WordPressのxmlrpc.phpとwp-cron.phpを無効化

レンタルサーバー会社から、弊社のWordPressサイトが攻撃を受けてサーバーがダウンしたので、

と要請（命令）があった…

htaccessでアクセス拒否 functions.phpで無効化

xmlrpc.phpは使わなければ削除も選択肢になるが、WordPressの更新のたびに復活するし、404を出しサーバーの負荷もあるので、却下。

パーミッションの変更なども、サーバーの負荷は残る。却下。

また、「Disable XML-RPC Pingback」プラグインもあるが、どうやら十全ではないようなので、却下。

htaccessでアクセス拒否

アクセス拒否の第1案

<Files xmlrpc.php>
　Order allow,deny
　Deny from all
</Files>

これでも多少サーバー負荷が残るらしいので、
第2案

<IfModule mod_rewrite.c>
～
RewriteBase /
RewriteRule ^xmlrpc\.php$ "http\:\/\/0\.0\.0\.0\/" [R=301,L]
RewriteRule ^index\.php$ - [L]
～
</IfModule>

WordPressをインストールすると、xmlrpc.phpと同じ階層に作成されるhtaccessとその記述。
そこに、xmlrpc.phpにアクセスすると「0.0.0.0」に飛ばす。
これがベストの対策らしい。

functions.phpで無効化

まず、xmlrpc.phpの無効化。

add_filter(‘xmlrpc_enabled’, ‘__return_false’);

さらに、xmlrpc.phpの痕跡を隠すために、「X-Pingback」のヘッダー情報も消去。

function remove_x_pingback($headers) {
unset($headers[‘X-Pingback’]);
return $headers;
}
add_filter(‘wp_headers’, ‘remove_x_pingback’);

xmlrpc.phpのセキュリティ対策のまとめ

まとめとしては、
htaccessで、「0.0.0.0」に飛ばす。

あとは念押しで、プラグインを入れる、htaccessで「Deny」、functions.phpで無効化、ヘッダー情報消去など。

wp-config.phpでwp-cron.phpを無効化

これは、wp-config.phpに

define('DISABLE_WP_CRON', true); 

を記述して、wp-cron.phpを無効化。

なにか後遺症なり副作用なり、使えなくなるものもありそうだが、アカウント停止から回復するには、選択の余地もない。

WordPress カスタマイズなら

好評発売中

インスタや今風のECサイトのカード型フィードが、あっという間にできあがり
カテゴリーやタグの関連コンテンツも、お茶の子さいさい
テーマに頼らず、プラグインを使わず、スイスイとWordPressカスタマイズ