Pingback機能を悪用したDDOS攻撃対策
現在、『 WordPress 』の一部機能を悪用し第三者のサイトへの
DDoS攻撃が行われるという、結果的にお客様のサイトが
攻撃に悪用されてしまうケースが発生しております。
ヘテムルでも、『 WordPress 』をご利用のお客様が多いため
ご対応をいただきたくご案内いたします。
▼Pingback機能を悪用しDDoS攻撃
http://www.atmarkit.co.jp/ait/articles/1403/13/news133.html
————————————————————–
■お客様にご対応頂きたいこと
————————————————————–
本現象は、『 WordPress 』をご利用でかつPingback機能という
『 WordPress 』の機能が有効な場合に確認されております。
※DDoS攻撃は『 WordPress 』の Pingback機能を悪用し
第三者のサイトに対して行われます。
※Pingbackとは記事にサイトのURLを書くと、『 WordPress 』が自動的に
リンクが張られたことを該当のサイトへ通知をする機能です。
下記の【1】〜【3】のご対応をお願いたします。
なお、今後本現象が発生した場合、被害を最小限に抑えるためにも
末尾記載の、『 ■DDoS攻撃に悪用された場合 』のような対応を行う場合が
ございます。
【1】最新版のバージョンへアップグレードを行う
【2】Pingback機能を利用しない設定にする
Pingback機能は、Wordpress3.5から初期設定で有効の状態です。
機能を利用しない場合は、下記手順で設定変更ください。
『 WordPress 』のダッシュボードへログイン≫設定
≫ディスカッション≫投稿のデフォルト設定≫
他のブログからの通知 (ピンバック・トラックバック) を受け付ける の
チェックをはずす≫変更を保存ボタンを押下
また、既に投稿している記事については下記手順で
Pingbackを許可しない設定をお願いします。
『 WordPress 』のダッシュボードへログイン≫投稿
≫投稿一覧≫タイトルの横にあるボックスに全てにチェックを入れる≫
プルダウンで編集を選択≫適用≫トラックバック/ピンバックの項目の
プルダウンを許可しないで選択≫更新
【3】Pingback機能自体を無効化する
無効化する方法は、2つご案内いたします。下記どちらかのご対応を
お願いたします。
・プラグインをインストールしてPingback機能を無効化する
『 WordPress 』のダッシュボードへログイン≫プラグイン
≫新規追加≫Disable XML-RPC Pingbackを検索≫
いますぐインストール≫プラグインを有効化
▼プラグイン:Disable XML-RPC Pingback
http://goo.gl/AcJEvg
・xmlrpc.phpへアクセス可能なIPアドレスを制限する
Pingback機能以外(リモート投稿など)でAPIを利用する場合は
.htaccess でxmlrpc.phpファイルへアクセス可能な
IPアドレスを制限してください。
xmlrpc.phpは、WordPressをインストールした公開フォルダ にあります。
WordPressをインストールした公開フォルダで、.htaccessに下記の記述
(もしくは追記)をお願いたします。
—————
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
Allow from XXX.XXX.XXX.XXX
</Files>
—————
※XXX.XXX.XXX.XXX はxmlrpc.phpへのアクセスを許可するIPアドレスを
適宜記述ください。
————————————————————–
■DDoS攻撃に悪用された場合
————————————————————–
WEBサーバーから攻撃されているとみなされ
該当のWEBサーバー自体がブラックリストへ登録されます。
それにより、そのサーバーから配信されたメールが
送信先で受け付けられない場合がございます。