WordPressプラグイン『Redirection』で404エラーを検知!使い方とサイトの安全対策
- 2022年2月19日
- 2022年2月19日
- WordPress一般
『404』『このページは見つかりません。』『Page Not Found』というページを見たことがありますよね?
これはアクセスしたページのURLが間違っていたり、以前はあったけど現在は存在しないページにアクセスすると表示されるページです。
そのことを『404エラー』と言います。
自分のサイトにアクセスしようとしたけど404エラーになってしまったIPアドレスの履歴や、それが一体どこからアクセスされたのか、どんな間違いURLで404エラーがあったのかを検知し一覧で見るには、WordPressプラグイン『Redirection』を使用します。
Redirectionをインストールし有効化、セットアップさえすれば特に何も設定はせずに404エラーのアクセス履歴を閲覧することが可能です。
そんなことして何になるの?と思った方もいるでしょう。
404エラーのアクセス履歴を見れば、セキュリティの見直しになりますし、もし自分が間違ったURLリンクをどこかに貼ってしまっていた場合でも、そのURLをリダイレクトで本来のURLにユーザーを転送させることも可能です。
この記事ではサイトに404エラーログを見る方法、使い方、404エラーを検知させる利点や注意すべき点を解説していきます。
- 404エラーのアクセス履歴を見るにはプラグイン『Redirection』を使用。
- Redirectionをインストールしセットアップさえすれば404のエラーログを閲覧できる。
- 404エラーログのタイプは、存在しないページ/ページのファイルが存在しない/ボット攻撃の3タイプ。
- 仮に自分が間違えたリンクURLをばら撒いていたら、ユーザーを正しいページにリダイレクトさせられる。
- ボット攻撃があったらサイトの安全対策を見直す。
脆弱性の見つかったプラグインやテーマは常にアップデートし最新のものに。 - 404エラーログの保存期間はデフォルトで1週間。
- ログの保存期間を変更するには『オプション』ページで変更可能。
WordPressのことをもっと知りたい場合はWordPressの使い方のページを見てください。
あなたのウェブサイトは攻撃されている!知っておくべきWordPressの404エラーとは?!を動画でご覧になりたい方はこちらからどうぞ!
『Redirection』のインストール・有効化・セットアップ
404エラーの履歴を閲覧するにはWordPressプラグイン『Redirection』(リダイレクション)を使用します。
RedirectionはWordPressでリダイレクトを設定するときも使用するプラグインです。
Redirectionをまだお持ちでない方は、サイトにインストール・有効化、そしてセットアップをまず行ってださい。
それらのやり方はWordPressでリダイレクトを設定する方法【301と302の違いは?】の記事の【WordPressでのリダイレクト設定にはプラグイン『Redirection』を使おう】のセクションで紹介していることとまったく同じことを行ってください。
404エラーログの見方
Redirectionの編集メニューにある『404エラー』をクリックします。
こちらは『404エラー』ページです。
サイトに404エラーでアクセスしたものの履歴一覧が表示されます。
しかし、何もRedirectionをインストールしたばかりだと当然過去の履歴はありませんので上記のような表示になります。
どういった原理でこのページに404エラーの履歴がつくのか、このページで見れるものを以下で実験しながら説明します。
404エラーはどのように履歴として残るのか
ここでは404エラーを『Elementorテストサイト』というサイトをサンプルにし、意図的に404エラーを起こし、Redirectionの404エラーにどのように履歴として残るのかをデモンストレーションします。
こちらは『Elementorテストサイト』というとあるWebサイトでドメインが『elementor.tofu』とします。
elementor.tofuのドメインが付いているけど存在しないURL『elementor.tofu/non_exsistent』でアクセスしてみるとしましょう。
するとURLのページは存在しないため、このように404のエラーページが表示されます。
こちらはElementorテストサイトのRedirectionの『404エラー』ページの表示画面です。
先ほど意図的にElementorテストサイトのドメインを持った存在しないURLでアクセスした(elementor.tofu/non-exsistent)情報が以下のように表示されています。
- 日付:実際に404エラーにアクセスした年月日と時間
- ソースURL:404エラーになった間違いURL
- ユーザーエージェント:アクセス元のブラウザやデバイスなどの詳細な情報
- IP:サイトへのアクセスを試みたIPアドレス
また、『ソースURL』の付近にカーソルを持ってくると、以下のリンクが追加表示されます。
エージェントの情報
『エージェントの情報』をクリックすると、このようにどのデバイスを使っているのか(Apple MacやWindowsなど)や、どんなブラウザー(ChromeやFirefoxなど)で閲覧しているのかを見ることができます。
位置情報
『位置情報』をクリックすると、このようにマップが開きます。
これはサイトがどこから(国・その国のざっくりした地域)アクセスしているのかを見ることができます。
削除
『削除』をクリックするとその404エラーの履歴は削除されます。
転送ルールを追加
もし404エラーの履歴で同じソースURLで、しかもなんだか自分が設定したパーマリンクっぽいURLから何度もアクセスがあるようなら、自分がどこかのページに貼り付けたURL自体が間違っていたということもあります。
その場合、『転送ルールを追加』でそのURLからのアクセスを404ページではなく、本来のページへユーザーをリダイレクトさせることができます。
『転送ルール』をクリックすると上記のエディターが表示されます。
『ターゲットURL』にリダイレクトさせたいページのパーマリンク(ドメインも違うようならURL)を記入し、『転送ルールを追加』をクリックします。
『ログを削除』にチェックをすると、リダイレクト設定をした間違いURLにアクセスしたユーザー履歴は404エラーのリストに表示されなくなります。
すべて表示
『すべて表示』をクリックすると、そのソースURLでのすべてのアクセス履歴をソートして見ることができます。
URLを無視
『URLを無視』は404エラーになったアクセスがあっても、自分の404エラーログ(履歴)には表示させなくする設定です。
つまりアクセスしたユーザーの画面には404画面が表示されるけど、自分的には『そのURLは404です。ハイハイ、知ってま~す。だからもうログにも表示しなくていいよ~。』ということです。
404エラーログ・3つのタイプ
404エラーとして起こりうる、3つのタイプを紹介します。
①ページが存在しない
ページ自体が存在しない=URLが間違っていると当然ながら404エラーが送られます。
入力したアドレスがニアピンで間違っているケースは少なからずあります。
または以前は有ったけど、もうすでにそのページを削除してしまったのかもしれません。
ユーザーが間違えたのか、自分が間違ったURLのリンクをばら撒いたのかはソートした404エラーログを確認してみましょう。
もし、たくさんの同じURLのエラーログが見つかれば答えは後者でしょう。
その場合はその間違いURLを本来アクセスさせたかったページのURLに直ちにリダイレクトさせるようにしましょう。
その方法は『転送ルールの追加』のセクションをご覧ください。
②ファイルが存在しない
こちらは404エラーログのURLが『/wp-content/uploads/2020/02/%12%89%98….』というものです。
これを読み解くと、『%12%89%98…』の%と数字の羅列はファイル名になりますので、『2020年5月にワードプレスにアップロードしたファイル』となります。
これはアクセスしたページに現在はファイルが存在しないため404エラーが送られたのだと解釈ができます。
③ボット攻撃
例えば上記画像のように、同じ日付の同じ時間で同じIPアドレスから何度もアクセスがあればボット攻撃かもしれません。
ボット攻撃とは?
ボット攻撃とは、WordPressサイトやサーバーの設定ミス、脆弱性のあるプラグインやテーマの過去の脆弱性データをもとに、『こういったファイルが存在するだろう』という予測をもとに何度も何度も色々なサイトのURLをめがけてハッキングをしようとしてくることです。
運悪くボット攻撃の餌食になってしまえば知らないうちに自分のパソコンが何者かの手により乗っ取られ、自分が誰かにボット攻撃を仕掛ける加害者になりかねません。
そうならないためにもサイトのセキュリティ対策を常に心がけましょう。
サイトを守る一番の方法は、脆弱性の見つかったプラグインやテーマを常に更新し、常に最新のものにしておくことです。
ボット攻撃の特徴URL
ボット攻撃がどうかは以下を参考にしてください。
- 同じ日付の同じ時間に何度もアクセスがある
- 上記の全てが同じIPアドレスである
- /backup, /2018(年号), /new, /old, /wp-old などの付けてしまいがちな名前
- .cgi .php .zipがつく名前
などです。
このようにして大切なbackupデータなどを狙ってくるわけですね。
サイトを安全に守るためにも、みんなが付けがちなシンプルなファイル名(フォルダ名)を使用しないことです。
また、404エラーログを見ているとボット攻撃で使用されるURLの傾向が掴めてきますので、それにより対策をしていきましょう。
ログ(履歴)の保存期間は『オプション』で変更できる
デフォルトの404エラーログの保存期間は『1週間』に設定されています。
もし、ログの保存期間を変更したい場合はRedirectionのメニューの『オプション』のページにいき、『404ログ』で設定を以下から変更することができます。
- ログなし
- 1日
- 1週間(デフォルト)
- 1ヶ月
- 2ヶ月
- 永久
まとめ
404エラーログを閲覧するには、プラグイン・Reditectionを使用しましょう。
Redirectionをセットアップさえすれば簡単に404エラーログを閲覧することができます。
404エラーにもそれぞれタイプがあり、アクセスURLが間違っていたパターン、アクセスしたページのファイルが存在していないパターン、ボット攻撃をくらっているパターンの大きく分けて3種類です。
アクセスURLが間違っているログがある時、もしかしたら自分が間違ったリンクURLをばら撒いた自爆型もありますので、その場合はリダイレクトで正しいURLにユーザーを飛ばすようにしましょう。
そしてボット攻撃がある時はプラグインやテーマが最新版であるかどうかを確認しましょう。
プラグインやテーマの過去の脆弱性データから『こういったファイルが存在するだろう』と予測を立てて無作為にアクセスしハッキングを仕掛けようとしてくる輩は後を絶えません。
自分のコンピューターをハッキングさせないため、自分のパソコンがボット攻撃を仕掛ける加害者にならないためにも常にセキュリティは万全にしましょう。
NoCodeWeb.jpでは、WordPressの情報やハッキングを防ぐ脆弱性の情報と現在住んでいる国での生活の一部を無料のメルマガで配信しています。
毎週火曜日に届くメルマガにWordPressの脆弱性をリストを添えてお届けしていますので、そうぞお気軽にご登録くださいね!
WordPressのことをもっと知りたい場合はWordPressの使い方のページを見てください。