【WordPress】xmlrpc.phpの用途とそのセキュリティ向上策

レビルのセキュリティ対策 WrodPress
こんにちは、レビルです。
今回は、【WordPress】「xmlrpc.phpの用途とそのセキュリティ向上策」をお送りします。

「Limit Login Attempts」や「SiteGuard WP Plugin」プラグインをインストールして、ログイン履歴を見てみると、非常に多数のログイン攻撃をされているのが解ると思います。

もし、まだ見た事がありませんでしたら、ぜひログイン履歴を見てみてください。

試行回数が1000回とか、ざらにあるはずです。

セキュリティ上非常に重要な事なので、定期的にログイン履歴はチェックする事を推奨します。

質問です。SiteGuard WP Pluginをインストールして、ログインURLも変更して自分にしか分らないはずなのに、不正ログインをしようとした形跡が多数あるのですが、なぜでしょうか。
あと、なんか履歴一覧にXMLRPCって表示がありますが、これはなんでしょうか?
ログインURLを変更しているのにログインを試行されたログが残っている。
それは、「xmlrpc.php」を使用されてログインを試行されているからです。
XMLRPCの表示は、xmlrpc.phpを使用されている場合に表示されます。
スポンサーリンク

xmlrpc.phpとは

xmlrpc.phpとは、スマホアプリ等、他のプログラムから、つまりワードプレス以外のプログラムからワードプレスを操作する為のphpです。
主な機能は

・記事をメールで投稿する。
・記事の編集と削除
・画像等ファイルのアップロード
・コメント返信や削除、編集
・ピンバック機能

つまり、外出先でもワードプレスを管理できる便利な物なのですが、逆にそれがワードプレスのセキュリティの弱点になっていて、これを使いログイン攻撃されてしまっています。

xmlrpc.phpの弱点

・総当たりのログイン攻撃に使用される可能性がある
・迷惑コメントを大量投稿される可能性がある
・サイトの改ざん、悪意のあるプログラムを設置されてしまう可能性がある

等でメリットよりもデメリットの方が圧倒的に大きく、正直xmlrpc.phpなんて要らないと感じています。

xmlrpc.php機能停止におけるデメリット

デメリットは上記「xmlrpc.phpとは」に挙げた機能が使えなくなる事です。
これら機能を使っていない場合でしたら、まず問題はありません。

当方SNSの連携機能も問題は出ていません。

「どうしても外部プログラムで管理したい」とか、「メールでなきゃ投稿したくない」という事で無ければ停止した方が圧倒的に良いです。

xmlrpc.php停止方法

ここでは、xmlrpc.phpの停止方法を記載します。

SiteGuard WP Plugin使用時

SiteGuard WP Pluginをインストールしている方でしたら非常に簡単です。

SiteGuard WP Pluginの設定から「XMLRPC防御」を開き、「

サイトガード XMLRPCの無効化

これで

Disable XML-RPC Pingback

「SiteGuard WP Plugin」を使用していない方は、「SiteGuard WP Plugin」プラグインをインストールするか、「Disable XML-RPC Pingback」プラグインをインストールしてください。

Disable XML-RPC Pingbackはインストール後、「有効化」するだけで

XMLRPC停止の確認

ご自分のサイトURL/xmlrpc.php

と入力してサイトにアクセスして下さい。

XML-RPC server accepts POST requests only.

と画面に表示されれば停止しています。

これは「SiteGuard WP Plugin」「Disable XML-RPC Pingback」共に同じ表示が出ます。

念の為、確認をしておいてください。

参考元

本記事を作成に当たり、以下のサイト様を参考にしました。

参考元:ワードプレス・ドクター

 

 

今回は以上です。

 

ではまた!

 

wrodpressに関するお役立ちブログです。
wrodpressに関するお役立ち情報を書いていきます。テーマ、プラグイン、サーバー、ドメインなど