WordPressにはxmlrpc.phpという外部からワードプレスをコントロールするためのプログラムが含まれています。今回はこのファイルの解説とセキュリティーについて書きたいと思います。


xmlrpc.phpは何に使われている?

xmlrpc.phpは管理画面からではなく、他のプログラムやサイト外からワードプレスをコントロールするための様々な機能を提供しています。例として下記のようなものがあります。

  • 投稿をメールで作成
  • 投稿を編集
  • 投稿の削除
  • ファイルのアップロード
  • コメントの追加削除
  • コメントの編集
  • ピンバック(リンク元がリンク先に通知する機能です)

xmlrpc.phpのセキュリティー

xmlrpcは外部からワードプレスのコントロールを提供するため、ハッカーによりその機能を悪用されることがあります。以下はハッカーにこの機能が悪用される例です。

●DDoS攻撃(大量のパケットを送信することによるサイトのダウン アクセス拒否攻撃)
●辞書による総当たりのログイン施行からの管理権限の取得
●スパムコメントの連続投稿
●管理権限の略奪後のサイトの改ざん、バックドアの設置

XMLRPCは便利な機能も提供していますが同時に、ワードプレスにとっては脆弱性を高めてしまっているものでもあるのです。ワードプレスドクターではXMLRPCの機能はセキュリティー上の観点から完全に停止した方がよいと考えています。

xmlrpc.phpを停止するには?

xmlrpc.phpの機能は、様々なプラグインで停止することができます。Wordfence Security や All In One WP Security & Firewall iThemes Security  等のセキュリティープラグインにその機能が含まれています。

xmlrpc.phpを停止しても大丈夫?

メールによる投稿機能やピンバック機能が使用不可能となります。また、プラグインによってはXMLRPCの機能を利用しているものがありプラグインが正しく動作しなくなることもございます。
特にjetpackはXMLRPCを様々な局面で使用しているため、下記の機能が使用不可能となる場合があるためご注意ください。ただ多くの機能は動作します。エラーが出てサイトが見れなくなることはほとんどございません。

●Wordpress.comとの連携の諸機能(連携後のサイトのアクセス統計機能は動作します)
●パブリサイズ共有
●正常な管理機能へのアクセス(403エラーをページ表示時に発生させる)
●ページや管理画面に 空白行やワーニング表示が現れる

関連記事
WordPress(ワードプレス)脆弱性診断 セキュリティースキャナ

WordPressの脆弱性のご解決、復旧、マルウェア駆除はWPドクターにご依頼ください