ノウハウ
[エンジニア向け]

WordPress xmlrpc.phpに対する攻撃を防ぐ

ノウハウ
WordPress

こんにちは。

EX-CLOUDのサービスでは、Pleskをご利用いただくと、クリック操作のみでWordPressをインストールすることができます。
ですので手軽に、簡単にブログを公開することができます!

・インストールガイド
WordPress【RSシリーズ】
WordPress 【Plesk11】

ですが、WordPressに標準的に搭載されている「xmlrpc.php」というファイルがあり、そのファイルに集中的にアクセスされてしまうことで、サーバーの負荷が上がってしまい、最悪サーバーがダウンしてしまう恐れがあります。
レンタルサーバーの場合、他のお客様への影響も出てしまう恐れがあります。

以下は、xmlrpc.phpが集中的にアクセスされてしまったときのアクセスログです。

xmlrpc.phplog

 

 

 

 

 

EX-CLOUDのオンラインガイド(ウェブサーバのアクセスログを見るとxmlrpc.php へのアクセスが大量に見られます)において対策を掲載しておりますが、本記事ではガイドでご紹介の対策に加え、幾つかの対策方法をご紹介致します。

1. プラグイン「Disable XML-RPC Pingback」をインストールする

WordPressの管理画面からプラグインをインストールすることができます。
「Disable XML-RPC Pingback」というプラグインをインストールすることで、xmlrpc.phpにアクセスした時に出力される「ping」というデータが出るのを防ぐことができます。

2. .htacessファイルを設置する

※ .htaccessのファイルの記述方法に関してはサポート外となります。

「httpdocs」ディレクトリなどの、サイトを公開しているディレクトリに.htaccessというファイルを設置することで、サイトへのアクセスを制御することができます。
xmlrpc.phpへのアクセスを防ぐ場合、以下のような記述をすることでアクセス制御できます。

<Files "xmlrpc.php">
order deny,allow
deny from all
</Files>

 

3. ファイアウォールで防ぐ

※iptablesの設定に関しては、サポート対象外となります。
※レンタルサーバー(START!/RS等の共有プラン)をご利用のお客様は、ファイアウォールの設定を行うことができません。

不正なアクセスのアクセス元が特定できている場合は、Plesk搭載のプランをご利用のお客様であればPleskのファイアウォール設定から、Pleskなしのプランをご利用のお客様であればiptablesの設定を行うことで、特定のアクセス元からのアクセスを遮断することができます。

WordPressは便利な反面、広く使われているために脆弱性をついた攻撃を受けやすいツールです。
WordPressやプラグインのバージョンをこまめにチェックしたり、今回ご紹介した方法などで不正利用されることを防ぐことが求められます。

不正利用が確認された場合はサポートからご連絡させていただくこともありますが、お客様のサービス維持のため、お客様ご自身でも不正利用の防止を行っていただきますよう、よろしくお願い致します。

この記事を書いた人

橘です。データの集計を行ったり、IoT関連のいろいろをやっています。 IoT女子の文明を作るための技術的サポートを行ったり、 個人的にブログでPythonを書いたりしています。

この記事のタグ

オススメの記事

この記事を読んだ人にオススメのサービス

エクスクラウドのWordPressホスティング

WAF&SSLつきの超高速KUSANAGI標準搭載のWordPress専用サーバー。全てがオールインワン、さらに初期構築などの手間が不要なため手軽に超高速なWordPress環境をご利用いただけます。14日間無料お試しで超高速なWordPress環境を体感してください。

ページトップへ