空き時間にブログのネタを作るのに必須なiPhoneアプリのBlogPressであるときから自宅のWordPressにログインできなくなる事象が発生しました。
いろいろと試行錯誤してサイトの登録などをし直していたのですが、
よく読むとXML-RPCを有効にしなくてはいけないと書いてありますね。
オープンソースのCMS「WordPress」のPingback機能が、大規模な“反射型”DDoS攻撃に悪用されているとし、注意が呼び掛けられている。セキュリティ企業のSucuriが2014年3月10日に公開したブログによると、WordPressを使っている16万2000もの正規のサイトがDDoS攻撃の踏み台に悪用されているということだ。
そういえばこんな記事を読んで、httpd.confを修正しxmlrpc.phpをインターネットからは起動できないようにしたことを思い出しました。
<Files xmlrpc.php>
Order deny,allow
Deny from all
Allow from 192.168.00.0/24(自宅ネットワーク)
</Files>
そこで、xmlrpc.phpに対しての一部のUserAgentのみアクセス可能に緩めます。
<Files xmlrpc.php>
SetEnvIf Referer "^http://blog.kamata-net.com" check
SetEnvIf User-Agent "BlogPress" check
SetEnvIf User-Agent "CocoaRPC" check
Order deny,allow
Deny from all
Allow from env=check
Allow from 192.168.00.0/24(自宅ネットワーク)
</Files>
これでまた外出先からWordPressにアクセスできるようになりました。めでたし、めでたし。関連記事:
- Pingback機能を悪用したWordPressの踏み台攻撃を効果的に防止する方法 (2014年3月24日)
- 突然自分のドメインがpending ICANN verification状態になった際の対処方法 (2014年3月14日)
- Ad Unitsが表示されない (2016年11月14日)
- 自宅サーバがトラブル時に遠隔地からリブートする方法 (2014年2月23日)
- the_excerpt() 関数の文字数を指定したけど変わらない時の対処法 (2014年1月29日)
Copyright © 2016 kamata-net.com All Rights Reserved.