WordPressプラグイン『Redirection』で404エラーを検知!使い方とサイトの安全対策

『404』『このページは見つかりません。』『Page Not Found』というページを見たことがありますよね?

これはアクセスしたページのURLが間違っていたり、以前はあったけど現在は存在しないページにアクセスすると表示されるページです。

そのことを『404エラー』と言います。

自分のサイトにアクセスしようとしたけど404エラーになってしまったIPアドレスの履歴や、それが一体どこからアクセスされたのか、どんな間違いURLで404エラーがあったのかを検知し一覧で見るには、WordPressプラグイン『Redirection』を使用します。

Redirectionをインストールし有効化、セットアップさえすれば特に何も設定はせずに404エラーのアクセス履歴を閲覧することが可能です。

そんなことして何になるの?と思った方もいるでしょう。

404エラーのアクセス履歴を見れば、セキュリティの見直しになりますし、もし自分が間違ったURLリンクをどこかに貼ってしまっていた場合でも、そのURLをリダイレクトで本来のURLにユーザーを転送させることも可能です。

この記事ではサイトに404エラーログを見る方法、使い方、404エラーを検知させる利点や注意すべき点を解説していきます。

  • 404エラーのアクセス履歴を見るにはプラグイン『Redirection』を使用。
  • Redirectionをインストールしセットアップさえすれば404のエラーログを閲覧できる。
  • 404エラーログのタイプは、存在しないページ/ページのファイルが存在しない/ボット攻撃の3タイプ。
  • 仮に自分が間違えたリンクURLをばら撒いていたら、ユーザーを正しいページにリダイレクトさせられる。
  • ボット攻撃があったらサイトの安全対策を見直す。
    脆弱性の見つかったプラグインやテーマは常にアップデートし最新のものに。
  • 404エラーログの保存期間はデフォルトで1週間。
  • ログの保存期間を変更するには『オプション』ページで変更可能。

WordPressのことをもっと知りたい場合はWordPressの使い方のページを見てください。

あなたのウェブサイトは攻撃されている!知っておくべきWordPressの404エラーとは?!を動画でご覧になりたい方はこちらからどうぞ!

『Redirection』のインストール・有効化・セットアップ

ダッシュボード『プラグイン』の新規追加ページ・Redirectionのインストール画面

404エラーの履歴を閲覧するにはWordPressプラグイン『Redirection』(リダイレクション)を使用します。

RedirectionはWordPressでリダイレクトを設定するときも使用するプラグインです。

Redirectionをまだお持ちでない方は、サイトにインストール・有効化、そしてセットアップをまず行ってださい。

それらのやり方はWordPressでリダイレクトを設定する方法【301と302の違いは?】の記事の【WordPressでのリダイレクト設定にはプラグイン『Redirection』を使おう】のセクションで紹介していることとまったく同じことを行ってください。

404エラーログの見方

404エラーログの閲覧方法・Redirectionのメニューの『404エラー』をクリック

Redirectionの編集メニューにある『404エラー』をクリックします。

『404エラー』のページ画面(インストール・有効化したばかりの真っ新な状態)

こちらは『404エラー』ページです。

サイトに404エラーでアクセスしたものの履歴一覧が表示されます。

しかし、何もRedirectionをインストールしたばかりだと当然過去の履歴はありませんので上記のような表示になります。

どういった原理でこのページに404エラーの履歴がつくのか、このページで見れるものを以下で実験しながら説明します。

404エラーはどのように履歴として残るのか

ここでは404エラーを『Elementorテストサイト』というサイトをサンプルにし、意図的に404エラーを起こし、Redirectionの404エラーにどのように履歴として残るのかをデモンストレーションします。

実験・位置的にエラーログを作成:elementor.tofuのサイトの存在しないページにアクセス

こちらは『Elementorテストサイト』というとあるWebサイトでドメインが『elementor.tofu』とします。

elementor.tofuのドメインが付いているけど存在しないURL『elementor.tofu/non_exsistent』でアクセスしてみるとしましょう。

実験のため意図的に表示させたウェブサイト:elementor.tofuの404エラーページ

するとURLのページは存在しないため、このように404のエラーページが表示されます。

404エラーページのログの見方:日付/ソースURL/ユーザーエージェント情報/IPアドレス

こちらはElementorテストサイトのRedirectionの『404エラー』ページの表示画面です。

先ほど意図的にElementorテストサイトのドメインを持った存在しないURLでアクセスした(elementor.tofu/non-exsistent)情報が以下のように表示されています。

  • 日付:実際に404エラーにアクセスした年月日と時間
  • ソースURL:404エラーになった間違いURL
  • ユーザーエージェント:アクセス元のブラウザやデバイスなどの詳細な情報
  • IP:サイトへのアクセスを試みたIPアドレス
ソースURLにマウスオーバーしたときに出る追加エディター

また、『ソースURL』の付近にカーソルを持ってくると、以下のリンクが追加表示されます。

エージェントの情報

『エージェントの情報』をクリックしたときに出るウィンドウ

『エージェントの情報』をクリックすると、このようにどのデバイスを使っているのか(Apple MacやWindowsなど)や、どんなブラウザー(ChromeやFirefoxなど)で閲覧しているのかを見ることができます。

位置情報

『位置情報』をクリックしたときに出るマップ

『位置情報』をクリックすると、このようにマップが開きます。

これはサイトがどこから(国・その国のざっくりした地域)アクセスしているのかを見ることができます。

削除

『削除』をクリックするとその404エラーの履歴は削除されます。

転送ルールを追加

もし404エラーの履歴で同じソースURLで、しかもなんだか自分が設定したパーマリンクっぽいURLから何度もアクセスがあるようなら、自分がどこかのページに貼り付けたURL自体が間違っていたということもあります。

その場合、『転送ルールを追加』でそのURLからのアクセスを404ページではなく、本来のページへユーザーをリダイレクトさせることができます。

『転送ルールを追加』をクリックしたら出るウィンドウ・指定の間違ったURLにアクセスがあった場合のリダイレクト先の設定

『転送ルール』をクリックすると上記のエディターが表示されます。

『ターゲットURL』にリダイレクトさせたいページのパーマリンク(ドメインも違うようならURL)を記入し、『転送ルールを追加』をクリックします。

『ログを削除』にチェックをすると、リダイレクト設定をした間違いURLにアクセスしたユーザー履歴は404エラーのリストに表示されなくなります。

すべて表示

『すべて表示』をクリックすると、そのソースURLでのすべてのアクセス履歴をソートして見ることができます。

URLを無視

『URLを無視』は404エラーになったアクセスがあっても、自分の404エラーログ(履歴)には表示させなくする設定です。

つまりアクセスしたユーザーの画面には404画面が表示されるけど、自分的には『そのURLは404です。ハイハイ、知ってま~す。だからもうログにも表示しなくていいよ~。』ということです。

404エラーログ・3つのタイプ

404エラーとして起こりうる、3つのタイプを紹介します。

①ページが存在しない

404エラーの原因①存在しないURL
存在しないページにアクセスがあったときの404エラーログの事例

ページ自体が存在しない=URLが間違っていると当然ながら404エラーが送られます。

入力したアドレスがニアピンで間違っているケースは少なからずあります。

または以前は有ったけど、もうすでにそのページを削除してしまったのかもしれません。

ユーザーが間違えたのか、自分が間違ったURLのリンクをばら撒いたのかはソートした404エラーログを確認してみましょう。

もし、たくさんの同じURLのエラーログが見つかれば答えは後者でしょう。

その場合はその間違いURLを本来アクセスさせたかったページのURLに直ちにリダイレクトさせるようにしましょう。

その方法は『転送ルールの追加』のセクションをご覧ください。

②ファイルが存在しない

404エラーの原因②存在しないファイルにアクセスしたとき
ファイルが存在しないページにアクセスがあったときに404ログ事例

こちらは404エラーログのURLが『/wp-content/uploads/2020/02/%12%89%98….』というものです。

これを読み解くと、『%12%89%98…』の%と数字の羅列はファイル名になりますので、『2020年5月にワードプレスにアップロードしたファイル』となります。

これはアクセスしたページに現在はファイルが存在しないため404エラーが送られたのだと解釈ができます。

③ボット攻撃

404エラーの原因③ボット攻撃をくらっているとき
ボット攻撃の特徴を示した画像・同じ日付と時間・同じIPアドレス・付けてしまいがちなファイル名のURLで何度もアクセスがある様子

例えば上記画像のように、同じ日付の同じ時間で同じIPアドレスから何度もアクセスがあればボット攻撃かもしれません。

ボット攻撃とは?

ボット攻撃とは、WordPressサイトやサーバーの設定ミス、脆弱性のあるプラグインやテーマの過去の脆弱性データをもとに、『こういったファイルが存在するだろう』という予測をもとに何度も何度も色々なサイトのURLをめがけてハッキングをしようとしてくることです。

運悪くボット攻撃の餌食になってしまえば知らないうちに自分のパソコンが何者かの手により乗っ取られ、自分が誰かにボット攻撃を仕掛ける加害者になりかねません。

そうならないためにもサイトのセキュリティ対策を常に心がけましょう。

サイトを守る一番の方法は、脆弱性の見つかったプラグインやテーマを常に更新し、常に最新のものにしておくことです。

ボット攻撃の特徴URL

ボット攻撃がどうかは以下を参考にしてください。

  • 同じ日付の同じ時間に何度もアクセスがある
  • 上記の全てが同じIPアドレスである
  • /backup, /2018(年号), /new, /old, /wp-old などの付けてしまいがちな名前
  • .cgi .php .zipがつく名前

などです。

このようにして大切なbackupデータなどを狙ってくるわけですね。

サイトを安全に守るためにも、みんなが付けがちなシンプルなファイル名(フォルダ名)を使用しないことです。

また、404エラーログを見ているとボット攻撃で使用されるURLの傾向が掴めてきますので、それにより対策をしていきましょう。

ログ(履歴)の保存期間は『オプション』で変更できる

オプションページの表示画面・『404ログ』で保存期間の変更

デフォルトの404エラーログの保存期間は『1週間』に設定されています。

もし、ログの保存期間を変更したい場合はRedirectionのメニューの『オプション』のページにいき、『404ログ』で設定を以下から変更することができます。

  • ログなし
  • 1日
  • 1週間(デフォルト)
  • 1ヶ月
  • 2ヶ月
  • 永久

まとめ

404エラーログを閲覧するには、プラグイン・Reditectionを使用しましょう。

Redirectionをセットアップさえすれば簡単に404エラーログを閲覧することができます。

404エラーにもそれぞれタイプがあり、アクセスURLが間違っていたパターン、アクセスしたページのファイルが存在していないパターン、ボット攻撃をくらっているパターンの大きく分けて3種類です。

アクセスURLが間違っているログがある時、もしかしたら自分が間違ったリンクURLをばら撒いた自爆型もありますので、その場合はリダイレクトで正しいURLにユーザーを飛ばすようにしましょう。

そしてボット攻撃がある時はプラグインやテーマが最新版であるかどうかを確認しましょう。

プラグインやテーマの過去の脆弱性データから『こういったファイルが存在するだろう』と予測を立てて無作為にアクセスしハッキングを仕掛けようとしてくる輩は後を絶えません。

自分のコンピューターをハッキングさせないため、自分のパソコンがボット攻撃を仕掛ける加害者にならないためにも常にセキュリティは万全にしましょう。

NoCodeWeb.jpでは、WordPressの情報やハッキングを防ぐ脆弱性の情報と現在住んでいる国での生活の一部を無料のメルマガで配信しています。

毎週火曜日に届くメルマガにWordPressの脆弱性をリストを添えてお届けしていますので、そうぞお気軽にご登録くださいね!

WordPressのことをもっと知りたい場合はWordPressの使い方のページを見てください。

Naomi Suzuki

このサイトを運営してるナオミです。エンジニア歴13年、海外在住歴20年。
WordPressの情報やハッキングを防ぐ脆弱性の情報と自分の海外での生活の一部を無料のメルマガで配信しています。

目次

コメントする

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

Elementorの無料テンプレートサイト
新規追加されました。

WordPressの最新情報が
毎週届く無料メールマガジン

DiviやElementorの情報だけでなく、脆弱性が見つかったプラグインやテーマのリストも毎週届きます。セキュリティの強化につながります。 

管理人のナオミが書くメルマガ
海外でエンジニア歴10年以上
DiviとElementorに精通