Wordpress(ワードプレス)でホームページを作りたい、カスタムしたいという人のためのサイトです。

WordPressを踏み台にするPingback機能を悪用したDDoS攻撃への対応方法

TOP > 基礎知識 > WordPressを踏み台にするPingback機能を悪用したDDoS攻撃への対応方法

今日のニュースで、またWordPressのセキュリティホールを狙ったスパムの報告が公開されましたね。
今回はWordPressの機能の一つ「Pingback」を悪用した「DDoS攻撃」で、サイトが踏み台にされる危険性が指摘されています。

DDoS攻撃とは?その危険性

以下Wikipediaより引用

DDoS攻撃(ディードスこうげき、ディーディーオーエスこうげき、Distributed Denial of Service attack)とは、踏み台と呼ばれる多数のコンピュータが、標的とされたサーバなどに対して攻撃を行うことである。別名として、協調分散型DoS攻撃、分散型サービス拒否攻撃などがある。
単一のホスト(通信相手)からの攻撃ならばそのホストとの通信を拒否すればよいが、数千・数万のホストからでは個々に対応することが難しい。したがって、通常のDoS攻撃よりも防御が困難であり、攻撃による被害はDoS攻撃よりも大きくなると考えられる。攻撃を受けたサーバには踏み台となったコンピュータが攻撃主として認識される。
踏み台
放置されたセキュリティホールのために、不正アクセスなどの手法によって攻撃用プログラムをシステム内に組み込まれたコンピュータである。利用されるセキュリティホールは、往々にして既知のものが利用されている。これらセキュリティホールの放置されているコンピュータの多くは、管理者の怠慢や、技術知識が不足しているために適切な設定が為されていないケースが大半を占める。

簡単にいうとスパマーが複数の端末を使用して自分のWordPressに向かって一斉攻撃をしてくるというようなイメージです。
この場合、2つの危険性が考えられます。

サーバー自体への高負荷状態

まず最初に考えられるのが、自分のWordPressを置いているサーバーへの急激なアクセス増です。
無数の端末から一斉攻撃されるので、タイミングが悪ければサーバーが落ちたりしてサイトが表示されない・繋がりにくい状態が発生します。
アフィリエイト目的のサイトなどでは死活問題です。

2時被害を自分が引き起こす危険性

次に考えられるのが、自分のWordPressが踏み台にされる危険性です。
被害者になるだけではなく、加害者側になってしまうというのは怖すぎませんか?
その為にも、しっかり予防策を講じて対応しておく必要があります。

WordPressを踏み台にするPingback機能を悪用したDDoS攻撃への対応方法

対応方法は以下のものがあります。

最新バージョンへのアップグレード

これは基本です。最新版にすることで、セキュリティ対策になりますので、バージョンを使っている人は必ずアップグレードしましょう。

Pingback機能を利用しない設定に変更する

Pingback機能は、Wordpress3.5から初期設定で有効の状態になっています。
設定変更は、以下手順で設定できますよ。

ディスカッション → 投稿のデフォルト設定 → 他のブログからの通知 (ピンバック・トラックバック) を受け付ける のチェックをはずす → 変更を保存ボタンをクリック

01

また、既に投稿している記事については以下手順でPingbackを許可しない設定を記事に対して適用する必要があります。

投稿 → 投稿一覧 → タイトルの横にあるボックスに全てにチェックを入れる → プルダウンで編集を選択 → 適用 → トラックバック/ピンバックの項目のプルダウンを許可しないで選択 → 更新ボタンをクリック

02

03

Pingback機能自体を無効化する

無効化する方法は、以下の2つの方法があります。
以下のどちらかで対応しましょう。

プラグイン「Disable XML-RPC Pingback」をインストールしてPingback機能を無効化する

Disable XML-RPC Pingback

xmlrpc.phpへアクセス可能なIPアドレスを制限する

WordPressをインストールした公開フォルダで、.htaccessに以下の記述を追記して対応できます。

—————

Order Deny,Allow
Deny from all
Allow from XXX.XXX.XXX.XXX

—————

※XXX.XXX.XXX.XXX部分に許可するIPアドレスを入力します。

まずは本体のアップグレード、そして設定の変更くらいは行っておきましょう。


« »

ABOUT THE AUTHOR

こしもあんず
こしもあんず

Wordpressをカスタマイズすることが好きなギーク女子です。
好きなエディタはSublimetext2です。
Google+やってるので、よろしくです。
デザインは好きですが、PHPはあまり得意ではないのでその辺ご容赦くださいね。


Twitterはこちら
https://twitter.com/wordpresscusto1

人気記事

ad