知らないと恐ろしいXML-RPCの脅威
最近では気軽に個人でもWordPressを使えるようになったと思います。そんな何も知らない人たちを狙った悪者も世の中には一定数いるので、本日はXML-RPCに絞ってコピペやプラグインで対応できるセキュリティ対策をご紹介します。
以前ご紹介した【WordPress】htaccessでロシア・中国・ウクライナ等からアクセス拒否する方法とあわせて施すとより効果的になると思います。
XML-RPCを使った攻撃
DDoS攻撃による大量リクエスト。その大量のリクエストを送る目的として、ブルートフォースアタック(総当たり攻撃)でログインIDやパスワードを取得することがあげられます。例えば、あなたのブログのxmlrpc.phpファイルへ総当たりでログインができるまで繰り返し、ログインできたら乗っ取り完了てなわけです。乗っ取ったあとは、いろいろできてしまいますよね!?
私も以前、某県サイバー犯罪対策課から軽く注意を受けましたが、自身のブログから他のサーバーへ投稿後のpingbackをダウンさせるほど大量にリクエストを送った場合、乗っ取られたとしても捕まるのは不正アクセスを行ったブログのサーバー管理者なのです。不起訴になるかもしれませんが、一旦被疑者になるととても生活が変わってしまいます。
したがって、平和にサイト運営するにはXML-RPCへの攻撃対策は必要不可欠なのです。
WordPressでのXML-RPCセキュリティ対策プラグイン
WordPressを使っていると様々なセキュリティ対策プラグインがありますが、ここはメイドインジャパンな『SiteGuard WP Plugin』を強くおすすめします。
下記画像でわかるとおり、XML-RPC防御が施されています。その他にも必要なセキュリティ対策も充実していますので、WordPressを始めたばかりの人はぜひ使ってみてください!
.htaccessファイルを用いたXML-RPCのセキュリティ対策
外部投稿ツールを使用してWordPressへ投稿したい際に、いつもエラーが返されて困っていることありませんか?
前述したプラグインなどでXMP-RPCのセキュリティ対策はしたものの、肝心のWordPressへの投稿ができなくなっては作業が滞ります。
そんなときは.htaccessファイルに下記の要領でコピペすれば簡単にセキュリティ対策ができます!
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
Allow from 192.168.0.1
</Files>
上記の『192.168.0.1』が外部投稿サーバのIPアドレスになりますので、お使いの投稿ツールのIPアドレスに変えてお使いください。ここでは、「許可するのは192.168.0.1のIPアドレスさんだけですよ!」という意味です。
なお、前述したプラグインと併用する際は、プラグイン側のXML-RPC防御の部分は無効化してから記述し保存してください。.htaccessファイルの設置場所は、「wp-content」「wp-admin」ディレクトリや「wp-config.php」ファイルが置かれている並びにあります。また、「# BEGIN WordPress」「# END WordPress」の前か後に記述してください。「# BEGIN WordPress」と「# END WordPress」の間は、WordPress側から操作した際に書き込まれる部分になります。
動作確認方法
投稿ツール側からの投稿が正常であることを確認したのち、ご自身のブラウザから「https://運営サイトドメイン/xmlrpc.php」と打ってアクセスしてみてください。403errorが表示されているならば成功です!簡単ですので是非やってみてください!
Be the first to comment