【WordPressセキュリティ対策】XMLRPC機能は絶対に無効化した方がいい理由

WordPressでは管理画面から記事を投稿・編集することが基本です。

XMLRPC機能を利用して記事をリモート投稿することもできますが、XMLRPC自体は脆弱性があるため、セキュリティ面でもリスクがあります。

そのため、特に理由が無ければ、XMLRPC機能は絶対に無効化した方が一番安全です。

その理由とXMLRPC機能を無効化する手順について解説します。

XMLRPC機能が悪用される可能性がある！

WordPressのXMLRPC機能では、通常では管理画面でないとできない以下の作業をリモートで行うことができます。

しかし、その利便性とは裏にXMLRPC機能には脆弱性があり、

• サイトがDDos攻撃の被害に遭う
• サイトの記事やコメントが改ざんされる

などの問題点もあります。

ですから特に理由が無い限り、XMLRPC機能は無効化しておくことをオススメします。

XMLRPC機能を無効にする方法

エックスサーバーなどの大手レンタルサーバーでは、基本的にXMLRPCによるアクセス制限が標準で備わっています。

しかし、それだけの標準機能でも対策が不十分の場合もあります。

実際に、私も「SiteGuard WP Plugin」のログイン履歴からもそうですが、XMLRPC攻撃が酷すぎて困っていました・・・。

みきてぃ

うわぁ！これは対策しないとヤバいじゃん・・・（汗）

なので、XMLRPCを完全に無効化したらようやく収まったので、その手順を解説します。

XMLRPCを完全に無効化する方法は、

• プラグイン
• htaccessファイル

以上の2つの方法で行うことができます。

プラグインにおける手順

以下のプラグインでは、XMLRPCを無効化する機能が備わっています。

「SiteGuard WP Plugin」でXMLRPCを無効化する場合

1. 「XMCRPC防御」機能をON（有効化）にする
2. 「XMCRPC無効化」を選択する
3. 「変更を保存」をクリックする

htaccessファイルにおける手順

htaccessファイルでXMLRPCを無効化する場合は、以下を記述します。

<Files xmlrpc.php>
Order Deny,Allow
Deny from All
</Files>

まとめ

というわけで、今回は「XMLRPCを無効化にする理由と手順」について解説しました。

XMLRPC機能を無効化したらようやく解決したので、正直XMLRPC機能対策をしてホッとしたと思います。

まだXMLRPC対策を済ませていない方は、今すぐXMLRPCを無効化しておいた方がセキュリティ対策になりますので、参考になればと思います。

この記事を書いた人

みきてぃ

みきてぃ

20代のブロガーです。IT・インターネット関連や生活関連、趣味の1つである観賞魚などの記事を書いています。

≫詳しいプロフィールを見る

≫お問い合わせはこちら