WordPressの「XML-RPC」を無効化するための設定方法
この記事は、WordPressの「XML-RPC」を無効化するための設定方法を書いたものです。
ずいぶん前ですが、以下の記事を読みました。
DoSの踏み台にされているJPドメインのWordPressをまとめてみた - piyolog
その時、私が運営していたWordPressサイトは対策済みです。
今回、新しく作っているWordPressサイトにもDoS攻撃の踏み台とならないように対策をしていこうと思います。
WordPressの「XML-RPC」を無効化するための設定方法
「Disable XML-RPC Pingback」プラグインのインストールと有効化
WordPress管理画面のメニュー欄にある[プラグイン]の[新規追加]をクリックします。
検索欄に「Disable XML-RPC Pingback」と入力し、[プラグインの検索]をクリックします。
検索結果から「Disable XML-RPC Pingback」を探し、[いますぐインストール]をクリックします。
確認画面が表示されます。インストールする場合は、[OK]をクリックします。
インストールが完了します。引き続き、有効化する場合は[プラグインを有効化]をクリックします。
プラグインが有効化されました。
特に設定がないプラグインなので、有効化することで機能していると思われます。
「.htaccess」で「xmlrpc.php」をアクセス不可にする
プラグインを導入した後に、「xmlrpc.php」にブラウザでアクセスした画面は以下の画像です。
プラグインを導入したものの、ファイルにアクセスできるというのは不完全な感じに私は思いました。そこで、「xmlrpc.php」ファイルにアクセスできないように設定しました。
以下のサイト記事のような記述が書かれた「.htaccess」を作成します。
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
「xmlrpc.php」が設置されているフォルダに、上記で作成した「.htaccess」ファイルをFTPクライアントソフトなどでアップロードします。
アップロード後「xmlrpc.php」にアクセスした画面が以下の画面です。
ファイルにアクセス制限がかかり、アクセスできないようになりました。
上記で、WordPressの「XML-RPC」を無効化するための設定は完了です。
参考文献
DoSの踏み台にされているJPドメインのWordPressをまとめてみた - piyolog
踏み台にされたくないのでXML-RPCを無効にした | kwLog
WordPress の Pingback 対策 at www.morihi-soc.net
WordPress › Disable XML-RPC Pingback « WordPress Plugins
以上、ありがとうございました。