「WordPress」(オープンソースCMS)のPingback機能が大規模なDDoS攻撃に悪用されるという事象が、WebARENA SuiteXをご利用のお客さまの中にも発生しています。
WordPressをご利用のお客さまは、次の対策をお願いいたします。
1.WordPressのバージョンアップ
WordPressの古いバージョンには複数の脆弱性が発見されています。
WordPressをバージョンアップすることをお勧めいたします。
バージョンアップの手順については、オンラインマニュアルでご案内しています。
なお、バージョンアップにより、現在ご利用中の機能や利用方法が変更になることがあります。
お客さまのご判断のもと、実施してください。
2.Pingback機能を利用しない設定にする
※Pingback機能を継続利用されたい方は、以下の「3.Pingback機能の無効化 」の
【方法2】の手順を実行してください。
■Pingback機能を利用しない設定に変更します。
①WordPressのダッシュボードへログインします。
「設定」 > 「ディスカッション」 > 「投稿のデフォルト設定」
「新しい記事に対し他のブログからの通知 (ピンバック・トラックバック) を受け付ける」のチェックを外します。
※バージョン 4.3.1 の項目名です。その他のバージョンをご利用の場合は、表記が異なる場合があります。
②画面最下部の[変更を保存]ボタンをクリックします。
■すでに投稿している記事に対しても、Pingbackを許可しない設定に変更します。
①WordPressのダッシュボードへログインします。
「投稿」 > 「投稿一覧」
タイトルの左横にあるボックスすべてにチェックを付けます。
プルダウンの「一括操作」から「編集」を選択し、[適用]ボタンをクリックします。
②右側にある「トラックバック/ピンバック」のプルダウンの「許可しない」を選択し、
[更新]ボタンをクリックします。
3.Pingback機能の無効化
無効化する方法は、2通りあります。どちらかの手順を実行してください。
【方法1】
プラグインをインストールし、Pingback機能を無効化します。
①WordPressのダッシュボードへログインします。
「プラグイン」 > 「新規追加」
②検索ワードの入力欄に「Disable XML-RPC Pingback」と入力し、
[プラグインの検索]ボタンをクリックします。
[プラグインの検索]ボタンをクリックします。
③該当のプラグインの[いますぐインストール]ボタンをクリックし、インストールを開始します。
④「プラグイン Disable XML-RPC Pingback *.*(※) のインストールが完了しました。」メッセージの表示後、
[プラグインを有効化]ボタンをクリックします。
[プラグインを有効化]ボタンをクリックします。
※「*.*」はバージョンによって異なります。
【方法2】
xmlrpc.phpへアクセス可能なIPアドレスを制限します。
Pingback機能以外(リモート投稿など)でAPIを利用する場合は、.htaccess で、
xmlrpc.phpファイルへアクセス可能なIPアドレスを制限します。
.htaccessファイルの配置場所
・サイトマネージャーのCGIインストーラーからインストールしたお客さま
/app-def/S-102/お客さまの指定したディレクトリ名
・WordPressの公式サイトなどから直接インストールしたお客さま
/home配下など、お客さまが配置したディレクトリ
こちらのフォルダー直下(wp-adminフォルダーや、index.phpなどが配置されている場所)に.htaccessファイルを作成し、以下のように記述(もしくは追記)してください。
---------------
Order Deny,Allow
Deny from all
Allow from XXX.XXX.XXX.XXX
---------------
※XXX.XXX.XXX.XXX には、xmlrpc.phpへのアクセスを許可したいIPアドレスを記載します。