当サイトはMixhostというレンタルサーバーでWordPressを使って運営しているのですが、以前サイトの編集中にreCAPTCHAの画像認証が突然出ました。
はじめは“何事!?ハッキングか!”と思ったのですが、調べてみると画像認証はサーバーにプリインストールされているセキュリティソフトによるものでした。
自分のIPアドレスがブロックされて「403ページ&画像認証ページ」が出た時の参考にどうぞ。
画像認証を出しているのはImunify360というセキュリティソフトでした。
この記事の目次
WordPressで画像認証ページ(reCAPTCHA)が出る
WordPressサイトで記事のプレビューを行った時や、コメントを返信しようとした時にreCAPTCHA(リキャプチャ)による画像認証ページが出ることがあります。
自分のIPアドレスがブロックされて「403 Forbidden」ページが表示され、画像認証テストを行ってブロックを解除する必要があるといった感じです。
画像認証をクリアした時点でIPブロックは解除されるのですが、いきなり表示されるreCAPTCHAに抵抗がある人も少なくないと思います。
画像認証が出る原因は「Imunify360」
画像認証ページが英語だという事もあり、初めて見た時はナニコレ!?と非常に不安になりますが、この画像認証ページはサーバーのセキュリティソフトによって出されていることが殆どです。
当サイトはMixhostというレンタルサーバーを使っていますが、Mixhostのサーバーにはあらかじめ「Imunify360」というセキュリティ対策ソフトが標準装備されており、このソフトによって画像認証が出ることがあるという感じでした。
画像認証ページの下部には以下のような説明もあります。
Proudly powered by LiteSpeed Web Server
Please be advised that LiteSpeed Technologies Inc.is not a web hosting company and, as such, has no control over content found on this site.
【日本語訳】
LiteSpeed Web Serverが提供する誇らしいサービスです。
LiteSpeed Technologies Inc.はWebホスティング会社ではないため、このサイトにあるコンテンツを管理することはできません。
なので、突然reCAPTCHAが出た時は気にせず画像認証をクリアすればOKです。
今回はMixhostのLiteSpeedサーバーでしたが、他のレンタルサーバー会社でもこの手のセキュリティ対策ソフトを使っているところは多いはずです。
Mixhost(共有サーバー)では「Imunify360」の機能を停止することはできませんが、その中の「ModSecurity」についてはON/OFFの切り替えが出来ました!
「ModSecurity」を一時的にオフにすれば403や画像認証を回避することができるので、Mixhostをお使いの方は上記の関連記事を参考にどうぞ。
Mixhostのヘルプ&サポートにも情報がある
当記事では「Imunify360」については割愛しますが、調べるとMixhostの公式サイトにも情報がありました。
mixhostでは、お客様のサーバーアカウントを悪意ある攻撃から保護するため、AI技術を使用して様々な攻撃から保護を行なっております。
しかしながら、例えばお客様が複数回ログイン情報を間違えて入力するなど悪意がない場合においても、保護機能が動作し、Protected by Imunify360が表示される場合がございます。(~後略~)
なお、どうしてもreCAPTCHAで自分のIPアドレスのブロックを解除できない場合は、自分のIPアドレスとMixhostの登録情報を添えてサポートに問い合わせることで対応していただけるようです。覚えておきましょう!
WordPressにおけるImunify360の補足情報
最後に今まで当サイトで確認できた情報です。
画像認証(reCAPTCHA)は自分だけに表示される
まず、Imunify360が出す画像承認ページですがこれは自分だけに表示されるものとなります。自分のIPアドレスが怪しまれて一時的にブロックされている感じですね。
自分が画像認証中でもサイト訪問者の方には表示されていませんのでご安心を。
画像認証が出るタイミング
当サイトの場合、画像認証が表示されるタイミングはサーバーを操作できる文字列をプレビューしたり、投稿しようとした時にreCAPTCHAが表示されました。
こんな文字列は弾かれるかも
- 「RewriteEngine」や「RewriteRule」などの文字も引っかかることがある
- 普段よく使うIPと異なる場所(PC)でWordPressにログインした場合?
- 記事や送信する内容に「.htaccess」が含まれる場合?
Imunify360は機械学習(AI)を元にしたブロックルールも構築して適応いるらしく、弾かれるタイミングはまちまちみたいです。
経験上はサイトの挙動を操作できるリダイレクトなどのプログラムを記事やコメント欄にべた書きしようとすると、Imunify360に怪しまれるようです。
まとめ
以上、WordPressサイトを操作中に画像認証ページ(reCAPTCHA)が突然出る原因と対処法についてでした。
普通のブログならお目にかかる事は少ないと思いますが、IT系のサイトでプログラムのコードを書いている場合なんかだと結構よく出ると思います...。
余談ですが「Imunify360」は普通に使おうとすると有料なんだとか...
Mixhostにはこんな優秀なソフトが初めから無料で入っているんですねぇ・w・