WordPressのbotを一括ブロックする方法! エックスサーバー+プラグイン+AIクローラー対策まで完全まとめ

サイトに覚えのないアクセスが急増している、サーバー負荷が気になる……そう感じているWordPress運営者は少なくありません。

結論から言うと、botの一括ブロックには「エックスサーバーのWAF設定」「Wordfenceなどのセキュリティプラグイン」「robots.txtへのAIクローラー拒否設定」の3つを組み合わせるのが最も効果的です。この記事では、初心者でも順番どおりに設定できるように、各対策の手順と注意点をまとめています。

この記事でわかること

・悪質botがサイトに与える具体的な被害
・エックスサーバー標準機能でできるbot対策
・WordPressプラグインを使った一括ブロック方法
・AIクローラー(GPTBot・ClaudeBot等)の拒否設定
・Cloudflareと組み合わせた多層防御の構築方法

WordPress運営のセキュリティ&安定性を底上げするなら

エックスサーバーを見てみる

国内シェアNo.1クラスの高速・安定レンタルサーバー

悪質なbotがWordPressサイトに与える被害とは

「うちのサイトはまだ小さいから大丈夫」と思っていても、botの被害はサイト規模に関係なく起きています。

悪質なbotがサイトにアクセスし続けることで、主に次のような問題が発生します。

対策なしのWordPressは常にこれらのリスクにさらされています。特に「インストール直後」「プラグイン更新を放置しているサイト」は攻撃対象になりやすいので注意が必要です。

STEP1:エックスサーバーの標準機能でbotをブロックする

エックスサーバーを使っているなら、まずサーバーパネル側の設定を済ませましょう。プラグイン不要で、管理画面から数クリックで有効化できます。

WAF(Webアプリケーションファイアウォール)を有効化する

WAFは、不正なリクエストをサーバーに届く前の段階でブロックする機能です。XSSやSQLインジェクション、ファイル改ざんを狙った攻撃を自動で遮断してくれます。

設定手順:

  1. エックスサーバーの「サーバーパネル」にログイン
  2. セキュリティ項目の「WAF設定」をクリック
  3. 「XSS対策」「SQL対策」「ファイル対策」「メール対策」「コマンド対策」「PHP対策」を全てONにする
  4. 対象ドメインを確認して保存
WAF設定後は、サイトの表示確認を必ず行ってください。特定のフォームやプラグインの動作に支障が出ることがまれにあります。その場合は一時的にOFFにして原因を切り分けましょう。

WordPressセキュリティ設定(国外IPアクセス制限・ログイン試行回数制限)

サーバーパネルの「WordPressセキュリティ設定」には、bot対策に直結する設定が3つあります。

注意点

国外IPアクセス制限をONにすると、海外からご自身のサイト管理画面にアクセスできなくなります。海外出張や旅行の際は、事前にOFFにしてから出発するようにしましょう。

エックスサーバーの設定だけで防げることの限界

サーバーレベルの対策は非常に強力ですが、国内IPを使った攻撃や、巧妙にユーザーエージェントを偽装したbotには対処できません。次のSTEPで、プラグインによる追加対策を組み合わせましょう。

STEP2:WordPressプラグインでbotを一括ブロックする

プラグインを使うと、WordPress内部でよりきめ細かくbotを識別・遮断できます。ここでは目的別に代表的なプラグインを紹介します。

Wordfence Security(総合セキュリティ・ファイアウォール)

WordPress向けセキュリティプラグインの中で最もよく使われているものの一つです。ファイアウォール、マルウェアスキャン、ブロック機能が一体化しています。

主なbot対策機能:

導入後の最初の設定:

  1. プラグインをインストール・有効化
  2. ファイアウォール最適化画面が表示されたら「.HTACCESSをダウンロード」「.USER.INIをダウンロード」でバックアップを取得してから「次へ」をクリック
  3. インストール後7〜8日間の「学習モード」が自動開始されます。この期間中はサイトの通常アクセスを学習し、正規の訪問者を誤ってブロックしないよう調整されます
  4. 学習モード終了後、「有効化」に切り替えて本格的な防御がスタートします
Wordfenceの無料版では、WAFのルール更新が30日遅れで適用されます。最新の脅威にすぐ対応したい場合は有料版(Wordfence Premium)の導入も検討してみてください。

Blackhole for Bad Bots(トラップ型ブロック)

robots.txtで「立入禁止」と明示したリンクに侵入しようとするbotをトラップして、以降のアクセスを全てブロックする仕組みです。悪質なbot特有の「robots.txtを無視する」という行動を逆手に取った巧みな対策です。

仕組み:

  1. サイトのフッターに隠しリンクを設置
  2. robots.txtでそのリンクへのアクセスを全botに禁止
  3. 禁止を無視してアクセスしてきたbotをIPアドレスごとブロック
キャッシュプラグインを使用しているサイトには非対応です。SiteGuard WP PluginやW3 Total Cacheなどと組み合わせる場合は使用を避けてください。

XO Security(エックスサーバー推奨・スパム対策)

エックスサーバーが自社サイトで紹介している国産のセキュリティプラグインです。コメントフォームへのbot投稿対策として、ひらがなCAPTCHA認証を設定できるのが特徴です。海外製botはひらがなを解析できないため、突破されにくいとされています。

エックスサーバー標準のコメント・トラックバック制限と併用しても問題ありません

Akismet(スパムコメント専用フィルター)

WordPressを提供するAutomattic社が開発したスパムフィルタープラグインで、WordPress初期インストール時から同梱されています。コメントフォームへのbot投稿を自動識別・除去してくれます。個人ブログなら無料で使えますが、商業目的のサイトは有料ライセンスが必要です(調査時点の情報)。

STEP3:robots.txtでAIクローラーを一括ブロックする

近年急増しているのが、AIのデータ収集を目的としたクローラーです。ChatGPTのGPTBotやAnthropicのClaudeBot、Google-Extendedなどがサイトを巡回して記事コンテンツを収集しています。

これらは通常の悪質botとは異なり、robots.txtの設定を尊重するものがほとんどです。つまり、robots.txtに拒否設定を追加するだけで対処できます。

ただし、robots.txtの記述はあくまで「お願い」であり、悪質なbotが無視する可能性があります。AIクローラーの大半は協力的ですが、完全なブロックではない点を理解した上で設定してください。

WordPressでrobots.txtを編集する方法

WordPressのrobots.txtは最初は仮想ファイルとして自動生成されます。編集するには、SEOプラグイン経由か、FTPでの物理ファイル設置のどちらかで行います。

「XML Sitemap & Google News」プラグイン経由での編集手順:

  1. WordPress管理画面の「設定」からrobots.txtの設定画面にアクセス
  2. 以下のコードを追記して保存
# ChatGPT関連クローラーをブロック
User-agent: GPTBot
Disallow: /

User-agent: ChatGPT-User
Disallow: /

# ClaudeBot(Anthropic)をブロック
User-agent: ClaudeBot
Disallow: /

# Google AIクローラーをブロック
User-agent: Google-Extended
Disallow: /

# Microsoft Copilot関連をブロック
User-agent: BingPreview
Disallow: /

# Common Crawlをブロック
User-agent: CCBot
Disallow: /

# 広告・マーケティングbotをブロック
User-agent: AdsTxtCrawler
Disallow: /

# WordPress管理画面へのクロールを制限
Disallow: /wp-admin/
Allow: /wp-admin/admin-ajax.php

# Cloudflare関連の誤アクセス対策
Disallow: /cdn-cgi/
チェックポイント

設定後は必ず https://あなたのドメイン/robots.txt にアクセスして、追記内容が反映されているか確認してください。既存の設定が消えていないかも合わせてチェックしましょう。

プラグインで手軽にAIクローラーをブロックする方法

robots.txtの直接編集が難しい場合は、専用プラグインを使う方法もあります。

STEP4:Cloudflareと組み合わせて多層防御を構築する

より強固なbot対策を求めるなら、Cloudflareをエックスサーバーの前段に配置する「二重の壁」構成がおすすめです。

CloudflareはCDN(コンテンツ配信ネットワーク)として有名ですが、無料プランでも強力なbot対策機能を利用できます。

Cloudflareでできるbot対策

Cloudflareを導入するにはドメインのネームサーバーをCloudflare指定のものに変更する作業が必要です。また、導入後はエックスサーバー側から見たアクセス元のIPがすべてCloudflareのIPに変わるため、WordPressプラグインでIPアドレス制限を行っている場合は設定の調整が必要になります。

エックスサーバー+Cloudflare構成のメリット整理

この4層を組み合わせることで、単体対策では難しかった「多様な種類のbot」への包括的な対処が可能になります。

サーバー選びからbot対策を強化するなら

エックスサーバーは、WAF・国外IPアクセス制限・ログイン試行回数制限などのセキュリティ機能を標準搭載しています。初心者でもサーバーパネルからクリックだけで設定でき、プラグインに頼らないサーバーレベルの防御が手軽に実現できます。

エックスサーバーの詳細を見る

10日間無料お試し期間あり(調査時点の情報)

botブロックの設定後に確認すべきこと

対策を施した後は、設定が正しく機能しているか・正規の訪問者がブロックされていないかの確認が必要です。

海外出張・旅行前には「国外IPアクセス制限」を一時OFFに。OFFにしないと、渡航先からWordPressの管理画面にアクセスできなくなります。帰国後は必ずONに戻しましょう。

botブロックに関するよくある質問

Q. Wordfenceを入れればWAF設定は不要ですか?
A. 別々のレイヤーで機能するため、両方設定するのがおすすめです。エックスサーバーのWAFはサーバーレベル(WordPressの処理が始まる前)で遮断し、WorkdfenceはWordPress内部で動作します。二重構造になるため、どちらかだけより防御力が高まります。

Q. robots.txtでAIクローラーをブロックすると、SEOに悪影響はありますか?
A. Googlebotや一般の検索エンジンクローラーを誤ってブロックしない限り、SEOへの影響はありません。Google-ExtendedはAI学習専用のクローラーであり、通常の検索インデックスに使われるGooglebotとは別です。ただし設定後はサーチコンソールで確認することをおすすめします。

Q. Cloudflareは無料で使えますか?
A. bot対策の基本機能は無料プランの範囲内で利用できます(調査時点の情報)。ただし、導入にはネームサーバーの変更作業が必要です。

Q. 複数のセキュリティプラグインを同時に入れても大丈夫ですか?
A. 同種の機能(ファイアウォールなど)を持つプラグインを複数導入すると、干渉してサイトが表示されなくなるケースがあります。役割が異なるプラグインの組み合わせ(例:Wordfence+Akismet)なら問題ないことがほとんどです。導入後は必ずサイト全体の動作確認をしてください。

まとめ:botの一括ブロックは多層防御が基本

WordPressへの悪質なbot対策は、1つの方法だけでは不十分です。サーバーレベル・プラグインレベル・クローラーポリシーの3層を組み合わせることで、はじめて包括的な防御が実現します。

優先度の高い順にまとめると、次のとおりです。

  1. エックスサーバーのWAF・WordPressセキュリティ設定をONにする(最優先・無料)
  2. Wordfenceプラグインを導入してファイアウォールを最適化する
  3. robots.txtにAIクローラー拒否設定を追加する
  4. 余裕があればCloudflareを前段に配置して多層防御を完成させる

特にエックスサーバーを使っているなら、サーバーパネルから数クリックで有効化できる機能が揃っているので、まずそこから着手するのが一番の近道です。

安定したWordPress運営の土台をつくるなら

エックスサーバーの公式サイトを見る

月額990円〜・初期費用無料(調査時点の情報)

コメント