「WPSCAN」を入れてチェックしてみたところ「xmlrpcが有効になっている」と怒られました。
Login rebuilderを入れていた頃はそちらで対処していたのですが、そのまま忘れていたようです。
Nginxなら設定簡単なのでやってしまいます。
アイキャッチの画像はKUSANAGIのイメージキャラクター草薙沙耶 ©PRIME STRATEGY
xmlrpcを無効にする理由
どうしてxmlrpcを無効にしなくてはならないか?
ざっくり言えば、
xmlrpcの用途はリモート投稿など。
使っていない人は止めても問題ありません。
一方で「ピンバック機能だけ」など限定して止めることもできます。
詳しくはこちらに書かれています。
特に強調したいのはこちら。
現在では、REST APIがXML-RPCに取って代わったため、サイトのxmlrpc.phpは無効にするのがいいでしょう。
(引用:kinsta「WordPressのxmlrpc.php詳細ガイド(xmlrpc.phpとは、セキュリティリスク、無効にする方法)
なおさら止めても問題ありませんね。
xmlrpcを無効にする方法
Nginxの設定ファイルに追記する
サーバー側でアクセスを禁止してしまいます。
/etc/nginx/conf.d/【プロファイル名】.ssl.confを開き、次の記述を加えます。
location = /xmlrpc.php {
deny all;
return 404;
}
終わったら、
#kusanagi restart
これでWPSCANから「完全に停止しました」と褒められます。
WPSCAN推奨の方法ですから当然でしょうけど。
備考 functions.phpに追記する方法について
調べたなかで前項の方法よりも広く紹介されているのはフックに引っかけて停止させる方法。
以下を子テーマのfunctions.phpに追記します。
add_filter( 'xmlrpc_enabled', '__return_false' );
しかし私の環境ではWPSCANから「部分的にしか止まってないよ」と怒られました。
参考までに。
xmlrpcを部分的に無効にする方法
完全には止めたくないという方もいらっしゃると思います。
その場合はプラグインを使う方が簡単です。
私が使っていたのはLogin rebuilder。
作者様による説明はこちら。
きめ細やかな設定が可能です。
KinstaではREST XML-RPC Data Checkerを推奨しています。
私は未検証ですが、REST APIまで対応したいならおすすめかもです。
まとめ
忘れずにやっておきましょう
コメント