2022年1月17日
WordPressには古くのバージョンから現在に至るまで「XML-RPC」機能が備わっています。 近年、WordPressの「XML-RPC」機能を制御している「xmlrpc.php」というファイルがDos攻撃などの攻撃にターゲットにされやすい傾向があります。WordPressにおける「XML-RPC」とは
「XML-RPC」とは、遠隔手続き呼出し (RPC) プロトコルの一種であり、エンコード(符号化)にXMLを採用し、転送機構にHTTPを採用しています。(出典:Wikipedia) WordPressにおいてはスマートフォンなどの端末からリモートで投稿する、外部サイトからのコメントや相互のトラックバック等の受付を可能にします。 WordPressは古いバージョンとの互換性を重視しており、「XML-RPC」の機能を使用しない場合でも、最新のバージョンのWordPressをインストールすると「xmlrpc.php」が付属されます。 冒頭のように攻撃を受けるリスクのあるファイルがそのまま新しいバージョンでも引き継がれているのは、古いバージョンから利用しているユーザーに対しての救済処置ではないでしょうか。運用上のリスク軽減にあたって
運用にあたりDosやDDoSなどの攻撃を受けるリスクを軽減するため、「xmlrpc.php」に対しアクセス制限をかけることが可能です。 1.プラグインを導入する。 Wordfence SecurityやSiteGuardプラグインなど。 2.サーバーの設定ファイルを編集し、拒否する
.htaccess設定例
Order Deny,Allow
Deny from All
(一部のアクセスのみ許可とすることも可能です。)
まとめ
WordPressは拡張性が高く機能性に優れたCMSですが、攻撃を受けたり攻撃に加担させられるなどの事例も多く、運用上の安全リスクも考慮しなければなりません。 安全に運用していくにあたっては管理者が機能を把握、精査していくことも重要です。 ▼関連記事 【WordPress】「admin-ajax.php」の役割と攻撃とはWebサイト セキュリティのことで、お困りではありませんか?
セキュリティサービスを提供できるWeb制作会社は多くありませんが、サンエイは数少ない企業の一社。
多くの中小企業様では、サイバー攻撃から情報やWebサイトを守るための効果的な対策や専門的な知識をお持ちではありません。
私たちはお客様に代わり、お客様の運営されるWebサイトを手頃な費用で保護する仕組みをご提供することができます。
お困りのことがあればお気軽にご相談ください。
