WordPressでxmlrpc.phpを通じたBrute Forceの攻撃をブロックする[XML-RPCを無効化]

WordPressでXML-RPCを無効にしてセキュリティを強化することができます。 この記事では、いくつかの方法でXML-RPCを無効にできます。

WordPressでXML-RPCを無効にする

XML-RPCとは、XMLを使用して呼び出しとHTTPをトランスポートメカニズムとしてエンコードするリモートプロシージャコール（a remote procedure call which uses XML to encode its calls and HTTP as a transport mechanism）といいます。 何を言うのか難しいですね。 簡単に言えば、ユーザーはWindows Live Writerなどの人気のあるWebブログクライアント（weblog client)を使用して WordPress ブログに記事を投稿できるようにするシステムと呼ばれます。

この機能を使用しない場合XML-RPCを無効にすることが、セキュリティ上の良いそうです。 XML-RPCを介してBrute Forceの攻撃（DoS攻撃）のようなハッキング攻撃が頻繁に発生するようです。

.htaccessファイルにコードを追加する

XML-RPCを無効にするには、次のコードを .htaccess ファイルに追加するようにします。

# BEGIN protect xmlrpc.php
<files xmlrpc.php>
order allow,deny
deny from all
</files>
# END protect xmlrpc.php

特定のIPアドレスを許可するには、 すべてから否定する 下に次の行を追加するようにします。

allow from 123.123.123.123

別の方法で、次のコードを関数ファイルに追加してもそうです。 チャイルドテーマを作成作業が必要テーマが更新される場合に追加されたコードが初期化されません。

add_filter('xmlrpc_enabled', '__return_false');

セキュリティプラグインでは、XML-RPCを無効に設定する

iThemes Security 同じ一部のセキュリティプラグインでXML-RPCを無効にするオプションを提供します。 iThemesでは WordPress 伝言板> Security> Settings> WordPress Tweaksに移動し、 XML-RPC オプションを「Disable XML-PRC」に設定します。

WordPress 最適化プラグインによるXML-RPCの無効化

Clearfyのような最適化 WordPress 最適化プラグインでXML-RPCを無効にするオプションを提供することもできます。 Clearfyの場合 設定 > Clearfy > Defence > Base settings 下から XML-RPCを無効にする オプションを有効にすることができます。

キャッシュプラグインと一緒にClearfyなどの最適化プラグインを使用して設定すると、サイトの速度が向上する可能性があります（」WordPress サイト速度を向上させるためのClearfyプラグイン設定の例"参照）。

XML-RPCを無効にプラグインを使用

XML-RPCを無効にするために、プラグインまで使用することはあまり望ましくないが、FTPに接続できない場合 WordPress 伝言板>プラグイン>新規追加に移動し、disable xml-rpcを検索して XML-RPCを無効にする プラグインをインストールして有効にすることができます。

このプラグインは、10万件以上のサイトに使用されています。 このプラグインが正常に動作しない場合 Manage XML-RPC プラグインを使用することができます。

メモ：

• WordPress セキュリティ強化する