【WordPress】xmlrpc.phpの用途とそのセキュリティ向上策

こんにちは、レビルです。
今回は、【WordPress】「xmlrpc.phpの用途とそのセキュリティ向上策」をお送りします。

「Limit Login Attempts」や「SiteGuard WP Plugin」プラグインをインストールして、ログイン履歴を見てみると、非常に多数のログイン攻撃をされているのが解ると思います。

もし、まだ見た事がありませんでしたら、ぜひログイン履歴を見てみてください。

試行回数が1000回とか、ざらにあるはずです。

セキュリティ上非常に重要な事なので、定期的にログイン履歴はチェックする事を推奨します。

質問です。SiteGuard WP Pluginをインストールして、ログインURLも変更して自分にしか分らないはずなのに、不正ログインをしようとした形跡が多数あるのですが、なぜでしょうか。
あと、なんか履歴一覧にXMLRPCって表示がありますが、これはなんでしょうか？

ログインURLを変更しているのにログインを試行されたログが残っている。
それは、「xmlrpc.php」を使用されてログインを試行されているからです。
XMLRPCの表示は、xmlrpc.phpを使用されている場合に表示されます。

xmlrpc.phpとは

xmlrpc.phpとは、スマホアプリ等、他のプログラムから、つまりワードプレス以外のプログラムからワードプレスを操作する為のphpです。
主な機能は

・記事をメールで投稿する。
・記事の編集と削除
・画像等ファイルのアップロード
・コメント返信や削除、編集
・ピンバック機能

つまり、外出先でもワードプレスを管理できる便利な物なのですが、逆にそれがワードプレスのセキュリティの弱点になっていて、これを使いログイン攻撃されてしまっています。

・総当たりのログイン攻撃に使用される可能性がある
・迷惑コメントを大量投稿される可能性がある
・サイトの改ざん、悪意のあるプログラムを設置されてしまう可能性がある

等でメリットよりもデメリットの方が圧倒的に大きく、正直xmlrpc.phpなんて要らないと感じています。

デメリットは上記「xmlrpc.phpとは」に挙げた機能が使えなくなる事です。
これら機能を使っていない場合でしたら、まず問題はありません。

当方SNSの連携機能も問題は出ていません。

「どうしても外部プログラムで管理したい」とか、「メールでなきゃ投稿したくない」という事で無ければ停止した方が圧倒的に良いです。

ここでは、xmlrpc.phpの停止方法を記載します。

SiteGuard WP Pluginをインストールしている方でしたら非常に簡単です。

SiteGuard WP Pluginの設定から「XMLRPC防御」を開き、「XMLRPC無効化」を選択して「変更を保存」ボタンを押して下さい。

これでXMLRPCが無効化されます。

「SiteGuard WP Plugin」を使用していない方は、「SiteGuard WP Plugin」プラグインをインストールするか、「Disable XML-RPC Pingback」プラグインをインストールしてください。

Disable XML-RPC Pingbackはインストール後、「有効化」するだけでXMLRPCが無効化されます。

ご自分のサイトURL/xmlrpc.php

と入力してサイトにアクセスして下さい。

XML-RPC server accepts POST requests only.

と画面に表示されれば停止しています。

これは「SiteGuard WP Plugin」「Disable XML-RPC Pingback」共に同じ表示が出ます。

念の為、確認をしておいてください。

本記事を作成に当たり、以下のサイト様を参考にしました。

今回は以上です。

ではまた！