【注意】WordPressのPingBack機能を悪用したDDoS攻撃の対処法

WordPressのPingBack機能を使った大規模なDDoS攻撃が発生しているというニュースを目にしました。PingbackはWordPress3.5から初期設定で有効になっている機能です。

WordPress ロゴ

攻撃を受けると、サイトの表示が遅くなったり表示されなくなったりします。WordPressを利用している管理者は「PingBack機能の無効化」などの対策を行い、踏み台にならないように注意しましょう。

PingBack機能を悪用したDDoS攻撃

DDoS攻撃はWordPressで「Pingback機能」を有効にしている場合に発生します。

オープンソースのCMS「WordPress」のPingback機能が、大規模な“反射型”DDoS攻撃に悪用されているとし、注意が呼び掛けられている。セキュリティ企業のSucuriが2014年3月10日に公開したブログによると、WordPressを使っている16万2000もの正規のサイトがDDoS攻撃の踏み台に悪用されているということだ。

LINK:WordPressが踏み台に、Pingback機能を悪用しDDoS攻撃

踏み台になっていないかの確認

下記サイトで確認できます。

LINK:Sucuri Research

サイトのURLを入力し[CHECK SITE]を押します。「Warning: Your Website あなたのサイトURL was USED for DDOS.」と出ましたら踏み台にされています。

ちなみにその場合は「攻撃している側」であり「攻撃されている側」ではありません。

踏み台にならないための対処法

Pingback機能を利用しない設定にする

  1. WordPressのダッシュボードへログイン
  2. [設定]をクリック
  3. [ディスカッション]をクリック
  4. 「他のブログからの通知を受け付ける」のチェックをはずす
  5. [変更を保存]をクリック

既に投稿している記事にPingbackを許可しない方法

  1. WordPressのダッシュボードへログイン
  2. [投稿]をクリック
  3. [投稿一覧]をクリック
  4. タイトルの横のボックス全てにチェックを入れる
  5. プルダウンの一括操作の編集を選択し[適用]をクリック
  6. トラックバック/ピンバックの項目の「プルダウンを許可しない」を選択
  7. [更新]をクリック

また「Disable XML-RPC Pingback」というプラグインを使うとPingback機能自体を無効化できるようです。

LINK:Disable XML-RPC Pingback

Related Posts