2021年5月12日
注意喚起
【重要】Wordpress で作成されたWEBサイトの改ざんに関する注意喚起
昨今WEBサイトが、Wordpressの「XML-RPC機能(※)」を利用した改ざんや攻撃の踏み台にされる事象が発生しております。
このような被害にあわないため、以下の内容をご確認の上、必要な処置を行っていただけますようお願いいたします。
※Wordpressの「XML-RPC機能」:Wordpressの管理画面にログインすることなく、リモート操作ができる仕組みです。
Wordpressの「XML-RPC機能」は、Wordpressのインストール時にデフォルトで有効化になっております。
この機能を利用しないWEBサイトでは、安全確保の為に無効にしていただくことをお勧めしております。
<無効にした場合の注意点>
xmlrpc.phpを完全に無効にすると以下の機能がご利用いただけなくなります。
- スマホアプリ経由等でリモートで記事を投稿・編集・削除する、ファイルをアップロードする
- Microsoft Word、Frontpageから直接投稿する
- ピンバック、トラックバックを利用する
無効にする方法は下記のとおりです。いずれかの方法で無効・削除を行ってください。
(1)xmlrpc.phpを削除する
該当ファイルを削除しても、Wordpress本体をバージョンアップした場合には該当ファイルが再度インストールされます。
バージョンアップ後は、改めて削除を行ってください。
(2)FTP接続ソフトでxmlrpc.phpのパーミッションを「000」に変更して、実行権限を無くす設定を行う。
(3).htaccessファイルでxmlrpc.phpにアクセス制限を設定することでxmlrpc.phpの実行が行えない状態にする。
▼参考:.htaccess記述内容は以下の通りです。
------------------------------------
<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>
------------------------------------
(4)信頼できる一部のIPからのみxmlrpc.phpへのアクセスを許可するよう、.htaccessファイルに記述する。
▼参考:.htaccess記述内容は以下の通りです。
------------------------------------
<Files xmlrpc.php>
Order Allow,Deny
Deny from all
Allow from [アクセスを許可するIP]
</Files>
------------------------------------
今後ともミライネットをよろしくお願いいたします。