パーソナルツール
現在位置: ホーム すべてのサービス ホームページ作成・公開(HUC12) WordPress 利用時の注意事項

WordPress 利用時の注意事項

 WordPress は世界中で広く使われていて便利な機能がたくさんある反面、攻撃対象に選ばれることも多々あります。場合によっては、攻撃の被害者になるだけでなく、不正に利用されて加害者となることもありえます。WordPress をお使いの際には以下のことに気を付けましょう。

  • WordPress 本体だけでなく、プラグインについても最新の状態に日々更新してください。
  • 不要な機能は停止し、必要な機能もアクセス権限を適切に制限してください。

攻撃対象になりやすいWordPressの機能

xmlrpc

 WordPress には、Webブラウザを使わずに(スマートフォンアプリやメール等で)記事を更新する機能が標準装備されています。この機能を不正利用しようとする攻撃が大変多く見られますので、必ず無効化もしくはアクセス制限をしてください。

この機能が不正利用されますと、次のようなことが起こり得ます。

  • WordPressの管理用パスワードが盗まれる
  • サーバ負荷が高くなりページを表示できなくなる
  • 学外のサーバへの負荷を高める攻撃に利用される

 

この機能を無効化するには、次の操作をしてください。

 xmlrpcを無効化するには、サーバ上の.htaccessファイルに次の内容を追記します。このファイルは通常、WordPressをインストールしたディレクトリの直下にあります。

<Files xmlrpc.php>
Order Deny,Allow
Deny from All
</Files>

 もし、.htaccessファイルの編集が難しいようでしたら、次のWordPressプラグインを利用することでもxmlrpcへのアクセスを無効化することができます。
SiteGuard WP Plugin (作成者:JP-Secure) 公式サイト
SiteGuard WP Plugin
 このプラグインをインストールすると、WordPressへの不正ログインを防ぐ目的で、WordPressのログインページのURLが変更になりますのでお知り置きください。(元のURLを使う事もできます。)
 このプラグインの「XMLRPC防御」メニューで、初期状態では「ピンバック無効化」が有効になっているところを、「XMLRPC無効化」を選択して「変更を保存」ボタンを押すと、xmlrpcを無効化する設定が自動的に.htaccessファイルに書かれます。
protect_xmlrpc

ドキュメントアクション