fbpx

メニュー

Wordxml

この投稿は 3年半 前に公開されました。いまではもう無効になった内容を含んでいるかもしれないことをご了承ください。

たぶん、ここ一週間ぐらいだと思うんですけど、WordPressのXML-RPCエンドポイントへのブルートフォース攻撃が多くないですか? 僕がEC2でホスティングしているWordPressは全部やられました。

そんなにものすごい勢いでアクセスが来るわけじゃないので、大規模なサイトでは気づかないかもしれないのですが、サーバがしょぼいとCPUの利用率が100%を超えます。xml-rpc.php への認証をトライされるとDBへの接続が必ず行われてしまうからですね。

一番簡単なのは xmlrpc.php へのアクセスを遮断してしまうことなのですが、プラグインJetpackを使っている場合、そうもいかなかったりします。JetpackがXML-RPC使ってるからですね。

そこで、こんな設定をNginxの設定ファイルにこんな記述をしておくとわりとなんとかなります。

# Exclude jetpack
location ~ ^/xmlrpc\.php {
    if ( $http_user_agent !~* jetpack ) {
        return 403;
    }
}

ユーザーエージェントにJetPackが含まれていなかったら403エラーを返すという設定です。

これでわりとなんとかなると思いますが、いかがでしょうか。

雑感

JetPackってAutomatticの作ってるプラグインなわけで、ブルートフォースプロテクションとか、サイト監視とかいろんな機能をうたってはいますが、このプラグインを使うためには /xmlrpc.php を開放しておかなくてはならず、逆に他のプラグインがXML-RPC使っているかというとほぼ使っておらず、JetPackが一番のセキュリティホールなんじゃないの? と思ったり、思わなかったり。

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践書籍

作者徳丸 浩

発行SBクリエイティブ

発売日2011 年 3 月 1 日

カテゴリー単行本

ページ数496

ISBN4797361190

Supported by amazon Product Advertising API

すべての投稿を見る

高橋文樹ニュースレター

高橋文樹が最近の活動報告、サイトでパブリックにできない情報などをお伝えするメーリングリストです。 滅多に送りませんので、ぜひご登録お願いいたします。 お得なダウンロードコンテンツなども計画中です。