eyemovic inc.

Culture blog会社の活動・働き方

2014.03.19

Wordpress pingbackを悪用したDos対策

先日、Wordpressのpingback機能を悪用したDos攻撃に関するニュースが話題となりました。
ITmedia|WordPressの16万サイトが大規模攻撃の踏み台に、「Pingback」機能悪用

これは、Wordpressのバグや脆弱性を突いたものではなく、
標準の機能を悪用したものとなります。

WordPress3.5より古いものでは、XML-RPC機能(リモート投稿)の設定項目があったのですが、今では標準化されており、管理画面からも設定出来ない仕様になっています。

対策をした場合、iPhoneアプリ(WordPress)など、外部からの投稿・管理などが出来なくなります。
外部ソフトやアプリなど使用していなければ、対策しておくことをお勧めします。

対応策としては、プラグインの導入かhtaccessによるアクセス制限が必要になってきます。

▼プラグインの導入
XML-RPC無効化するプラグイン
Disable XML-RPC Pingback

上記プラグインと同様の内容になりますが、
テーマのfunctions.phpに下記を追加することでも、pingback機能を無効化できます。


▼htaccessによる制限
WordPressのコア直下(wp-config.phpがある階層)にある「xmlrpc.php」ファイルへのアクセスを制限してしまう。

プラグインや設定を変更される際は、
自己責任の上、データをバックアップしてからお試しください。

愛媛県松山市でWeb開発一筋15年、700サイト以上の構築実績!

Webサイト制作・システム開発・スマホアプリ開発・組込ソフトウェア開発ならアイムービックにお任せ下さい。