[WordPress] xmlrpc を利用した踏み台攻撃への対応について

メモ 1 Minute

Sucuri で以下の記事が投稿されてから、にわかに注目されてきましたね。
More Than 162,000 WordPress Sites Used for Distributed Denial of Service Attack | Sucuri Blog

コーポレートサイトとかで、そもそも xmlrpc 使ってないよって場合は、Web サーバレベルで追い返しちゃいましょう。


<Files ~ "xmlrpc.php$">
deny from all
</Files>

view raw

apache.conf

hosted with ❤ by GitHub


location ~* xmlrpc\.php$ {
log_not_found off;
return 403;
}

view raw

nginx.conf

hosted with ❤ by GitHub

18:35 追記
ちょっとこのままだとスマートフォンアプリから投稿できなくなっちゃったよママン..とか言う人が出てきそうなので。
xmlrpc は、スマフォアプリなどからの投稿などでも使われます。そのため、全部拒否しちゃうと iOS や Android アプリからの投稿ができなくなったりしますので、IP アドレス制限などと組み合わせて使ってください。

参考

投稿者: wokamoto

Developing WordPress Plugins for the WordPress Plugin Directory.

公開済み

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

Gravatar
WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト /  変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト /  変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト /  変更 )

キャンセル

%s と連携中