WordPressでxmlrpc.phpを通じたBrute Forceの攻撃をブロックする[XML-RPCを無効化]

Last Updated: 2024 年 06 月 16 日 8のコメント
WordPress セキュリティ -  XML-RPCを無効に

WordPressでXML-RPCを無効にすることでセキュリティを強化できます。この記事では、さまざまな方法でXML-RPCアクセスを無効にする方法について説明します。

WordPressでXML-RPCを無効にする

XML-RPCとは、XMLを使用して呼び出しとHTTPをトランスポートメカニズムとしてエンコードするリモートプロシージャコール(a remote procedure call which uses XML to encode its calls and HTTP as a transport mechanism)といいます。 何を言うのか難しいですね。 簡単に言えば、ユーザーはWindows Live Writerなどの人気のあるWebブログクライアント(weblog client)を使用して WordPress ブログに記事を投稿できるようにするシステムと呼ばれます。

この機能を使用しない場合XML-RPCを無効にすることが、セキュリティ上の良いそうです。 XML-RPCを介してBrute Forceの攻撃(DoS攻撃)のようなハッキング攻撃が頻繁に発生するようです。

.htaccessファイルにコードを追加する

XML-RPCを無効にするには、次のコードを .htaccess ファイルに追加するようにします。

# BEGIN protect xmlrpc.php
<files xmlrpc.php>
order allow,deny
deny from all
</files>
# END protect xmlrpc.php

特定のIPアドレスを許可するには、 すべてから否定する 下に次の行を追加するようにします。

allow from 123.123.123.123

別の方法で、次のコードを関数ファイルに追加してもそうです。 チャイルドテーマを作成作業が必要テーマが更新される場合に追加されたコードが初期化されません。

add_filter('xmlrpc_enabled', '__return_false');

セキュリティプラグインでは、XML-RPCを無効に設定する

iThemes Security 同じ一部のセキュリティプラグインでXML-RPCを無効にするオプションを提供します。 iThemesでは WordPress 伝言板> Security> Settings> WordPress Tweaksに移動し、 XML-RPC オプションを「Disable XML-PRC」に設定します。

WordPress XML-RPCを無効にする

WordPress 最適化プラグインによるXML-RPCの無効化

Clearfyのような最適化 WordPress 最適化プラグインでXML-RPCを無効にするオプションを提供することもできます。 Clearfyの場合 設定 > Clearfy > Defence > Base settings 下から XML-RPCを無効にする オプションを有効にすることができます。

WordPress 最適化プラグインによるXML-RPCの無効化

キャッシュプラグインと一緒にClearfyなどの最適化プラグインを使用して設定すると、サイトの速度が向上する可能性があります(」WordPress サイト速度を向上させるためのClearfyプラグイン設定の例"参照)。

XML-RPCを無効にプラグインを使用

XML-RPCを無効にするために、プラグインまで使用することはあまり望ましくないが、FTPに接続できない場合 WordPress 伝言板>プラグイン>新規追加に移動し、disable xml-rpcを検索して XML-RPCを無効にする プラグインをインストールして有効にすることができます。

WordPress XML-RPCプラグイン

このプラグインは、10万件以上のサイトに使用されています。 このプラグインが正常に動作しない場合 Manage XML-RPC プラグインを使用することができます。

クラウドウェイズで XML-RPC を無効にする

クラウドウェイズを使用している場合は、アプリケーション設定でXMLRPCアクセスをブロックすることができます。

Cloudways にログインし、左パネルにマウスを置きます。これにより、通知パネル(Dashboard)などの隠しメニューが表示されます。 Cloudways Flexible » My Applicationsを選択すると、アプリケーションのリストが表示されます。設定を変更するアプリケーション(WordPress サイト)を選択します。

Application Management(アプリケーション管理)ページが表示されます。 アプリケーション設定 » WordPress 設定 タブをクリックします。

以前は、すべての設定が アプリケーションの設定 下にあったが、今 WordPress 関連設定を分離する アプリケーションの設定 下の WordPress タブに移動しました。

XMLRPC Access 設定でこの機能をオンまたはオフにできます。デフォルトでは無効になっており、トグルボタンを押して有効にすることができます。無効になっている場合 XMLRPC Access is disabledが表示されます。

XMLRPCアクセスを有効にする必要がある場合

外部プログラムやアプリを使って WordPressとして自動投稿する場合は、XML-RPCアクセスを許可する必要があります。また、ジェットパックと一部のプラグインでこの機能を使用してサイトと通信することもできます。そのような場合でもアクセスを許可する必要があります。

XMLRPCアクセスを許可する必要がありますが、アクセスが無効になっている場合は、本文の内容を参照して無効化関連コードを削除するか、オプションを削除してアクセスを許可してください。

メモ:


8のコメント

コメント

  1. ワード、こんにちは。もしあなたが膨らんだサーバーでxmlrpcを無効にしたい場合は、あなたが知っていたコードを同じようにhtaccessファイルに適用することができますか?

    応答
    • kenさん。 VultrサーバーのWebサーバーがnginxの場合、上記のコードは使用できません。 クラウドウェイズのVultrサーバを利用する場合には利用が可能です。

      nginx Webサーバーの場合は、XMLRPCを無効にするプラグインをインストールしてください。または、一部のセキュリティプラグインでこの機能を無効にするオプションを提供することもあります。

      応答
      • 私は今や見ました。 Webサーバーを閲覧しようとしても何なのかわかりませんね。

      • 単にxmlrpc.phpファイルを削除してもXML-RPCは無効になります。しかし、 WordPressが更新されるたびに、毎回見つけて削除する必要がある面倒があります。プラグインを使用すると便利です。