最終更新日:2026年4月14日 at 6:10 PM
* このページは、常時更新中です。
本サイトに設置したPerlのアクセス解析プログラムのログと WordPress のプラグイン NewStatPress(現在は WP Statistics に変更)の分析結果を調査しました。
その結果、相変わらず、自身をBOTと名乗らない迷惑BOTから大量のアクセスがある事が確認できました。
そのBOTについてですが、当サイトでは以下のような種類を確認しています。
(1) 手当たり次第に掲示板やコメントフィールドへ商品の宣伝を書き込む「SPAM・BOT」
⇒ “Google No CAPTCHA reCAPTCHA” (現在は、reCAPTCHA v3 へ移行済)により、全てガードされています。
(2) WordPress へのログインを試みる「ハッキングBOT」(Brute Force Attack)
⇒ “Google No CAPTCHA reCAPTCHA” により、全てガードされていますし、更に、強固なパスワードに変更していますので、まず大丈夫でしょう。
* 4月20日 追記
その後、更にログ解析を進めた結果、ログイン名とパスワードを WordPress の xmlrpc.php へ送信する方法で、裏口からの侵入を試みる多数のハッキングサイトを確認しました。 因って、そのIPアドレスを本日ブロックしました。
(3) プラグインの脆弱性を利用し、記事の書き換えを試みる「ハッキングBOT」
⇒ 当該プラグインは当サイトでは使用していません。なお、当サイトでは、プラグイン「Revslider」等へのアタックを確認しています。 ⇒ wp-config.php を閲覧することで、彼らはDBやWebサイトへの侵入を企んでいます。
これらのアタックサイトに関しては、Windows XP や Windows 2000 等のセキュリティが脆弱なPCやWebサイトがウィルスに感染し、それを踏み台にして邪悪なBOTへと変貌している可能性が考えられます。
個別のIPアドレス制限
上記の調査結果を踏まえ、これ以上、悪質なBOTの行為を許す事が出来なくなりましたので、この度、特に悪質なBOTへの大規模なアクセス制限を実施しました。
以下は、Apache の「.htaccess」に追記した当サーバーへのアクセス拒否設定の一部です。
* 2018年4月10日時点において、合計で441個のIPアドレスを昇順に定義しています。
# Denial of Access (Last modified - 2015/5/9)
order allow,deny
allow from all
deny from 144.76.0.0/16 # clients.your-server.de (Germany-SPAM)
deny from 148.251.0.0/16 # static.177.26.76.144.clients.your-server.de
deny from 5.9.146.29 # static.29.146.9.5.clients.your-server.de
deny from 94.23.40.23 # crawl15.lp.007ac9.net (your-server.de)
deny from 94.23.54.140 # France-Hacking site
deny from 94.23.59.161 # France-Hacking site
deny from 94.131.0.0/16 # AVK-NET (Russia-Hacking site)
deny from 193.104.41.0/24 # Moldova Hacking site (pinspb.ru Russia)
deny from 46.161.62.0/24 # Kazakhstan Network (pinspb.ru Russia-SPAM)
deny from 46.161.63.0/24 # Moldova Network (pinspb.ru Russia-SPAM)
deny from 195.154.0.0/17 # poneytelecom.eu (France-SPAM)
deny from 62.210.128.0/17 # 62-210-177-242.rev.poneytelecom.eu
deny from 213.186.33.0/24 # ip-198-27-82.net (France-SPAM)
deny from 37.187.0.0/16 # ns3371997.ip-37-187-93.eu (France-SPAM)
deny from 192.99.0.0/16 # ip-192-99-10.net (Canada-SPAM)
deny from 142.54.161.130 # Canada-SPAM
deny from 142.54.160.106 # Canada-SPAM
deny from 142.54.184.181 # Canada-SPAM
deny from 198.27.82.152 # ns4006763.ip-198-27-82.net (Canada-SPAM)
deny from 162.244.12.179 # US-SPAM
deny from 69.30.255.130 # US-SPAM
deny from 76.164.192.43 # US-SPAM
deny from 184.168.152.208 # US-Hacking Site
deny from 83.139.191.22 # UK-Hacking site
deny from 108.59.8.80 # hosted-by.leaseweb.com (US-SPAM)
deny from 36.248.160.0/17 # China fujian provincial network (SPAM)
deny from 183.192.0.0/11 # China Mobile Communications (SPAM)
deny from 110.89.37.87 # CHINANET FUJIAN PROVINCE NETWORK (SPAM)
deny from 183.207.228.14 # China-SPAM
deny from 192.151.154.82 # Unknown-SPAM
deny from 192.187.96.0/19 # US - Hacking Site
deny from 212.109.32.11/26 # sovam.net.ua (Ukraine-SPAM)
deny from 46.118.0.0/16 # sovam.net.ua (Ukraine-Hacking site)
deny from 37.115.128.0/17 # broadband.kyivstar.net (Ukraine-Hacking site)
deny from 94.153.0.0/17 # Ukraine - Plugin "WP All Import" Attack site
deny from 109.104.168.81 # Ukraine-Hacking site
deny from 109.108.246.42 # Ukraine-Hacking site
deny from 77.120.121.201 # Ukraine-Hacking site (plasma.co.ua)
deny from 5.248.128.0/17 # 5-248-239-242-broadband.kyivstar.net (SPAM)
deny from 134.249.0.0/16 # 134-249-140-218-gprs.kyivstar.net (SPAM)
deny from 178.137.0.0/16 # kyivstar.net (SPAM)
deny from 195.211.152.0/22 # Ukraine-SPAM
deny from 195.154.188.74 # France-SPAM
deny from 188.163.76.0/24 # sol-fttb.23.76.163.188.sovam.net.ua
deny from 188.163.77.0/24 # sovam.net.ua (Ukraine-SPAM)
deny from 80.93.113.38 # Ukraine-Hacking site
deny from 193.201.224.0/19 # Ukraine-SPAM
deny from 46.151.52.0/22 # Ukraine-SPAM
deny from 31.184.236.0/24 # Latvia-SPAM
deny from 31.193.196.0/24 # Latvia-SPAM
deny from 91.200.12.0/22 # Ukraine-SPAM
deny from 91.207.7.158 # Ukraine-SPAM
deny from 176.36.80.39 # host-176-36-80-39 (Ukraine-SPAM)
deny from 176.109.182.19 # Ukraine-SPAM
deny from 94.22.0.0/20 # Anvia (Finland-BOT)
deny from 114.44.170.172 # Australia-SPAM
deny from 166.62.36.66 # US-Hacking site
deny from 45.59.27.155 # US-SPAM
deny from 104.255.67.238 # US-BOT (VolumeDrive)
deny from 59.115.170.243 # TAIWAN-SPAM
deny from 23.232.143.19 # Unknown-SPAM
deny from 192.240.201.160 # Unknown-SPAM
deny from 118.168.198.179 # Unknown-SPAM
deny from 204.195.139.6 # Unknown-SPAM
deny from 91.214.44.153 # lu-customer-ip.as51430.net
deny from 67.215.237.98 # n6-losangeles-us.samknows.com
deny from 112.175.184.0/24 # Korea - Plugin "Revslider" Attack site
deny from 78.20.76.230 # Germany-Hacking site
deny from 188.40.138.214 # Germany - Plugin "Revslider" Attack site
deny from 3.19.41.74 # Unknown-Hacking site
deny from 23.19.41.74 # Plugin "Revslider" Attack site
deny from 62.210.113.121 # Plugin "Revslider" Attack site
deny from 93.188.165.166 # xmlrpc.php Attack site
deny from 195.220.216.12 # France - xmlrpc.php Attack site
deny from 185.3.32.20 # Unknown-Hacking site
deny from 176.119.109.177 # Unknown-Hacking site
deny from 81.163.119.20 # Unknown-Hacking site
deny from 109.188.124.27 # Russia-Hacking site
deny from 52.10.157.134 # US-Hacking site
deny from 179.43.117.234 # Unknown-Hacking site
deny from 31.193.141.19 # Plugin "Revslider" Attack site
deny from 193.246.63.31 # Switzerland - Plugin "Revslider" Attack site
deny from 91.142.223.95 # Plugin "Revslider" Attack site (Spain)
deny from 91.142.252.91 # Plugin "Revslider" Attack site
deny from 104.148.44.39 # Plugin "FCKEditor for WordPress" Attack site
deny from 80.82.65.82 # Plugin "FCKEditor for WordPress" Attack site
deny from 5.101.156.0/24 # xmlrpc.php Attack site
deny from 5.101.157.0/24 # Russia - Plugin "Revslider" Attack site
deny from 80.237.251.203 # Germany - Plugin "Revslider" Attack site
deny from 211.200.192.54 # Korea - Plugin "Revslider" Attack site
deny from 188.143.232.0/24 # Russia - SPAM (LeonLundberg-net)
deny from 188.143.234.0/24 # Russia - SPAM (ToussaintDesaulniers-net)
deny from 72.18.205.234 # US - Plugin "Revslider" Attack site
deny from 118.170.33.3 # Plugin "MiwoFTP" Attack site
deny from 188.165.0.0/16 # France - Plugin "Revslider" Attack site
deny from 95.110.202.57 # Plugin "Revslider" Attack site
deny from 95.110.232.43 # Plugin "Revslider" Attack site
deny from 92.100.143.41 # Russia-Hacking site
deny from 85.25.109.90 # Germany - Plugin "Revslider" Attack site
deny from 89.130.171.6 # Plugin "Revslider" Attack site
deny from 194.54.160.9 # Russia-Hacking site
deny from 46.241.242.30 # Armenia-Hacking site
deny from 46.200.221.11 # pool.ukrtel.net - Hacking site
deny from 217.69.133.13 # Russia-Hacking site
deny from 37.59.47.101 # France - Plugin "Revslider" Attack site
deny from 91.121.136.67 # France - Hacking site
deny from 162.209.48.30 # Unknown-Hacking site
deny from 112.148.213.96 # Plugin "BackupBuddy" Attack site
deny from 2.132.204.182 # Bitrix Site Manager Attack site
deny from 79.170.44.93 # UK - Plugin "Revslider" Attack site
deny from 182.118.0.0/16 # 中国迷惑BOT (hn.kd.ny.adsl)
deny from 59.173.148.207 # China - Plugin "FCKEditor" Attack site
deny from 171.113.176.0/24 # Plugin "FCKEditor" Attack site
deny from 111.172.99.227 # Plugin "FCKEditor" Attack site
deny from 185.23.21.11 # Transposh Hacking site
deny from 109.197.72.51 # Russia-SPAM
deny from 37.59.0.0/16 # ovh.net France-Hacking site (37.59.1.10)
deny from 213.251.128.0/18 # ovh.net France-Hacking site (213.251.182.110)
deny from 167.114.116.195 # US - Hacking site
deny from 183.60.244.49 # China - Hacking site
deny from 186.202.127.0/24 # Plugin "Revslider" Attack site
# 以下略
これで、BOTで賑わっていた当サイトがかなり静かになりました。 (笑)
【アクセス制限について】
アクセス解析の結果、ApacheによるIPアドレスからホスト名への逆引きが不可能なケースを散見しましたので、ホスト名ではなく、全てIPアドレスの記述により、アクセス制限を実施しました。
例として、以下のように複数のIPアドレスを使って攻撃してくるBOTについては、IPのサブネットマスクを指定する事で対象IPを纏めて拒否するよう設定しました。
195-154-188-41.rev.poneytelecom.eu 195.154.188.41 195-154-173-141.rev.poneytelecom.eu 195.154.173.141 195-154-189-155.rev.poneytelecom.eu 195.154.189.155 195-154-191-162.rev.poneytelecom.eu 195.154.191.162 195-154-188-224.rev.poneytelecom.eu 195.154.188.224
【サブネットマスクの指定方法について】
これ以降、情報処理技術者の方は読み飛ばして下さって結構です。
迷惑BOTの疑いのあるホスト名またはIPアドレスを以下のwhoisデータベースのサイトで、サーバー情報を取得します。
実例として、「195.154.188.41」を検索します。
その結果、以下のように当該ネットワークが使用するIPアドレスの範囲が確認出来ます。
inetnum: 195.154.128.0 – 195.154.255.255
これを二進数に展開します。
11000011 10011010 10000000 10000000
11000011 10011010 10000000 10000001
11000011 10011010 10000000 10000010
11000011 10011010 10000000 10000011
・
・
・
11000011 10011010 11111111 11111110
11000011 10011010 11111111 11111111
これで、上位17bitが固定で、下位15bitが可変である事が解ります。
よって、上位17bitを固定するためのサブネットマスクは、以下のように表記出来ます。
11111111 11111111 10000000 00000000
対象IPアドレスに対し、このサブネットマスクと二進数の論理積の演算結果の値が一致すれば、制限IPアドレスという事になります。
このサブネットマスクは、「.htaccess」の中で以下のように記述します。
195.154.0.0/17
または
195.154.0.0/255.255.128.0
未だ全てのBOTを排除していないので、小さなBOTは居ますが、以前よりはかなり静かになった感じがします。
以下は、BOTへのアクセス制限を行った後におけるPerlのアクセス解析プログラムのモニター画面です。
*4月9日 追記
念のため、ログイン画面への総当たり攻撃を防御するためのプラグイン「Jetpack-Protect」も本日有効にしておきました。
*9月18日 追記
先日、韓国からのDOSアタックやウクライナからのSPAMアタックを受け、サーバがダウンしたため、「.htaccess」を更新しました。以下の記述はその一部です。
deny from 121.160.0.0/11 # Korea DOS Attack Site
deny from 121.189.37.15 # Korea SPAM site
deny from 46.119.121.0/24 # Ukraine SPAM site
deny from 78.137.32.0/19 # Ukraine SPAM site
deny from 93.76.64.0/20 # Ukraine DOS Attack site
deny from 111.172.97.115 # China SPAM site
deny from 111.172.104.138 # China SPAM site
deny from 169.54.143.212 # static.reverse.softlayer.com
deny from 192.0.64.0/18 # US SPAM site
deny from 204.12.241.170 # depictionorganizers.com
deny from 216.244.82.0/24 # tnxe.sessionall.com
なお、以下に示す robots.txt の定義(一部分にみ掲載)においても、迷惑BOTからのアクセスを拒否しています。
因みに、SteelerとShim-Crawler は、東京大学の研究室から来るクローラです。現時点において、百度の一部のクローラーはアクセスを許可しています。
User-agent: DotBot
Disallow: /
User-agent: SemrushBot
Disallow: /
User-agent: MJ12bot
Disallow: /
User-agent: AhrefsBot
Disallow: /
User-agent: BLEXBot
Disallow: /
User-agent: Yandex
Disallow: /
User-agent: baiduspider
Allow: /
User-agent: BaiduMobaider
Allow: /
User-agent: BaiduImagespider
Disallow: /
User-agent: baiduspider-image
Disallow: /
User-agent: baiduspider-video
Disallow: /
User-agent: 360Spider
Disallow: /
User-agent: hn.kd.ny.adsl
Disallow: /
User-agent: spider
Disallow: /
User-agent: YoudaoBot
Disallow: /
User-agent: Mail.RU_Bot
Disallow: /
User-agent: ltx71
Disallow: /
User-agent: SemrushBot
Disallow: /
User-agent: LSSRocketCrawler
Disallow: /
User-agent: LinqiaScrapeBot
Disallow: /
User-agent: Wotbox
Disallow: /
User-agent: Steeler
Disallow: /
User-agent: Shim-Crawler
Disallow: /
*9月26日 追記
アクセスログの解析から、WordPress のピングバック機能を利用したDDOS攻撃の形跡も確認しましたので、本サイトのピングバック機能を無効に設定しました。
参考記事は、こちら ⇒ 注意喚起:WordPressの機能を悪用したDDoS攻撃対策のお願い
プラグイン「Disable XML-RPC Pingback」をインストールする事でピングバック機能を無効にし、更に、「.htaccess」に以下の定義を追加し、リモート投稿プログラム「xmlrpc.php」へのアクセスも禁止に設定しました。*
* 2020.04.01 追記
以下の定義ならびに、プラグイン「Disable XML-RPC Pingback」を有効にすると、Jetpack と WordPress との連携が切れ、Jetpack のサイトヘルスステータスにおいて、”致命的な問題(エラー200)”が表示されるようになります。
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
2018.04.10 追記
Amazon の AWS を利用した大量のスパムアクセスがあり、IPアドレスで拒否しても、しつこくまた別のIPアドレスでやって来るため、以下の通りドメイン指定でアクセス拒否しました。
order deny,allow
allow from all
deny from amazonaws.com
2020.05.11 更新 / 2025.09.11 追記
Amazon の AWS からのアクセスを拒否しているため、一部のクローラーやWebサイトからアクセスができない事でサイト運営に支障が生じたため、現在、amazonaws.com へのアクセス制限を解除しています。
後に分かった事ですが、Jetpack のクローラーの一部が AWS を使用しているため、AWS の全てのアクセスを拒否すると、WordPress と Jetpack との連携に不具合が生じます。Jetpack のクローラーが使用する IP アドレスの使用範囲については、WordPress のフォーラムを通じ、Automattic社より確認しています。
2023.03.06 追記
セキュリティ強化のため、現在以下の Solid Security(旧称: iThemes Security) プラグインをインストールし運用しています。
Solid Security は、ブルートフォースアタック、禁止ユーザー設定、ロックアウト、サイトスキャン、2要素認証(2FA)、違反を繰り返すユーザーの永久ブロック、ファイル変更の検出、他、多くのセキュリティ機能が提供されます。
2025.09.11 追記
Facebook の投稿をシェアする場合、以下のように、robots.txt にて Facebook のクローラーからのアクセスを許可する必要があります。
User-agent: facebookexternalhit
Allow: /
User-agent: meta-externalagent
Allow: / 2026.04.13 追記
Gemini の監修によりアクセス制限を強化
本記事の冒頭に記載した個別のIPアドレス制限(deny from 2.132.204.182 などのリスト)につきましては、2023年1月が最終更新日となっており、攻撃者のIPアドレスはすでに変わっている可能性が高いです。
現在、セキュリティを強化するための WordPress プラグイン(Solid Security など)が稼働しており、こうした「手動のIPブロック」を削除しても、プラグイン側が自動で新しい攻撃を防いでくれるため、不要であるとのことで、Google AI (Gemini ) の監修により、以下のように修正しました。
# --- クローラー・悪質ボットの拒否設定 ---
<IfModule mod_setenvif.c>
# robots.txtにも記載したボット+追加分
SetEnvIfNoCase User-Agent "DotBot" denybot
SetEnvIfNoCase User-Agent "SEOkicks" denybot
SetEnvIfNoCase User-Agent "nbot" denybot
SetEnvIfNoCase User-Agent "YisouSpider" denybot
SetEnvIfNoCase User-Agent "DataForSeoBot" denybot
SetEnvIfNoCase User-Agent "ClaudeBot" denybot
SetEnvIfNoCase User-Agent "SemrushBot" denybot
SetEnvIfNoCase User-Agent "AhrefsBot" denybot
SetEnvIfNoCase User-Agent "MJ12bot" denybot
SetEnvIfNoCase User-Agent "BLEXBot" denybot
</IfModule>
<Limit GET POST>
Order Allow,Deny
Allow from all
# ボットを拒否
Deny from env=denybot
# 特定のホスト・IPを拒否
Deny from .binance.com
Deny from .bc.googleusercontent.com
Deny from .nationinternet.net
</Limit>ご参考までに、今回の “.htaccess” の最適化に関して、Gemini によるアドバイスを以下に掲載します。
ご提示いただいた
.htaccessを確認しました。
かなり整理のしがいがある状態ですが、消していいものと慎重に扱うべきものがはっきり分かれています。結論から言うと、一番下の「IPアドレスが羅列されている部分」の多くは、現在では別の方法で対処したり、削除したりしても問題ない可能性が高いです。
以下に整理のアドバイスをまとめました。
1. 【削除OK】個別のIPアドレス制限(後半部分)
deny from 2.132.204.182などのリストです。
- 理由: 2023年1月の最終更新となっており、攻撃者のIPアドレスはすでに変わっている可能性が高いです。
- アドバイス: もし現在、WordPressのプラグイン(Solid Securityなど)が動いているのであれば、こうした「手動のIPブロック」は削除しても、プラグイン側が自動で新しい攻撃を防いでくれます。
2. 【検討が必要】ドメイン・ホスト名制限
deny from .bc.googleusercontent.comdeny from binance.comdeny from nationinternet.net
これらは特定のクラウドやサービスからの機械的なアクセスを一括で止めています。削除すると、GCP(Google Cloud)などを使ったボットがサイトを巡回し始めるため、「アクセス解析にゴミデータが増えるのが嫌」であれば残しておくのが無難です。3. 【残すべき】Solid Security と WP Fastest Cache のブロック
# BEGIN Solid Securityから# END LBCWpFastestCacheまでの部分は、プラグインが正常に動作するために必要な設定です。
- 理由: ここを消すと、セキュリティ機能(システムファイルの保護など)やサイトの高速化(キャッシュ機能)が効かなくなります。
- アドバイス: ここは触らずにそのまま残してください。
4. 【残すべき】User-Agent による制限
apache
SetEnvIfNoCase User-Agent "DotBot" denybot ... deny from env=denybotコードは注意してご使用ください。
- 理由:
ClaudeBot(AIの学習用)やDotBot(SEO分析用)など、サーバーに負荷をかけるクローラーを狙い撃ちして止めています。これらは現在も活動しているため、残しておいたほうがサーバー負荷を低く保てます。
おすすめの整理手順
- バックアップ: 今の
.htaccessを必ず手元に保存する。- 一掃する:
deny from 2.132.204.182から下の、数字(IPアドレス)だけの行をすべて削除する。- 様子を見る: 数日間運用して、スパムコメントが急増したり、サイトが重くなったりしなければ、そのままの状態でOKです。
もし「IPアドレスの部分を全部消すのは不安」ということであれば、「2023年以前の古い記述だけ消す」という切り分けもアリです。
まずは「IPアドレスの羅列部分」をすべて削除してみますか?それとも、特定の行だけ残したいなどの希望はありますか?
Senri >2でやってみます
了解しました!「2. ドメイン・ホスト名による制限」を残して、膨大なIPアドレスの羅列部分(数字の行)を削除するということですね。スッキリ整理した後の、
.htaccessの末尾部分は以下のようになります。修正後の末尾イメージ
apache
# --- クローラー・悪質ボットの拒否設定 --- <IfModule mod_setenvif.c> # robots.txtにも記載したボット+追加分 SetEnvIfNoCase User-Agent "DotBot" denybot SetEnvIfNoCase User-Agent "SEOkicks" denybot SetEnvIfNoCase User-Agent "nbot" denybot SetEnvIfNoCase User-Agent "YisouSpider" denybot SetEnvIfNoCase User-Agent "DataForSeoBot" denybot SetEnvIfNoCase User-Agent "ClaudeBot" denybot SetEnvIfNoCase User-Agent "SemrushBot" denybot SetEnvIfNoCase User-Agent "AhrefsBot" denybot SetEnvIfNoCase User-Agent "MJ12bot" denybot SetEnvIfNoCase User-Agent "BLEXBot" denybot </IfModule> <Limit GET POST> Order Allow,Deny Allow from all # ボットを拒否 Deny from env=denybot # 特定のホスト・IPを拒否 Deny from .binance.com Deny from .bc.googleusercontent.com Deny from .nationinternet.net </Limit>コードは注意してご使用ください。
作業のポイント
deny from 86.42...以降の数字で始まる行をすべて削除してください。- これにより、特定のサービス(GCPやBinanceなど)からの広範囲なブロックは維持しつつ、管理不能な個別のIPリストを断捨離できます。
- もし削除後に、海外からのスパムコメントが急増するようなら、それは個別のIPブロックが効いていた証拠ですので、その時に改めて「プラグイン(Solid Securityなど)での自動ブロック」に任せる設定を確認しましょう。
作業完了後、サイトの表示(特に画像やCSSが崩れていないか)を一度確認してみてください。
この設定で得られる効果
- 悪質ボットの遮断: SEOツール系や負荷の高い海外クローラー(Ahrefs, Semrushなど)をサーバーレベルで弾き、リソースを節約できます。
- 不審なホストの拒否: 指定したドメイン(binance.comなど)からのアクセスを物理的に遮断します。
- セキュリティの共存: Solid Securityの保護機能と、ご自身で追加した拒否リストが干渉せず、両方正しく機能します。
何か表示に違和感が出たり、特定のツールが動かなくなったりしたら、すぐに教えてくださいね。
robots.txt の設定変更
セキュリティ強化の一環として、robots.txt も更新しました。設定内容はこちら → robots.txt の設定変更について
robots.txt(ロボット テキスト)とは、GoogleやBingなどの検索エンジンクローラーに対し、Webサイト内のどのページをクロール(巡回)し、どのページをインデックス(登録)しないかを指示するテキストファイルです。以下に robots.txt の主なポイントを Google AI から引用します。
主なポイント
- 設置場所: ApacheなどのWebサーバーのドキュメントルート(通常は
/var/www/htmlなど)の直下に設置します。- 役割: 検索ロボットにサイト内の巡回制限を設け、不要なページが検索結果に表示されるのを防ぎます。
- サーバー負荷軽減: サーバーへのアクセス頻度が高いクローラーの動作を管理し、負荷を軽減します。
- 記述内容:
User-agent(クローラー名)とDisallow(アクセス禁止URL)を用いて記述します。適切に設定することで、重要でないコンテンツのインデックスを避け、サイトのクロール効率を向上させることができます。
2026.04.14 追記
WAF 設定
セキュリティ上の観点において、海外からの不正ログインをブロックする目的で、サーバー側のWAF(ファイアウォール)の設定は有効にしておくことをお勧めします。
コアサーバー(V1 )を利用している場合は、「WordPressログイン制限(海外IPからのアクセス制限)」をONにします。なお、WAFがONの場合、Jetpack Boost の一部の機能「JS を連結する」が正常動作しなくなるため、その場合は一時的にWAFをOFFにするか、他のキャッシュプラグイン(WP Fastest Cache など)を使用することをお勧めします。
アクセス解析のCGIプログラムを交換(Geminiがひな形を作成)
これまで使用していた不正アクセスをインスタントに検知するための Perl で作成されたアクセス解析のCGIプログラムですが、1998年に開発され、2006年に私がカスタマイズしたものでした。
そのCGIプログラムは、Excel からログファイルを日付単位で読み込めたりして高機能なのは良いのですが、最早時代遅れの Shift-JIS ベースで作成されており、実行時に外部モジュール「jacode.pl」をインクルードし、ホスト名の逆引きAPI(gethostbyaddr)もコールしているため、大きなサーバーの負担となっていました。
そこで、システム最適化の一環として、Gemini に超軽量CGIプログラムのプロトタイプを単一のPerlプログラムで作成するよう依頼しました。このプロトタイプはUTF-8でエンコードされ、従来のCGIの最小限の機能を維持し、ホスト名の処理は管理画面側で行い、アクセス時にホスト名の逆引き検索は行わないものとします。
何度もAIとやり取りとテストを繰り返した結果、なんとか出来上がったプロトタイプを当方にて「%表示」の機能追加など、適切なカスタマイズを行い完成させ、この新しいアクセス解析のCGIプログラムに交換しました。
