Pingback機能を悪用したDDOS攻撃対策

現在、『 ​WordPress ​』の一部機能を悪用し第三者のサイトへの
DDoS攻撃が行われるという、結果的にお客様のサイトが
攻撃に悪用されてしまうケースが発生しております。
ヘテムルでも、『 ​WordPress ​』をご利用のお客様が多いため
ご対応をいただきたくご案内いたします。

▼Pingback機能を悪用しDDoS攻撃
​http://www.atmarkit.co.jp/ait/articles/1403/13/news133.html

————————————————————–
■お客様にご対応頂きたいこと
————————————————————–

本現象は、『 ​WordPress ​』をご利用でかつPingback機能という
『 ​WordPress ​』の機能が有効な場合に確認されております。

※DDoS攻撃は『 ​WordPress ​』の ​Pingback機能を悪用し
第三者のサイトに対して行われます。

※Pingbackとは記事にサイトのURLを書くと、『 ​WordPress ​』が自動的に
リンクが張られたことを該当のサイトへ通知をする機能です。

下記の【１】〜【３】のご対応をお願いたします。
なお、今後本現象が発生した場合、被害を最小限に抑えるためにも
末尾記載の、『 ​■DDoS攻撃に悪用された場合 ​』のような対応を行う場合が
ございます。

【１】最新版のバージョンへアップグレードを行う

【２】Pingback機能を利用しない設定にする

Pingback機能は、Wordpress3.5から初期設定で有効の状態です。
機能を利用しない場合は、下記手順で設定変更ください。

『 ​WordPress ​』のダッシュボードへログイン≫設定
≫ディスカッション≫投稿のデフォルト設定≫
他のブログからの通知 ​(ピンバック・トラックバック) ​を受け付ける ​の
チェックをはずす≫変更を保存ボタンを押下

また、既に投稿している記事については下記手順で
Pingbackを許可しない設定をお願いします。

『 ​WordPress ​』のダッシュボードへログイン≫投稿
≫投稿一覧≫タイトルの横にあるボックスに全てにチェックを入れる≫
プルダウンで編集を選択≫適用≫トラックバック/ピンバックの項目の
プルダウンを許可しないで選択≫更新
【３】Pingback機能自体を無効化する

無効化する方法は、２つご案内いたします。下記どちらかのご対応を
お願いたします。

・プラグインをインストールしてPingback機能を無効化する

『 ​WordPress ​』のダッシュボードへログイン≫プラグイン
≫新規追加≫Disable ​XML-RPC ​Pingbackを検索≫
いますぐインストール≫プラグインを有効化

▼プラグイン：Disable ​XML-RPC ​Pingback
http://goo.gl/AcJEvg

・xmlrpc.phpへアクセス可能なIPアドレスを制限する

Pingback機能以外（リモート投稿など）でAPIを利用する場合は
.htaccess ​でxmlrpc.phpファイルへアクセス可能な
IPアドレスを制限してください。

xmlrpc.phpは、WordPressをインストールした公開フォルダ ​にあります。
WordPressをインストールした公開フォルダで、.htaccessに下記の記述
（もしくは追記）をお願いたします。

—————
<Files ​xmlrpc.php>
Order ​Deny,Allow
Deny ​from ​all
Allow ​from ​XXX.XXX.XXX.XXX
</Files>
—————
※XXX.XXX.XXX.XXX ​はxmlrpc.phpへのアクセスを許可するIPアドレスを
適宜記述ください。

————————————————————–
■DDoS攻撃に悪用された場合
————————————————————–
WEBサーバーから攻撃されているとみなされ
該当のWEBサーバー自体がブラックリストへ登録されます。
それにより、そのサーバーから配信されたメールが
送信先で受け付けられない場合がございます。