operationservicebuの日記

日々の日記、Webサービスや書籍などのレビュー、スマホやパソコンで困ったことの操作方法など自由に書いているブログです。

WordPressの「XML-RPC」を無効化するための設定方法

この記事は、WordPressの「XML-RPC」を無効化するための設定方法を書いたものです。

 

ずいぶん前ですが、以下の記事を読みました。

DoSの踏み台にされているJPドメインのWordPressをまとめてみた - piyolog

 

その時、私が運営していたWordPressサイトは対策済みです。

今回、新しく作っているWordPressサイトにもDoS攻撃の踏み台とならないように対策をしていこうと思います。

 

WordPressの「XML-RPC」を無効化するための設定方法

「Disable XML-RPC Pingback」プラグインのインストールと有効化

WordPress管理画面のメニュー欄にある[プラグイン]の[新規追加]をクリックします。

f:id:operationservicebu:20140608221516j:plain

 

検索欄に「Disable XML-RPC Pingback」と入力し、[プラグインの検索]をクリックします。

f:id:operationservicebu:20140608221531j:plain

 

検索結果から「Disable XML-RPC Pingback」を探し、[いますぐインストール]をクリックします。

f:id:operationservicebu:20140608221610j:plain

 

確認画面が表示されます。インストールする場合は、[OK]をクリックします。

f:id:operationservicebu:20140608221645j:plain

 

インストールが完了します。引き続き、有効化する場合は[プラグインを有効化]をクリックします。

f:id:operationservicebu:20140608221716j:plain

 

プラグインが有効化されました。

f:id:operationservicebu:20140608221728j:plain

 

特に設定がないプラグインなので、有効化することで機能していると思われます。

 

「.htaccess」で「xmlrpc.php」をアクセス不可にする

プラグインを導入した後に、「xmlrpc.php」にブラウザでアクセスした画面は以下の画像です。

f:id:operationservicebu:20140608221456j:plain

 

プラグインを導入したものの、ファイルにアクセスできるというのは不完全な感じに私は思いました。そこで、「xmlrpc.php」ファイルにアクセスできないように設定しました。

 

以下のサイト記事のような記述が書かれた「.htaccess」を作成します。

<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

WordPress の Pingback 対策 at www.morihi-soc.net

 

「xmlrpc.php」が設置されているフォルダに、上記で作成した「.htaccess」ファイルをFTPクライアントソフトなどでアップロードします。

 

アップロード後「xmlrpc.php」にアクセスした画面が以下の画面です。

f:id:operationservicebu:20140608221442j:plain

 

ファイルにアクセス制限がかかり、アクセスできないようになりました。

 

上記で、WordPressの「XML-RPC」を無効化するための設定は完了です。

 

参考文献

DoSの踏み台にされているJPドメインのWordPressをまとめてみた - piyolog

踏み台にされたくないのでXML-RPCを無効にした | kwLog

WordPress の Pingback 対策 at www.morihi-soc.net

WordPress › Disable XML-RPC Pingback « WordPress Plugins

 

以上、ありがとうございました。