることがわかりました。
これは明らかな誤判定ですので、対策が必要です。
『Proxy & VPN Blocker』には‘Whitelist’(ホワイトリスト)機能があります。そこに『Googlebot』のIPレンジを追加します。
なお、『Googlebot』や『Google AdSense』のIPレンジは以下の記事にて公開していますので、必要な方は参照してください。
【.htaccess】Googlebotか自動判定し、Googlebotになりすました不正アクセスを拒否する方法UAをGoogle検索のクローラーである「Googlebot」だと詐称した不正アクセスを自動で遮断する方法を紹介。この方法は簡単で高速、しかも高精度。コンテンツ保護のため今すぐ導入すべき。導入も簡単。 ... 続きを読む
これによりGooglebotは通過させつつ、不正な手段によるアクセスは全てブロックされるようになります。
もしも、これらの不正な手段が使えない状態で不正アクセスを行う場合、特定個人が契約している回線を使うことしかできなくなります。
日本では不正アクセス禁止法や当サイトは利用約款により不正アクセスを行ったものへ損害賠償請求が可能となっているため、プロバイダ通報等を通じて「法的・費用的な強制力をもたせることが可能」になります。
もしも不正な手段が禁止されていない場合、これは現実的ではなくなります。
不正アクセス(DoS)対策は現行法がザルすぎるので、弱小個人ブロガーがおこなっている対策全て|Ganohr C(ガノー・シー)不正アクセスといえば、様々な方法がある。 そのなかでも「DoS攻撃」はもっとも簡単で、かつ悪質なものだ。 DoS攻撃はスクリプトキディといわれる幼稚なものから、より高度化したものまで多数ある。 今回は当方がおこなっている全ての対策を解説する。 また、WP(Wordpress)で同様の対策を行うた ... 外部サイトへアクセスnote.com 
【サイト情報】不正アクセス対策に伴う対策費用の請求に関する約款(アクセス継続時には本約款への合意が必要です)『ganohr.net』(ぺるせぽ。/当サイト)の閲覧・利用の際は、当約款への同意が必要です。当サイトへのアクセスを2回以上行った場合、当約款へ同意したものとみなします。その他の詳細も常に自発的に精査し同意した上でお願いします。 ... 続きを読む
今回紹介した方法はウェブ運営者にはとても重要な情報です。
もしも年末年始であるにも関わらず、不正なアクセス手段をブロックしていない方は「本当にそんな運営で大丈夫?」と、自答してはどうでしょうか。
その上で、『Proxy&VPN Blocker』を用いる場合、当サイトと同じ対策を行うと良いでしょう。
Googlebotがアクセスできなくなると、ウェブサイトへアクセスする経路が将来的に絶たれてしまいます。
正しい対策と運営を心がけて、年末年始の不正アクセスからサイトを守りましょう。
