2022年1月17日

WordPressには古くのバージョンから現在に至るまで「XML-RPC」機能が備わっています。 近年、WordPressの「XML-RPC」機能を制御している「xmlrpc.php」というファイルがDos攻撃などの攻撃にターゲットにされやすい傾向があります。

WordPressにおける「XML-RPC」とは

「XML-RPC」とは、遠隔手続き呼出し (RPC) プロトコルの一種であり、エンコード(符号化)にXMLを採用し、転送機構にHTTPを採用しています。(出典:Wikipedia) WordPressにおいてはスマートフォンなどの端末からリモートで投稿する、外部サイトからのコメントや相互のトラックバック等の受付を可能にします。 WordPressは古いバージョンとの互換性を重視しており、「XML-RPC」の機能を使用しない場合でも、最新のバージョンのWordPressをインストールすると「xmlrpc.php」が付属されます。 冒頭のように攻撃を受けるリスクのあるファイルがそのまま新しいバージョンでも引き継がれているのは、古いバージョンから利用しているユーザーに対しての救済処置ではないでしょうか。

運用上のリスク軽減にあたって

運用にあたりDosやDDoSなどの攻撃を受けるリスクを軽減するため、「xmlrpc.php」に対しアクセス制限をかけることが可能です。 1.プラグインを導入する。 Wordfence SecurityやSiteGuardプラグインなど。 2.サーバーの設定ファイルを編集し、拒否する
.htaccess設定例 Order Deny,Allow Deny from All (一部のアクセスのみ許可とすることも可能です。)

まとめ

WordPressは拡張性が高く機能性に優れたCMSですが、攻撃を受けたり攻撃に加担させられるなどの事例も多く、運用上の安全リスクも考慮しなければなりません。 安全に運用していくにあたっては管理者が機能を把握、精査していくことも重要です。 ▼関連記事 【WordPress】「admin-ajax.php」の役割と攻撃とは