XML-RPC (WordPress)

XML-RPC 脆弱性

WordPressの遠隔操作API。ブルートフォース・DDoS踏み台に悪用される。

概要

XML-RPCは、WordPressに古くから搭載されている外部からの遠隔操作API(/xmlrpc.php)です。スマートフォンアプリからの投稿、Pingback、Trackback等で利用される一方、攻撃者からは深刻な脆弱性面として悪用されてきました。

代表的な悪用例は (1) `system.multicall` メソッドを使った1リクエストで数百回のログイン試行を行うブルートフォース、(2) Pingback機能を悪用した他サイトへのDDoS反射攻撃、(3) APIエンドポイントへの大量アクセスによるWebサーバーリソース枯渇、です。

多くのWordPressサイトでXML-RPCは実質的に利用されておらず、無効化が推奨されます。具体的には (a) .htaccessやnginx設定でxmlrpc.phpへのアクセスを禁止、(b) Disable XML-RPCプラグインを導入、(c) 必要なメソッドだけ許可するフィルタを実装、のいずれかで対応します。

Scanrollはこう守る

Scanrollはxmlrpc.phpへの異常なアクセスパターン(短時間の大量リクエスト、system.multicallによる連続認証試行等)を検知し、送信元IPを自動的に遮断します。WordPressサイトを運用しているお客様には、利用予定のないxmlrpc.phpの無効化も推奨しています。