xmlrpc.phpも国内IPだけに制限したほうがよさそう 【WordPress】

xmlrpc.phpを守ったほうがよさそう

WordPressの16万サイトが大規模攻撃の踏み台に、「Pingback」機能悪用 - ITmedia エンタープライズ 2014年03月13日

流し読みしただけでよくわからないんですが、対策しておいたほうがよいかなと思ったので自分なりにやってみました。

XML-RPC Pingbackを無効にするプラグイン
WordPress › Disable XML-RPC Pingback « WordPress Plugins

たぶん、XML-RPC Pingbackを無効にするだけでOKだとは思うんですが、xmlrpc.phpが何に利用しているのか僕にはわからないので、とりあえずこっちを使うのは辞めました。

xmlrpc.phpを国内IPに制限する
WordPressの管理画面へのアクセスを国内だけに制限する 【wp-admin】
IPアドレスで日本国外(海外/外国)からのアクセスを制限する.htaccess CGI's

上記を参考に・・。以下のような感じにしました。
.htaccess
<Files ~ "^(wp-login\.php|xmlrpc\.php)$">
Order deny,allow
Deny from all
allow from 1.0.16.0/20
allow from 1.0.64.0/18
allow from 1.1.64.0/18
省略・・(国内IPをすべて書く)
</Files>

管理画面のログイン(wp-login.php)とxmlrpc.phpを国内IPだけに制限をかけました。
国内からやられたら終わりだけど、まあ、そこは自己責任で・・・・。

国内IP一覧は、上記の2つ目のURLのところで自動生成できるので、それをコピペするだけでOKです。

※実際には、当サイトはwp-comments-post.phpにも制限をかけてます。

参考

DoSの踏み台にされているJPドメインのWordPressをまとめてみた - piyolog
WordPress: xmlrpc.php へのPOSTアクセス | システム管理メモ
wordpressがクラックされた・・WordPressの『xmlrpc.php』の脆弱性と対処法|不正ファイルの公開と対処法の実装 | Androidアプリつくったった
xmlrpc.phpへのアタック | ログブック

【ブログ内で関連ある記事】

スポンサーリンク

『xmlrpc.phpも国内IPだけに制限したほうがよさそう 【WordPress】』へのコメント

  1. […] source: xmlrpc.phpも国内IPだけに制限したほうがよさそう 【WordPress】 | 某氏の猫空 […]

  2. 名前:WordPressのDos攻撃踏み台対策 | がじノート : 投稿日:2014/03/16 10:03

    […] Pinbackを完全に止めちゃうのもなんだかなーと思ったので ここ を参考に.htaccessを編集。 […]

  3. […] 某氏の猫空さんで紹介されていました。 […]

コメントを残す

メールアドレスは公開されません。
また、コメント欄には、必ず日本語を含めてください(スパム対策)。