最近、WordPressサイトへの不審なアクセスが増加しているように見受けられます。
私が運営しているブログ(このブログとは別のブログです)にも結構な頻度で来ています。
皆さんのところには来ていないですか。
WordPressの機能を使ってログインしようとしている
WordPressに備わっている「xmlrpc.php」を使用してログインを試みているようです。
XML-RPC API等と呼ばれている機能になります。(REST APIとは別のものです)
WordPressの投稿画面ではなく、アプリやメールから投稿を行う際などに使われる機能のようです。
レンタルサーバーでは既に無効化されている可能性もあり
レンタルサーバーによってはWordPressを簡単にインストールできる機能を提供していることもありますが、その場合は最初からXML-RPC APIが無効化されていることもあるようです。
また、セキュリティ対策のプラグインをインストールしている場合はデフォルトで無効化されている可能性があります。
無効になっていても不審なアクセスあり
私が運営しているブログを改めて見たところ、XML-RPC API絡みの不審なアクセスは全て弾く設定になっていました。
それでも何件かはおかしなアクセスがありましたね。
何らかの方法ですり抜けてきているのか、今回述べている方法とは全く別の方法でのアクセス試行なのか…。
ユーザー名:NoneNone
サーバーのログを見ると、ユーザー名「NoneNone」でログインを試みた形跡が多く残っていました。
この「NoneNone」というユーザー名は不正アクセスに使用するID/パスワードのリストを生成するスクリプトが、ID/パスワードが取得できなかった場合にデフォルトで設定する値のようです。
対策
対策としてはXML-RPC APIを使わないようにするしかないようです。
言うまでもなく、この機能を使っているアプリやメールからの投稿などは行えなくなります。
でも怪しげなアクセスでサイトの入り口をコンコン叩かれるよりはましですよね…。
また今回の私の例のように、すり抜けてきたものに対してはある試行回数に達したらそのIPアドレスからのアクセスを拒否するようにするのが効果的だと思います。
そのような機能を提供してくれるプラグインがあるので導入するのがいいと思います。
まとめ
WordPressは使っている方が多いこともあって攻撃の対象になることが多いように思います。
問い合わせフォームを悪用した攻撃と同様に、今回の件も何か脆弱性を突いたものではなく通常の処理の中で攻撃が可能になるという点がポイントだと思います。
以前から攻撃に使われる可能性は指摘されていたので「無効化する」という対策は既に確立されており、前述の通り対策が施された状態で提供されるパターンも多いとはいえ厄介ですね。
適切な設定を行い、快適なブログライフを楽しみましょう!
コメント