xmlrpc.

この投稿は1年半前の記事です。 情報が古くなっている可能性があるので、その点ご了承ください。
2016 年 4 月 6 日 413日前)
955文字 (読了時間2分)

SPONSORED LINK

たぶん、ここ一週間ぐらいだと思うんですけど、WordPressのXML-RPCエンドポイントへのブルートフォース攻撃が多くないですか? 僕がEC2でホスティングしているWordPressは全部やられました。

そんなにものすごい勢いでアクセスが来るわけじゃないので、大規模なサイトでは気づかないかもしれないのですが、サーバがしょぼいとCPUの利用率が100%を超えます。xml-rpc.php への認証をトライされるとDBへの接続が必ず行われてしまうからですね。

一番簡単なのは xmlrpc.php へのアクセスを遮断してしまうことなのですが、プラグインJetpackを使っている場合、そうもいかなかったりします。JetpackがXML-RPC使ってるからですね。

そこで、こんな設定をNginxの設定ファイルにこんな記述をしておくとわりとなんとかなります。

# Exclude jetpack
location ~ ^/xmlrpc\.php {
    if ( $http_user_agent !~* jetpack ) {
        return 403;
    }
}

ユーザーエージェントにJetPackが含まれていなかったら403エラーを返すという設定です。

これでわりとなんとかなると思いますが、いかがでしょうか。

雑感

JetPackってAutomatticの作ってるプラグインなわけで、ブルートフォースプロテクションとか、サイト監視とかいろんな機能をうたってはいますが、このプラグインを使うためには /xmlrpc.php を開放しておかなくてはならず、逆に他のプラグインがXML-RPC使っているかというとほぼ使っておらず、JetPackが一番のセキュリティホールなんじゃないの? と思ったり、思わなかったり。

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践 [書籍]

著者徳丸 浩

出版社SBクリエイティブ

出版日2011 年 3 月 1 日

商品カテゴリー単行本

ページ数496

ISBN4797361190

特徴DVD-ROM 付属

Supported by amazon Product Advertising API

 

フォローしてください

ここで会ったのもなにかの縁。
高橋文樹.comの最新情報を見逃さないためにもフォローをお願いします。
めったに送らないメルマガもあります。

SPONSORED LINK

この記事について

この記事はが2016 年 4 月 6 日にプログラミングの記事として公開しました。

高橋先生の電子書籍

高橋先生の電子書籍

Amazonで電子書籍も買えます。

好きな言葉

神だって人間を創るとき、新たな創作ができなかったのか敢えてそうしなかったのかは知らぬが、いずれにせよ自分の姿に似せて創った。だからこそ、同時代の作家から一場面をそっくり盗み出していることがあるとアホな批評家に非難されたとき、シェイクスピアはこんな言葉を口にできたのである。「私はうら若い娘さんをお下劣な連中とのつきあいから救い出して上品な社会に入れてやったのです!」同様の批判を受けたとき、これも同じ理由からモリエールはもっと素朴にこう答えている。「俺は見つけたらすぐ自分の財産にする」シェイクスピアもモリエールも正しい。才能あるものは盗まず、奪い取るからである。

— アレクサンドル・デュマ

高橋先生の処女作

『途中下車』高橋文樹

2001年幻冬舎NET学生文学大賞受賞作です。

Web制作やります

Web制作やります

Web制作のご依頼は株式会社破滅派へ

不定期メルマガ

高橋文樹.comでは、不定期でニュースレターを配信しています。滅多に送らないので是非購読してください。

高橋文樹.comではプライバシーポリシーに準じて登録情報を取り扱います。