wordpressスマホ対応サイト・wpプラグイン・検索体験最適化・SNS・ 動画・bgmやテーマ曲を駆使して、リアルビジネスへの集客を達成するためのコラム!

   

wordpress屋のマルチメディアコンテンツ制作読んどけ☆コラム

wordpress構成ファイルのxmlrpc.phpを無効化する方法【実は攻撃されやすい】

   

こんにちは、管理人@SS_mshpです。

今回は、wordpressの構成ファイルで、ちょっとクセのある『xmlrpc.php』を無効化してみます。

このファイルがどういう働きをしているのか、また、ほっとくとどんな影響があるのか、無効化にはどのような方法があるかをチェックします。

xmlrpc.phpとは?どのような影響があるの?

アプリ更新などに関係するファイル


管理人は普段この機能は使わないんですけど、『wordpressアプリ(Googleプレイストアなどにあります)』を使って、アプリから更新や編集をする場合、このファイルが絡んできます(xmlrpc.phpがないとアプリなどから更新ができないなどの例が報告されています)。スマホでサクッと記事を出せるのは、一見便利に見えます。

xmlrpcの影響~実は脆弱性あり・不正ログインなどの攻撃対象になりやすいファイル

しかしこのファイルには『ブルートフォース攻撃など不正ログインなどに狙われやすい』という特徴があります。以前、wordpress脆弱性の記事でも書きましたが、かなりの頻度で狙われている、というデータがあります。

(過去記事リンク)【セキュリティ・脆弱性対策2018】wordpressでサイバー攻撃されやすいファイルってどんなのがあるの?
https://sounds-stella.jp/music-creation/archives/5604

不正ログインされるのはもちろんリスクですし、破られなくてもファイルに大量のアクセスがあることは、サイト負荷で重くなるリスクもあります。

xmlrpc.phpを無効化する方法

特にアプリログインなどを使わないのであれば、攻撃リスクを避ける為に無効化しておいた方が安全といえます。ここではその方法を紹介します。

単純にファイルを消してしまう


FFFTPでサーバーにつないで、ファイルを削除してみます。場所はwordpressをインストールしたフォルダの(アルファベットの順的に)一番最後にあります。管理人が実験したところ、この『xmlrpc.php』を削除しても、wordpressシステムは問題なく動きました。簡単にアタックリスクは避けられそうです。

しかしこの方法には注意点があり、『wordpressコアシステムをバージョンアップした場合、消してもxmlrpc.phpファイルが再度インストールされる』という点です。子テーマいれとかないと元に戻るみたいなイメージです。

パーミッションを他の人がアクセスできないように変える


『000』だとちょいと危ないかなと思ったので、『400』を設定してみました。
これはwordpressの管理画面からというわけでなく、サーバー側で設定します。

htaccessファイルでxmlrpc.phpに対するアクセス制限をかける


web系の技術者の間ではよく使われる方法です。htaccessファイルにdeny(拒否)と書いて、xmlrpc.phpに対するアクセスをハネます(この下のほうにbigin wordpressみたいなことが書いてあります)。


403でファイルにアクセスできなくなりました。負荷などの関係でもっと良い書き方もあるので調べてみましょう。

あとがき・まとめ

  • アプリ更新とかしない場合、xmlrpc.phpは攻撃されやすいので、なるべく無効に
  • 単純にファイルを消すと、wordpressアップデート時い復活するので、忘れないように
  • パーミッション設定やhtaccessファイルでのアクセス拒否ができる

まとめるとこんな感じです。特にxmlrpc.phpの機能を使っていない場合は、アタックされやすいということもあるので、なるべくこれらの方法を取り入れて、リスクを減らしておくと、安心してwordpressを使うことができます。『xmlrpc.phpが攻撃されやすい』という点だけでも頭に入れておくと、あとから思い出して対策できるので良いでしょう。

*お問い合わせフォームページに移動します。webリニューアル・ロゴ・記事・wordpress化などでお力添えできます。

■LINEできいてみる(アカウントがある方)

(タップ・またはqrでアプリを起動してください。回答できる内容には限りがありますが、なにか課題解決のきっかけができるかもしれません。)


【カテゴリ】 - webサイト制作 【タグ】 -

Message

メールアドレスが公開されることはありません。

  関連記事

自社サイト(wpホームページ制作請負)のプチリニューアルしました(ヒーローヘッダー風&重なるメニュー)

今回は、ちょっと時間があったので、管理人のお仕事用サイト(wpホームペー …

【ワードプレステーマカスタマイズ】勝手にヘッダーの追加CSSで入ってくるマージンを消したいんですけど

今回は、ワードプレスのテーマカスタマイズしてオリジナルデザインにするとき …

【セキュリティ・脆弱性対策2018】wordpressでサイバー攻撃されやすいファイルってどんなのがあるの?

今回は、wordpress利用者にも気になる『サイバー攻撃』についてです …

googleカレンダーとメールフォームで、予約受付ってできるの?iframeレスポンシブに気をつけて

今回は、googleカレンダーとメールフォームで、予約受付ページを作って …

【CSS3でおしゃれなサイトに】画像(星空)をくるくる回す(キーフレーム・transform:rotateなど)

今回は、CSSを使って、動きのあるサイトを作ってみたいと思います。 絵は …

ワードプレスじゃない通常サイトをSSL(暗号化通信)化するときの、htmlソース編集方法

今回はプラグインで一発SSL化ができるワードプレスではなく、通常のweb …

ワードプレス・手動インストールってどうやるの?(自動インストールがない、あるいはエラーの場合)

今回は、サーバーの簡単インストールなどで、エラーになって入らない場合の対 …

ワードプレスの子テーマって、なぜ必要なの?

今回は、ワードプレスサイトを作るときにたまに話題になる『子テーマ』につい …

ワードプレスで画面真っ白で積んだとき、データベースから記事データを抜いて復旧

今回は、ワードプレスで、画面真っ白でどうしようもなくなったときの復旧方法 …

ワードプレスサイトの独自ドメイン解除方法

今回は、以前『ワードプレスに独自ドメインを設定する方法』を書きましたが、 …