[WP] WordPressの管理画面とxml-rpcに、日本国内以外からアクセスできなくする

記事内にプロモーションを含む場合があります。

WordPressを使用したブログにおいて、DoS攻撃の踏み台にされる被害が報告されています。

手口は、XML-RPCとPingbackを悪用したものということで、これらの機能を無効化するのが最も安全策となっています。が、XML-RPCを無効化すると、ブログエディターからの投稿ができなくなり不便ですよね。そこで、.htaccessファイルで国内以外からXML-RPCにアクセスできなくするIP制限を行うことで、ひとまず対策をとっているユーザーが多いようです。

国内以外のIPを全て弾く

ダウンロードした.htaccessをエディタで開いて、IPリストをWordPressのディレクトリにある.htaccessにコピー、FTPでアップロードして上書き。

<Files ~ "^(wp-login\.php|xmlrpc\.php)$">  
#(ここにダウンロードしたファイルの内容を全部コピペする)
</Files>  

管理画面にアクセスして動作チェックして終了。

もし、500エラーになったら.htaccessの内容をデフォに戻してみる。

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

source: xmlrpc.phpも国内IPだけに制限したほうがよさそう 【WordPress】 | 某氏の猫空