IT

WordPressのPingback(ピンバック)機能を悪用したDDoS攻撃対策

WordPressのPingback(ピンバック)機能を悪用したDDoS攻撃対策
2014.06.06
※本記事はプロモーションが含まれています

hetemlサーバー契約者当てに次のようなメールが送信されています。

現在、WordPressの一部機能を悪用し第三者のサイトへのDDoS攻撃が行われるという、結果的にお客様のサイトが攻撃に悪用されてしまうケースが発生しております。
ヘテムルでも、WordPressをご利用のお客様が多いためご対応をいただきたくご案内いたします。

本現象は、WordPressをご利用でかつPingback機能というWordPressの機能が有効な場合に確認されております。

※DDoS攻撃はWordPressのPingback機能を悪用し第三者のサイトに対して行われます。
※Pingbackとは記事にサイトのURLを書くと、WordPressが自動的にリンクが張られたことを該当のサイトへ通知をする機能です。

一部省略、修正

http://www.atmarkit.co.jp/ait/articles/1403/13/news133.html

hetemlだけでなくWordPressを使用したサイトすべてに該当することなので、早めの対策が必要のようです。

スポンサーリンク

WordPressのDDoS攻撃対策方法

WordPressを最新のものにバージョンアップする

WordPressは古いバージョンほど多くの脆弱性が見つかっています。WordPressが何故こんなにも頻繁にバージョンアップされるかと言うと、こうしたセキュリティー・ホールを日々改善されているからなのです。

それを知らずに、バージョンアップを怠って「スパムコメントが酷い」だとか「アカウントハッキングされた」と言っているようでは愚問でしょう。

Pingback(ピンバック)機能を利用しない設定にする

Pingback(ピンバック)機能はWordPress3.5から初期設定で有効となっています。特に設定をしていない人は確認してみて下さい。

WordPress管理画面 → 設定 → ディスカッション → 投稿のデフォルト設定 → 他のブログからの通知 (ピンバック・トラックバック) を受け付ける → チェックを外す → 変更を保存

既に公開さた記事に関して

既に公開されている記事に関して、は投稿一覧からPingback(ピンバック)機能の設定が出来ます。

投稿一覧 → タイトル横のチェックボックスにチェック(一括選択) → その上の一括操作で編集を選択 → その横の適用をクリック → 開いたメニューの右側のトラックバック/ピンバックを許可しないに → 更新

ページごとの設定なので予め表示する投稿数を増やすと便利です。

投稿一覧 → 表示オプション → 投稿の数字を表示させたい数に増やす → 適用

Pingback(ピンバック)機能自体をプラグインで無効化する

Disable XML-RPC Pingbackというピンバックを無効化するプラグインがあります。プラグインの新規追加で「Disable XML-RPC Pingback」と検索してインストールできます。

xmlrpc.phpへアクセス可能なIPアドレスを制限する

Pingback機能以外(リモート投稿など)でAPIを利用する場合は.htaccessでxmlrpc.phpファイルへアクセス可能なIPアドレスを制限できます。

xmlrpc.phpは、WordPressをインストールした公開フォルダ にあります。

WordPressをインストールした公開フォルダで、.htaccessに下記の記述(もしくは追記)をします。

<Files xmlrpc.php>
Order Deny,Allow
Deny from all
Allow from XXX.XXX.XXX.XXX
</Files>

※XXX.XXX.XXX.XXX はxmlrpc.phpへのアクセスを許可するIPアドレスを入力

セキュリティ対策はあなただけの問題ではない

レンタルサーバーなどの共有型サーバーでWordPressを利用している方は、今回のDDos攻撃のような悪質な行為に対して特に注意すべきです。

1つのサイトがDDos攻撃を受けると、そのサイトが置かれているWEBサーバー自体がブラックリストへ登録され、同じのサーバーでサイト運営をしている他の人にも被害が及びます。

もし自分のサイトが原因で、誰かのサイトが多額の利益損失が出た場合、サーバー運営会社ではなく直接的な原因でもあるあなたが訴えられることも十分に考えられます。

逆に、このような被害を防ぎたい場合は、少々高額ですが専用サーバーを借りることが最も有効です。

共有サーバー

複数の契約者が1つのサーバーを共有。格安でサーバーをレンタルできる反面、今回のようなリスクも起こりうる。しっかり個人で管理するのであれば共有サーバーでも問題はありません。

中小企業や個人レベルのサイトであれば、共有サーバーでも十分安心してサイト運用ができます。

専用サーバー

1契約者につき1つのサーバーを使用する運用方法です(ほとんどは仮想的に個別のサーバーを構築している)。

共有サーバーと違って、同じサーバー内の他サイトの影響を受けないので、間接的に自分のサイトがダウンすることはまずないと言っていいでしょう。

ただ、その分運用コストが高くなるので大手企業のようなサイトが停止することが致命的な場合を除き、中小企業や個人で契約する人はほとんどいません。

記事のコメント

タイトルとURLをコピーしました