WordPressサイトを運営していると、「突然アクセスが急増した」「ログイン試行が大量に発生している」「サーバー負荷が異常に高い」といった現象に遭遇することがあります。これらの原因の一つとして疑われるのが、WordPress標準ファイルxmlrpc.phpを狙った不正アクセスです。
xmlrpc.phpは便利な外部連携機能を提供する一方で、設定や管理が不十分だと攻撃の入口となる可能性があります。本記事では、xmlrpc攻撃の仕組みと、今すぐ実施できる対策・長期的な防御策を体系的に解説します。
目次
xmlrpc.phpとは何か?
xmlrpc.phpは、WordPressを外部アプリや他サイトと通信させるためのAPIファイルです。主な用途は次の通りです。
- スマホアプリからの投稿
- 外部サービス連携
- ピンバック・トラックバック通信
しかし、この通信仕様は認証試行をまとめて送信できる特性を持つため、攻撃者にとって効率の良い侵入口にもなります。
xmlrpcが狙われる主な攻撃手口
- 総当たりログイン攻撃(ブルートフォース)
通常ログイン画面よりも効率よく大量の認証試行を行えるため、短時間でパスワード解析を狙われます。 - DDoS攻撃の踏み台化
ピンバック機能を悪用し、第三者サイトへ大量アクセスを送る攻撃に利用されることがあります。 - 情報取得・内部探索
古いバージョンでは脆弱性を利用して内部情報を取得されるケースも確認されています。
今すぐできる緊急対策
① xmlrpc.phpを無効化
外部投稿やアプリ連携を使っていない場合は、xmlrpc自体を無効化するのが最も効果的です。
またはセキュリティプラグインの設定から無効化する方法もあります。
② ログイン試行制限
ログイン試行回数制限プラグインを導入すれば、大量認証攻撃を自動ブロックできます。
③ WAF導入
WAF(Web Application Firewall)を導入すると、不正通信をサーバー到達前に遮断できます。CDN型WAFやサーバー標準WAFでも効果があります。
長期的に安全性を高める恒久対策
- WordPress・テーマ・プラグインの更新
既知脆弱性を突かれるリスクを防ぎます。 - 強固なパスワード+2段階認証
認証突破リスクを大幅に低減できます。 - 定期バックアップ
改ざん・感染時の迅速復旧を可能にします。 - サーバー側セキュリティ設定
国外IP制限、特定URL制限、Bot対策などを有効化します。
まとめ
xmlrpc.phpはWordPress標準機能である一方、攻撃者に悪用されやすいポイントでもあります。不要であれば停止、必要であれば制限付き運用を行うことで、リスクは大幅に軽減できます。
WordPressの安全性は「設定」「更新」「監視」の三要素で決まります。特にxmlrpcは見落とされやすい項目のため、定期的な確認と対策を習慣化しましょう。
