小説家になろうにて「キモオタでギャルゲー、それって何の罰ゲーム!?」連載中!

KUSANAGI(Nginx)でxmlrpc.phpを無効にしてセキュリティリスクを減らしてみた

KUSANAGI for ConoHa
この記事は約3分で読めます。

WPSCAN」を入れてチェックしてみたところ「xmlrpcが有効になっている」と怒られました。
Login rebuilderを入れていた頃はそちらで対処していたのですが、そのまま忘れていたようです。
Nginxなら設定簡単なのでやってしまいます。

解答者の写真
対処法だけ知りたい方は、目次から「Nginxの設定ファイルに追記する」へ飛んでください

アイキャッチの画像はKUSANAGIのイメージキャラクター草薙沙耶 ©PRIME STRATEGY

スポンサーリンク
この記事を読む方へのオススメ

xmlrpcを無効にする理由

どうしてxmlrpcを無効にしなくてはならないか?
ざっくり言えば、

質問者の写真

DDoS攻撃やプルートフォースアタックの対象になるから!

xmlrpcの用途はリモート投稿など。
使っていない人は止めても問題ありません。
一方で「ピンバック機能だけ」など限定して止めることもできます。

詳しくはこちらに書かれています。

WordPressのxmlrpc.php詳細ガイド(xmlrpc.phpとは、セキュリティリスク、無効にする方法)
WordPressの仕様の一つであるXML-RPC は、異なるシステム間での通信を標準化するために開発されました。つまり、WordPress外のアプリケーション(他のブログプラットフォームやデスクトップクライアントなど)がWordPressとやり取りできるためのものです。

特に強調したいのはこちら。

現在では、REST APIがXML-RPCに取って代わったため、サイトのxmlrpc.phpは無効にするのがいいでしょう。

(引用:kinsta「WordPressのxmlrpc.php詳細ガイド(xmlrpc.phpとは、セキュリティリスク、無効にする方法

なおさら止めても問題ありませんね。

スポンサーリンク

xmlrpcを無効にする方法

Nginxの設定ファイルに追記する

質問者の写真

無効にするだけなら簡単だよ

サーバー側でアクセスを禁止してしまいます。
/etc/nginx/conf.d/【プロファイル名】.ssl.confを開き、次の記述を加えます。

location = /xmlrpc.php {
deny all;
return 404;
}

終わったら、

#kusanagi restart

これでWPSCANから「完全に停止しました」と褒められます。
WPSCAN推奨の方法ですから当然でしょうけど。

Is WordPress XMLRPC a security problem? - WPScan WordPress Security
What is WordPress XMLRPC? WordPress XMLRPC allows other websites and software to interact with your WordPress website. Also known as an API. Some examples incl...

備考 functions.phpに追記する方法について

調べたなかで前項の方法よりも広く紹介されているのはフックに引っかけて停止させる方法。
以下を子テーマのfunctions.phpに追記します。

add_filter( 'xmlrpc_enabled', '__return_false' );

しかし私の環境ではWPSCANから「部分的にしか止まってないよ」と怒られました。
参考までに。

xmlrpcを部分的に無効にする方法

完全には止めたくないという方もいらっしゃると思います。
その場合はプラグインを使う方が簡単です。

私が使っていたのはLogin rebuilder。

Login rebuilder~KUSANAGI(Nginx)でログインページURLを変更できるセキュリティプラグイン
本記事はプラグインLogin rebuilderの紹介です。Login rebuilderはWordPressのログイン画面を変更することでセキュリティを強化します。他と違いNginxでも動くのがポイント、KUSANAGIユーザーには重宝します。

作者様による説明はこちら。
きめ細やかな設定が可能です。

Login rebuilderに「XML-RPC設定」を追加しました
公式サイトで公開しているプラグイン「Login rebuilder」をバージョンアップし、XML-RPCリクエストの管理機能を追加しました。Login rebuilderの主たる機能は、ログインページをサイト別にユニークなURLに変更し、ログインページへの不正アクセスを回避することです。WordPressのXML-RP...

KinstaではREST XML-RPC Data Checkerを推奨しています。

REST XML-RPC Data Checker
REST XML-RPC Data Checker allow to check JSON REST and XML-RPC API requests and grant access permissions.

私は未検証ですが、REST APIまで対応したいならおすすめかもです。

スポンサーリンク

まとめ

解答者の写真
完全に止めたいのなら対処は簡単
忘れずにやっておきましょう
ブログやサイトを始めたい・引っ越したい方へ

レンタルサーバーWING。
KUSANAGI&WEXALが使えるVPS。
どちらでも高速でコスパに優れたConoHaで始めるのがおすすめです。
もっと知りたい方はボタンをクリックしてください。
(ボタン経由で入会した場合、1000円分のクーポンがもらえます)

この記事を書いた人

広島市内のパチンコホール勤務。
3号機時代からのパチンカス。
ADHD、精神障害者手帳3級所持。
慶應義塾大学商学部卒、専攻はマーケティング(広告・宣伝)
国家一種試験経済職の資格で公安調査庁に入庁。
在職時は国際テロ、北朝鮮を担当。
「小説家になろう」の底辺作者。
WordPress記事は素人の備忘録です。

天満川鈴をフォローする
KUSANAGI for ConoHa
スポンサーリンク
きもおたねっと。
タイトルとURLをコピーしました