WordPressのPingback機能を悪用したDDoS攻撃対策

2014年06月16日
follow us in feedly

先日、オープンソースのCMS「WordPress」のPingback機能が、大規模な“反射型”DDoS攻撃に悪用されているというニュースがありました。

今度はWordPressが踏み台に、Pingback機能を悪用しDDoS攻撃 – @IT

Pingback機能とは記事に他サイトのURLを書くと、自動的にリンクが張られたことを該当のサイトへ通知をする機能です。WordPressはバージョン3.5以降はデフォルトで有効になっているので注意が必要です。

この機能を悪用されると、自分が知らないうちに第三者のサイトに攻撃を行い、サーバーをダウンさせるという悪事に加担してしまいます。

今回は16万2000ものWordPress構築サイトが、気付かぬままにDDoS攻撃に加担させられていたようです。

SucuriがどのWordPress構築サイトがDoSの踏み台にされたかどうかチェックするサイトを公開していますのでチェックしてみてください。

Sucuri Research LabsSucuri Is my WordPress Site DDOS’ing others?
Sucuri Research LabsSucuri Is my WordPress Site DDOS’ing others?

 

それでは、自分のサイトが悪用されないように対策をうちましょう!

WordPressを新しいバージョンに更新する

最新のバージョンを利用することはサイトの改ざんを防ぐためにも重要です。ただし、利用中のプラグインが最新バージョンに対応していないことがありますので、更新する前にバックアップを取りましょう。

Pingback機能を利用しない設定にする

設定方法は、
WordPressのダッシュボードにある「設定」→「ディスカッション」とクリックします。

投稿のデフォルト設定の2番目にある「他のブログからの通知 (ピンバック・トラックバック) を受け付ける 」のチェックを外す。最後に変更を保存。

これでPingback機能を利用しない設定が完了です。ただし、既に投稿済みの記事についてはPingbackを許可されています。

投稿済みの記事に対してPingbackを許可しないにする

設定方法は
WordPressのダッシュボードにある「投稿」→「投稿一覧」とクリックします。

記事タイトルの横にあるボックスに全てにチェックを入れて、プルダウンから編集を選択、適用をクリック。

トラックバック/ピンバックの項目のプルダウンを許可しないを選択して更新です。

Pingback機能自体を無効化する

WordPressのPingback機能はXMLRPCという仕組みを使って実装されていますが、設定画面では無効化できません。

そこで次の便利なプラグインを利用します。

Disable XML-RPC Pingback
Disable XML-RPC Pingback

 

インストールして有効化するだけでOKです。

以上で対応完了です。

follow us in feedly

関連記事

福岡でホームページ制作を依頼するなら【ハブワークス】

ホームページ制作・リニューアル・スマートフォンサイト制作・ECサイト制作は福岡のハブワークスまでお気軽にどうぞ。WEBサイト制作後の修正・更新・SEO対策もお任せください。リーズナブルな料金設定でサービスをご提供いたします。

webサイト制作・修正に関するお問合せ・ご相談・お見積りはお気軽にどうぞ