WordPressのXML-RPC機能を無効にして不正アクセスを防止

概要説明

xmlrpc.php攻撃の対象になる可能性があるため不要であれば無効化するカスタマイズ。

.htaccess
<Files "xmlrpc.php">
    Require all denied
</Files>

functions.php にてヘッダーから削除

functions.php
/*----------------------------------------------------
 xmlrpc.phpを無効化
----------------------------------------------------*/
add_filter( 'xmlrpc_enabled', '__return_false' );
remove_action('wp_head', 'rsd_link');
htmlソース
<link rel="EditURI" type="application/rsd+xml" title="RSD" href="https://xxxxxxx/xmlrpc.php?rsd" />

上記のxmlrpc.phpを含む記述がhtmlソースから消えたことを確認してください。

xmlrpc.phpがまだ残っている場合ファイルから探して削除

// 該当記述を探して削除
<link rel="pingback" href="<?php bloginfo('pingback_url'); ?>">

XML-RPCの状態を確認

https://確認したいWordPressサイトのURL/xmlrpc.php にアクセスしてみてください

XML-RPC server accepts POST requests only.が表示されたら無効化されていません。

WordPressのバージョンアップの際にxmlrpc.phpが作成されます。

プラグインで対応を行う場合

SiteGuard WP Plugin こちらでXMLRPCの制御が行なえます。
公式解説ページ

WordPressのXML-RPC機能を無効にして不正アクセスを防止
.htaccess
<Files xmlrpc.php>
    <IfModule authz_core_module>
        Require all denied
    </IfModule>
    <IfModule !authz_core_module>
        Order allow,deny
        Deny from all
    </IfModule>
</Files>

無効化の設定を行うと.htaccessに上記設定を追加しているようです。

WordPress Developer Resources

関連機能

  1. WordPressでヘッダーからフッターにCSS、javascriptの読み込みタグを移動させる

  2. WordPress 不正アクセス・攻撃の対象となっているかを簡単に確認する方法

  3. WordPress 静的htmlをSimply Staticプラグインにて一括作成 & 静的htmlが存在すればキャッシュファイルとして使用する( .htaccessリダイレクト )

サイドバー

よく使うカスタマイズ

最近の記事

アニメの名言集

服だけ溶かす薬。男ってのはね
こういうの渡しておけば喜ぶんだよ

葬送のフリーレン
by フリーレン

Profile

PAGE TOP
Amazon プライム対象