wordpress構成ファイルのxmlrpc.phpを無効化する方法【実は攻撃されやすい】
こんにちは、管理人@SS_mshpです。
今回は、wordpressの構成ファイルで、ちょっとクセのある『xmlrpc.php』を無効化してみます。
このファイルがどういう働きをしているのか、また、ほっとくとどんな影響があるのか、無効化にはどのような方法があるかをチェックします。
xmlrpc.phpとは?どのような影響があるの?
アプリ更新などに関係するファイル
管理人は普段この機能は使わないんですけど、『wordpressアプリ(Googleプレイストアなどにあります)』を使って、アプリから更新や編集をする場合、このファイルが絡んできます(xmlrpc.phpがないとアプリなどから更新ができないなどの例が報告されています)。スマホでサクッと記事を出せるのは、一見便利に見えます。
xmlrpcの影響~実は脆弱性あり・不正ログインなどの攻撃対象になりやすいファイル
しかしこのファイルには『ブルートフォース攻撃など不正ログインなどに狙われやすい』という特徴があります。以前、wordpress脆弱性の記事でも書きましたが、かなりの頻度で狙われている、というデータがあります。
(過去記事リンク)【セキュリティ・脆弱性対策2018】wordpressでサイバー攻撃されやすいファイルってどんなのがあるの?
https://sounds-stella.jp/music-creation/archives/5604
不正ログインされるのはもちろんリスクですし、破られなくてもファイルに大量のアクセスがあることは、サイト負荷で重くなるリスクもあります。
xmlrpc.phpを無効化する方法
特にアプリログインなどを使わないのであれば、攻撃リスクを避ける為に無効化しておいた方が安全といえます。ここではその方法を紹介します。
単純にファイルを消してしまう
FFFTPでサーバーにつないで、ファイルを削除してみます。場所はwordpressをインストールしたフォルダの(アルファベットの順的に)一番最後にあります。管理人が実験したところ、この『xmlrpc.php』を削除しても、wordpressシステムは問題なく動きました。簡単にアタックリスクは避けられそうです。
しかしこの方法には注意点があり、『wordpressコアシステムをバージョンアップした場合、消してもxmlrpc.phpファイルが再度インストールされる』という点です。子テーマいれとかないと元に戻るみたいなイメージです。
パーミッションを他の人がアクセスできないように変える
『000』だとちょいと危ないかなと思ったので、『400』を設定してみました。
これはwordpressの管理画面からというわけでなく、サーバー側で設定します。
htaccessファイルでxmlrpc.phpに対するアクセス制限をかける
web系の技術者の間ではよく使われる方法です。htaccessファイルにdeny(拒否)と書いて、xmlrpc.phpに対するアクセスをハネます(この下のほうにbigin wordpressみたいなことが書いてあります)。
403でファイルにアクセスできなくなりました。負荷などの関係でもっと良い書き方もあるので調べてみましょう。
あとがき・まとめ
- アプリ更新とかしない場合、xmlrpc.phpは攻撃されやすいので、なるべく無効に
- 単純にファイルを消すと、wordpressアップデート時い復活するので、忘れないように
- パーミッション設定やhtaccessファイルでのアクセス拒否ができる
まとめるとこんな感じです。特にxmlrpc.phpの機能を使っていない場合は、アタックされやすいということもあるので、なるべくこれらの方法を取り入れて、リスクを減らしておくと、安心してwordpressを使うことができます。『xmlrpc.phpが攻撃されやすい』という点だけでも頭に入れておくと、あとから思い出して対策できるので良いでしょう。
【カテゴリ】 - webサイト制作 【タグ】 -
関連記事
-
-
侍エンジニア塾ブログにあったPHPコードをシンプルに書いてみる(foreachで配列キーや値取得・continueで空要素スキップ)
今回は、(自分もまだプログラム学習中の身ですが)よくある『プログラム学習 …
-
-
【PHPでWPカスタマイズ】プラグイン不使用で、テーマに関連記事表示機能を実装しPV・滞在時間を上げる
今回は、サイトをしっかり見てもらうために、『WordPressサイトに、 …
-
-
PHP・shuffleやarrayを使った、画像ランダム表示方法~メインビジュアルやバナー・テキストにも利用可能
今回は、以前お取引先のスクールの担当者さまと、『サイトのメインビジュアル …
-
-
【別に止めなくてOK】wordpressサイトなどに、アメブロ・fc2など無料ブログの更新情報を表示して連携する方法
今回は、『無料ブログにすべきかwordpressにすべきか』という疑問に …
-
-
【マテリアルデザインCSSフレームワーク】Materializeで、カッコいいビジネスサイト(静的HTML)を作る
今回は、フレームワークを使ったサイト制作を行ってみます。 利用するのは『 …
-
-
【wordpressカスタマイズ】llorix_oneなどビジネストップ1カラムテーマで、カスタマイザーで入らない動画・オーディオを入れる
今回は、人気の海外ディベロッパーのwordpressテーマで、動画やオー …
-
-
【WPカスタマイズ】子テーマさえ入れとけば大丈夫?なわけねーだろ!(親テーマに手を入れる・ファイルコピー適応させる羽目になる事例)
今回は、推奨されてるWPの子テーマについてですが、『結局親テーマいじる羽 …
-
-
【セキュリティ・脆弱性対策2018】wordpressでサイバー攻撃されやすいファイルってどんなのがあるの?
今回は、wordpress利用者にも気になる『サイバー攻撃』についてです …
-
-
ワードプレスでデータベースにたまる余計なデータって何があるの?事例と対処方法
今回は、ワードプレスのサイトでよくある『データベースにたまる余計なデータ …
-
-
【WPカスタムフィールドはこう使う】カップ焼きそばレビュー記事に、カスタムフィールドで評価スコアを(CSSつけ方もあり)
今回はwordpressの機能『カスタムフィールド』で、より具体的に利用 …
-
-
【PHPで条件分岐】wordpressのサイトで、ページごと(固定・記事・カテゴリ・複数ページ)に、表示される内容を変えたいっ!
今回は、wordpressのサイトで使われるPHPプログラムの条件分岐で …
-
-
wordpressの仕組み~ヘッダーに入ってくるCSSは、どのように出力されるか(wp_headにcustomize_cssをadd_action)
今回は、自分のフリー曲素材サイトのチューニングをしてて、wordpres …