WordPressを使用したブログにおいて、DoS攻撃の踏み台にされる被害が報告されています。
手口は、XML-RPCとPingbackを悪用したものということで、これらの機能を無効化するのが最も安全策となっています。が、XML-RPCを無効化すると、ブログエディターからの投稿ができなくなり不便ですよね。そこで、.htaccessファイルで国内以外からXML-RPCにアクセスできなくするIP制限を行うことで、ひとまず対策をとっているユーザーが多いようです。
国内以外のIPを全て弾く
- (海外/外国)からのアクセスを制限する.htaccess CGI’sから.htaccessをダウンロード。
ダウンロードした.htaccessをエディタで開いて、IPリストをWordPressのディレクトリにある.htaccessにコピー、FTPでアップロードして上書き。
<Files ~ "^(wp-login\.php|xmlrpc\.php)$"> #(ここにダウンロードしたファイルの内容を全部コピペする) </Files>
管理画面にアクセスして動作チェックして終了。
もし、500エラーになったら.htaccessの内容をデフォに戻してみる。
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>