WordPressにしてから、所謂ブラックハットSEO系のサイトからアクセスが来るようになってしまったので、Google Analyticsにて正しい評価ができないでいました。サイトの正しい評価をするためには、ボットであったりハック系のサイトをなんとか防がなくてはいけません。
なんとなく乗っ取られてしまうかもしれない危険性のあるWordpressなので、絶対対策しておきたいのがセキュリティ関係のプラグインです。
そんな中、WP-BANというプラグインがよさそうだということで、試してみましたが、これじゃ、逆効果じゃんと思ってしまった内容を共有したいと思います。
WP-BANの設定を見てみる
WP-BANの設定画面ですが、下の方のBanned Messageを編集する画面があります。You Are Bannedと気持ちい基本メッセージです。もうBANされているのが、相手から丸わかり!
しかし、ここには大きな落とし罠があったのです。
ネットの仕組みを見てみるとWP-BANは意味が無い
インターネットのWEBページが表示される仕組みを考えて見ると、このWP-BANはまったくBANしていないような気がします。
まず、このWP-BANはエラーメッセージを返しちゃっているところがまずい箇所です。どういうことか見て見ましょう。
インターネットをしていて、404だったり、403だったり、たまに500だったりのエラーメッセージを見たことは無いでしょうか。これは、404がそのページが見当たりませんと言う意味で、403は閲覧禁止。500エラーは内部エラーが発生していることを意味します。
では、WP-BANはどんなエラーを出しているのでしょうか。
答えは、エラーを出していないです。
WP-BANを見てみると、レスポンス200が返ってきます。この200というのは、正常にアクセスできましたを意味するコードです。
ボットから見てみると、200のコードは「正常にアクセスできた」としか解釈されません。つまり、当該ページのアクセスを止めることはまずないのです。
ページの内容はともかく、ページは正常でありアクセスできている為、ボットにとっては、毎回何か更新が無いかなどをチェックする対象になってしまうのです。
これでは、WP-BANを置いた意味が全くないですよね!
WP-BANを入れてもGoogle Analyticsには残る
これも当たり前の話なのですが、WP-BANは正常なレスポンスを返します。ということは、Google Analyticsのビーコンも反応してしまいます。
つまり、WP-BANによって表示されたページのアクセス解析になってしまうということです。このページのアクセス解析をしたいのであれば別ですが、ほとんどの場合は、Google Analyticsの評価を上げたい場合がほとんど。
つまり、Google Analyticsに補足されるということは、それだけスパムが沢山来ているサイトと評価されてしまい、相対的に評価が下がってしまうこともあり得ます。
このように、WP-BANを入れても、Google Analyticsは反応してしまうので、意味が無く、さらには、正常なコード200を返しているため、ボットは増えるばかりと最悪な状況になってしまうこともあるのです。
WP-BANはリアルな人にとっては有効
では、WP-BANの有効性はどこなのでしょうか。それは、リアルな人にとって有効と言わざるを得ません。つまり、人が見てBANされていると解釈できて初めて効果があるのです。
リアルな人は、BANされていることを理解できるので、そのページやWEBサイトに訪れることは無くなります。
そういう意味において、特定の国の人に見せたくないだとかの需要がある場合はガンガン使って行けば問題ありませんが、リアルな人のBANって、実はそれほど必要ないかと思います。
なので、特定の企業に見られたくないとか、IPが分かっている組織だけをBANしたい場合は有効かもしれません。
ちゃんとしたエラーを返すプラグインを入れよう
では、ちゃんとしたエラーはどんなのかというと、冒頭で申し上げている、403を返すプラグインです。
403のエラーコードはほとんどのボットにおいて、巡回サイトリストから削除するため、数回403エラーを返してやることで、巡回サイトの対象から外れる可能性があります。
いくらボットと言えども、巡回リソースを使うため、無駄な巡回はしないのです。このエラーを返すプラグインは、IP Geo Blockなどのプラグインになります。
もう少し調べていきますが、今の所、上記のプラグインでかなり防げています。
WP-BANはボットには効果が無い
いかがだったでしょうか。このように、WP-BANは実はボットに対してはまったく無防備であり、さらにはWordpressであることもばれるため、今度はLoginであったりCommentへの攻撃など、他の脆弱性を付いてくる可能性も高いため、あまりオススメできません。
あくまでリアルな人向けのBANプラグインとして認識しましょう。下手すると、もっとたくさんスパムがやってくる可能性もありますよ!
プラグインの設定は簡単だけど、中身が分からないと怖いこともたくさんありますね…。