【WordPressセキュリティ対策】XMLRPC機能は絶対に無効化した方がいい理由

WordPressでは管理画面から記事を投稿・編集することが基本です。

XMLRPC機能を利用して記事をリモート投稿することもできますが、XMLRPC自体は脆弱性があるため、セキュリティ面でもリスクがあります。

そのため、特に理由が無ければ、XMLRPC機能は絶対に無効化した方が一番安全です。

その理由とXMLRPC機能を無効化する手順について解説します。

XMLRPC機能が悪用される可能性がある!

WordPressのXMLRPC機能では、通常では管理画面でないとできない以下の作業をリモートで行うことができます。

  • メールによる記事の投稿
  • 既存の記事の編集・削除
  • ファイルのアップロード
  • コメントの編集
  • ピンバックの編集

しかし、その利便性とは裏にXMLRPC機能には脆弱性があり、

  • サイトがDDos攻撃の被害に遭う
  • サイトの記事やコメントが改ざんされる

などの問題点もあります。

ですから特に理由が無い限り、XMLRPC機能は無効化しておくことをオススメします。

XMLRPC機能を無効にする方法

エックスサーバーなどの大手レンタルサーバーでは、基本的にXMLRPCによるアクセス制限が標準で備わっています。

しかし、それだけの標準機能でも対策が不十分の場合もあります。

実際に、私も「SiteGuard WP Plugin」のログイン履歴からもそうですが、XMLRPC攻撃が酷すぎて困っていました・・・。

WordPress 「SiteGuard WP Plugin」ログイン履歴
WordPress 「SiteGuard WP Plugin」ログイン履歴
プロフィール用アイコン
みきてぃ東西線

うわぁ!これは対策しないとヤバいじゃん・・・(汗)

なので、XMLRPCを完全に無効化したらようやく収まったので、その手順を解説します。

XMLRPCを完全に無効化する方法は、

  • プラグイン
  • htaccessファイル

以上の2つの方法で行うことができます。

プラグインにおける手順

以下のプラグインでは、XMLRPCを無効化する機能が備わっています。

「SiteGuard WP Plugin」でXMLRPCを無効化する場合

  1. 「XMCRPC防御」機能をON(有効化)にする
  2. 「XMCRPC無効化」を選択する
  3. 「変更を保存」をクリックする
WordPress 「SiteGuard WP Plugin」XMLRPC防御設定画面

htaccessファイルにおける手順

htaccessファイルでXMLRPCを無効化する場合は、以下を記述します。

<Files xmlrpc.php>
Order Deny,Allow
Deny from All
</Files>

まとめ

というわけで、今回は「XMLRPCを無効化にする理由と手順」について解説しました。

XMLRPC機能を無効化したらようやく解決したので、正直XMLRPC機能対策をしてホッとしたと思います。

まだXMLRPC対策を済ませていない方は、今すぐXMLRPCを無効化しておいた方がセキュリティ対策になりますので、参考になればと思います。

スポンサーリンク