Loading...

WordPressのxmlrpc.phpについて

2014.09.05

最近、WordpressのXML-RPC機能を使って、DDoS攻撃の踏み台にするのがはやっているようです。
http://www.atmarkit.co.jp/ait/articles/1403/13/news133.html

色々と対策はありつつも、WordPress 3.5以降はデフォルトで有効になっているため、気が付かないまま踏み台にされることも・・・。

XML-RPC機能は、アプリなどを使ってリモートから投稿出来る機能に使うモノです。
iPhoneアプリなんかはこの機能を使っています。
今のバージョンであれば、レスポンシブの管理画面になったので、スマートフォンも専用アプリを使わなくても問題ないでしょう・・・。

ということで、以下対策
function.phpにこれをかけばよいとのこと。

[code]add_filter(‘xmlrpc_enabled’, ‘__return_false’);[/code]

または、xmlrpc.phpのパーミッションを000にしてしまう。
SSHが使えるサーバであれば、
# chmod 000 xmlrpc.php
FTPでも000にすることは可能です。

参考にしたのはこちら

WordPress3.5ではxml-rpc機能がデフォルトで有効になっている

踏み台にされたくないのでXML-RPCを無効にした

COLUMNコラム