先日、オープンソースのCMS「WordPress」のPingback機能が、大規模な“反射型”DDoS攻撃に悪用されているというニュースがありました。
Pingback機能とは記事に他サイトのURLを書くと、自動的にリンクが張られたことを該当のサイトへ通知をする機能です。WordPressはバージョン3.5以降はデフォルトで有効になっているので注意が必要です。
この機能を悪用されると、自分が知らないうちに第三者のサイトに攻撃を行い、サーバーをダウンさせるという悪事に加担してしまいます。
今回は16万2000ものWordPress構築サイトが、気付かぬままにDDoS攻撃に加担させられていたようです。
SucuriがどのWordPress構築サイトがDoSの踏み台にされたかどうかチェックするサイトを公開していますのでチェックしてみてください。
それでは、自分のサイトが悪用されないように対策をうちましょう!
WordPressを新しいバージョンに更新する
最新のバージョンを利用することはサイトの改ざんを防ぐためにも重要です。ただし、利用中のプラグインが最新バージョンに対応していないことがありますので、更新する前にバックアップを取りましょう。
Pingback機能を利用しない設定にする
設定方法は、
WordPressのダッシュボードにある「設定」→「ディスカッション」とクリックします。
投稿のデフォルト設定の2番目にある「他のブログからの通知 (ピンバック・トラックバック) を受け付ける 」のチェックを外す。最後に変更を保存。
これでPingback機能を利用しない設定が完了です。ただし、既に投稿済みの記事についてはPingbackを許可されています。
投稿済みの記事に対してPingbackを許可しないにする
設定方法は
WordPressのダッシュボードにある「投稿」→「投稿一覧」とクリックします。
記事タイトルの横にあるボックスに全てにチェックを入れて、プルダウンから編集を選択、適用をクリック。
トラックバック/ピンバックの項目のプルダウンを許可しないを選択して更新です。
Pingback機能自体を無効化する
WordPressのPingback機能はXMLRPCという仕組みを使って実装されていますが、設定画面では無効化できません。
そこで次の便利なプラグインを利用します。
インストールして有効化するだけでOKです。
以上で対応完了です。
