xmlrpc.phpも国内IPだけに制限したほうがよさそう 【WordPress】

  • 投稿 : 2014-03-13
  • 更新 : 2014-03-17

xmlrpc.phpを守ったほうがよさそう

WordPressの16万サイトが大規模攻撃の踏み台に、「Pingback」機能悪用 - ITmedia エンタープライズ 2014年03月13日

流し読みしただけでよくわからないんですが、対策しておいたほうがよいかなと思ったので自分なりにやってみました。

XML-RPC Pingbackを無効にするプラグイン

WordPress › Disable XML-RPC Pingback « WordPress Plugins

たぶん、XML-RPC Pingbackを無効にするだけでOKだとは思うんですが、xmlrpc.phpが何に利用しているのか僕にはわからないので、とりあえずこっちを使うのは辞めました。

xmlrpc.phpを国内IPに制限する

WordPressの管理画面へのアクセスを国内だけに制限する 【wp-admin】
IPアドレスで日本国外(海外/外国)からのアクセスを制限する.htaccess CGI's

上記を参考に・・。以下のような感じにしました。
.htaccess
<Files ~ "^(wp-login\.php|xmlrpc\.php)$">
Order deny,allow
Deny from all
allow from 1.0.16.0/20
allow from 1.0.64.0/18
allow from 1.1.64.0/18
省略・・(国内IPをすべて書く)
</Files>

管理画面のログイン(wp-login.php)とxmlrpc.phpを国内IPだけに制限をかけました。
国内からやられたら終わりだけど、まあ、そこは自己責任で・・・・。

国内IP一覧は、上記の2つ目のURLのところで自動生成できるので、それをコピペするだけでOKです。

※実際には、当サイトはwp-comments-post.phpにも制限をかけてます。

参考

DoSの踏み台にされているJPドメインのWordPressをまとめてみた - piyolog
WordPress: xmlrpc.php へのPOSTアクセス | システム管理メモ
wordpressがクラックされた・・WordPressの『xmlrpc.php』の脆弱性と対処法|不正ファイルの公開と対処法の実装 | Androidアプリつくったった
xmlrpc.phpへのアタック | ログブック

スポンサーリンク