WordPressのPingback機能を悪用したDDoS攻撃対策

Sponsored Link

先日、オープンソースのCMS「WordPress」のPingback機能が、大規模な“反射型”DDoS攻撃に悪用されているというニュースがありました。

今度はWordPressが踏み台に、Pingback機能を悪用しDDoS攻撃 – @IT

Pingback機能とは記事に他サイトのURLを書くと、自動的にリンクが張られたことを該当のサイトへ通知をする機能です。WordPressはバージョン3.5以降はデフォルトで有効になっているので注意が必要です。

この機能を悪用されると、自分が知らないうちに第三者のサイトに攻撃を行い、サーバーをダウンさせるという悪事に加担してしまいます。

今回は16万2000ものWordPress構築サイトが、気付かぬままにDDoS攻撃に加担させられていたようです。

SucuriがどのWordPress構築サイトがDoSの踏み台にされたかどうかチェックするサイトを公開していますのでチェックしてみてください。

Sucuri Research LabsSucuri Is my WordPress Site DDOS’ing others?
Sucuri Research LabsSucuri Is my WordPress Site DDOS’ing others?

 

それでは、自分のサイトが悪用されないように対策をうちましょう!

WordPressを新しいバージョンに更新する

最新のバージョンを利用することはサイトの改ざんを防ぐためにも重要です。ただし、利用中のプラグインが最新バージョンに対応していないことがありますので、更新する前にバックアップを取りましょう。

Pingback機能を利用しない設定にする

設定方法は、
WordPressのダッシュボードにある「設定」→「ディスカッション」とクリックします。

投稿のデフォルト設定の2番目にある「他のブログからの通知 (ピンバック・トラックバック) を受け付ける 」のチェックを外す。最後に変更を保存。

これでPingback機能を利用しない設定が完了です。ただし、既に投稿済みの記事についてはPingbackを許可されています。

投稿済みの記事に対してPingbackを許可しないにする

設定方法は
WordPressのダッシュボードにある「投稿」→「投稿一覧」とクリックします。

記事タイトルの横にあるボックスに全てにチェックを入れて、プルダウンから編集を選択、適用をクリック。

トラックバック/ピンバックの項目のプルダウンを許可しないを選択して更新です。

Pingback機能自体を無効化する

WordPressのPingback機能はXMLRPCという仕組みを使って実装されていますが、設定画面では無効化できません。

そこで次の便利なプラグインを利用します。

Disable XML-RPC Pingback
Disable XML-RPC Pingback
 

インストールして有効化するだけでOKです。

以上で対応完了です。

関連記事

福岡のウェブデザイン事務所「ハブワークス」

HP作成・リニューアルは福岡のハブワークスまでお気軽にお問い合わせください。ウェブサイト公開後の修正・更新もお任せください。フリーランスだからできるリーズナブルな料金設定でサービスをご提供いたします。