WordPressサイトは非常に多く使われているため、スパムボットやハッカーの攻撃対象になりやすいです。
今回は人気セキュリティプラグイン Wordfence を活用して、404攻撃 や xmlrpc.php への攻撃 などを防ぐ方法を初心者向けに解説します。

1. Wordfenceとは？

Wordfenceは、ファイアウォール・不正アクセス制御・スキャン・リアルタイム監視 などの機能をもつ、WordPress専用のセキュリティプラグインです。

2. インストールと有効化の手順

1. WordPress管理画面 →「プラグイン」→「新規追加」
2. 「Wordfence Security」で検索
3. 「今すぐインストール」→「有効化」

3. ファイアウォールの最適化

Wordfence →「ファイアウォール」→ 上部の「最適化を完了」ボタンをクリックすると、PHP実行前にファイアウォールが動作し、より強力になります。

4. xmlrpc.php を無効化する方法

「xmlrpc.php」は古くから存在する通信機能で、今ではほとんど使われないにもかかわらず、ブルートフォース攻撃などの対象になりやすいファイルです。

● Wordfence設定画面から無効化（項目がある場合）

1. 「Wordfence」→「All Options」画面を開く
2. 「Disable XML-RPC authentication」にチェック
3. 「保存」ボタンをクリック

※ただし、使用中のWordfenceバージョンや日本語環境ではこの項目が表示されない場合があります。

● 項目が見つからない場合：.htaccessで完全ブロック

以下のコードを、WordPressルートの .htaccess ファイルの末尾に追加してください。

<Files xmlrpc.php>
  Order Allow,Deny
  Deny from all
</Files>

これで xmlrpc.php への外部アクセスが完全にブロックされ、403エラーになります。セキュリティ対策として非常に有効です。

5. 404エラー攻撃への対策（Rate Limiting設定）

● 最近増えている404攻撃とは？

ランダムな数字だけのURL（例：/50910413026）に対し、スパムボットが大量にアクセスしてくる現象が増えています。これにより：

• サーバーに無駄な負荷がかかる
• Google Search Consoleに404エラーが大量記録される
• SEOに悪影響を及ぼす可能性がある

● Wordfenceのレート制限設定で防ぐ

管理画面の「ファイアウォール」→「レート制限」タブを開き、以下の2項目だけを設定すればOKです。

① クローラーのページが見つからない (404) が超過

• 推奨設定： ブロックする
• 効果： 不審な404連発クローラーを遮断

② ルール違反時に IP アドレスがブロックされる期間

• 推奨設定： 1日
• 効果： 同じ攻撃元の再アクセスを1日間防止

この2つを設定するだけで、大量の404アクセスをしてくるスパムボットを自動でブロックできます。

6. 不審なアクセスをリアルタイムで監視する

Wordfenceの「Live Traffic」機能を使えば、リアルタイムでアクセスの状況を確認できます。
不審なIPが見つかれば、管理画面から即座にブロックも可能です。

まとめ

Wordfenceと.htaccessを活用することで、次のようなセキュリティ対策が可能になります：

• xmlrpc.phpへの攻撃をブロック
• 404攻撃を検知＆自動ブロック
• サーバーの負荷軽減とSEO保護

セキュリティ対策は「あとから」ではなく「今すぐ」が鉄則。
ぜひこの記事を参考に、WordPressサイトを安全に保ちましょう。