xmlrpc.

Hi, I detected your main language is not Japanese. I have an english version of about me, so please try it!

この投稿は1年半前の記事です。 情報が古くなっている可能性があるので、その点ご了承ください。
2016 年 4 月 6 日 471日前)
957文字 (読了時間2分)

SPONSORED LINK

たぶん、ここ一週間ぐらいだと思うんですけど、WordPressのXML-RPCエンドポイントへのブルートフォース攻撃が多くないですか? 僕がEC2でホスティングしているWordPressは全部やられました。

そんなにものすごい勢いでアクセスが来るわけじゃないので、大規模なサイトでは気づかないかもしれないのですが、サーバがしょぼいとCPUの利用率が100%を超えます。xml-rpc.php への認証をトライされるとDBへの接続が必ず行われてしまうからですね。

一番簡単なのは xmlrpc.php へのアクセスを遮断してしまうことなのですが、プラグインJetpackを使っている場合、そうもいかなかったりします。JetpackがXML-RPC使ってるからですね。

そこで、こんな設定をNginxの設定ファイルにこんな記述をしておくとわりとなんとかなります。

# Exclude jetpack
location ~ ^/xmlrpc\.php {
    if ( $http_user_agent !~* jetpack ) {
        return 403;
    }
}

ユーザーエージェントにJetPackが含まれていなかったら403エラーを返すという設定です。

これでわりとなんとかなると思いますが、いかがでしょうか。

雑感

JetPackってAutomatticの作ってるプラグインなわけで、ブルートフォースプロテクションとか、サイト監視とかいろんな機能をうたってはいますが、このプラグインを使うためには /xmlrpc.php を開放しておかなくてはならず、逆に他のプラグインがXML-RPC使っているかというとほぼ使っておらず、JetPackが一番のセキュリティホールなんじゃないの? と思ったり、思わなかったり。

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践 [書籍]

著者徳丸 浩

出版社SBクリエイティブ

出版日2011 年 3 月 1 日

商品カテゴリー単行本

ページ数496

ISBN4797361190

特徴DVD-ROM 付属

Supported by amazon Product Advertising API

 

SPONSORED LINK

この記事について

この記事はが2016 年 4 月 6 日にプログラミングの記事として公開しました。

フォローしてください

ここで会ったのもなにかの縁。
高橋文樹.comの最新情報を見逃さないためにもフォローをお願いします。
めったに送らないメルマガもあります。