xmlrpc.phpを守ったほうがよさそう
・WordPressの16万サイトが大規模攻撃の踏み台に、「Pingback」機能悪用 - ITmedia エンタープライズ 2014年03月13日流し読みしただけでよくわからないんですが、対策しておいたほうがよいかなと思ったので自分なりにやってみました。
XML-RPC Pingbackを無効にするプラグイン
WordPress › Disable XML-RPC Pingback « WordPress Pluginsたぶん、XML-RPC Pingbackを無効にするだけでOKだとは思うんですが、xmlrpc.phpが何に利用しているのか僕にはわからないので、とりあえずこっちを使うのは辞めました。
xmlrpc.phpを国内IPに制限する
・WordPressの管理画面へのアクセスを国内だけに制限する 【wp-admin】・IPアドレスで日本国外(海外/外国)からのアクセスを制限する.htaccess CGI's
上記を参考に・・。以下のような感じにしました。
.htaccess
<Files ~ "^(wp-login\.php|xmlrpc\.php)$">
Order deny,allow
Deny from all
allow from 1.0.16.0/20
allow from 1.0.64.0/18
allow from 1.1.64.0/18
省略・・(国内IPをすべて書く)
</Files>
管理画面のログイン(wp-login.php)とxmlrpc.phpを国内IPだけに制限をかけました。
国内からやられたら終わりだけど、まあ、そこは自己責任で・・・・。
国内IP一覧は、上記の2つ目のURLのところで自動生成できるので、それをコピペするだけでOKです。
※実際には、当サイトはwp-comments-post.phpにも制限をかけてます。
参考
・DoSの踏み台にされているJPドメインのWordPressをまとめてみた - piyolog・WordPress: xmlrpc.php へのPOSTアクセス | システム管理メモ
・wordpressがクラックされた・・WordPressの『xmlrpc.php』の脆弱性と対処法|不正ファイルの公開と対処法の実装 | Androidアプリつくったった
・xmlrpc.phpへのアタック | ログブック
スポンサーリンク
