WordPressには便利な機能が数多くありますが、セキュリティリスクを抱えている機能も存在します。最近、PingBack機能を悪用した大規模なDDoS攻撃が報告されています。PingbackはWordPress3.5以降、初期設定で有効になっている機能で、記事のリンクを他のブログに通知できるというものです。
この機能が悪用されると、DDoS攻撃の「踏み台」として利用されることがあります。攻撃を受けると、サイトが重くなり、最悪の場合、表示されなくなることもあります。
WordPressを利用しているサイト管理者は、PingBack機能を無効化するなど、早急に対策を講じることが求められます。
PingBack機能を悪用したDDoS攻撃とは?
WordPressのPingBack機能は、他のサイトに記事のリンクが貼られたことを通知する便利な機能ですが、この機能が大規模なDDoS攻撃に悪用されるケースが増えています。セキュリティ企業Sucuriの報告によると、2014年3月に公開されたブログによると、16万2000件ものWordPressサイトがDDoS攻撃の踏み台に悪用されました。
引用元:
オープンソースのCMS「WordPress」のPingback機能が、大規模な“反射型”DDoS攻撃に悪用されているとし、注意が呼び掛けられている。セキュリティ企業のSucuriが2014年3月10日に公開したブログによると、WordPressを使っている16万2000もの正規のサイトがDDoS攻撃の踏み台に悪用されているということだ。
詳しくは、下記リンクを参考にしてください:
LINK: WordPressが踏み台に、Pingback機能を悪用しDDoS攻撃
自分のサイトがDDoS攻撃に利用されていないか確認する方法
サイトが攻撃に加担していないか確認するには、Sucuri Researchのオンラインツールを使うと便利です。URLを入力し、[CHECK SITE]ボタンをクリックするだけで簡単に確認できます。
LINK: Sucuri Research
もし、「Warning: Your Website あなたのサイトURL was USED for DDOS.」というメッセージが表示された場合、サイトがDDoS攻撃の踏み台にされている可能性があります。その場合、早急な対策が必要です。
PingBack機能を無効化してサイトを守る方法
PingBack機能を無効にすることで、サイトがDDoS攻撃の踏み台として利用されるリスクを軽減できます。以下に、その手順を紹介します。
Pingback機能を利用しない設定にする方法
- WordPressのダッシュボードにログインします。
- [設定]メニューをクリックします。
- [ディスカッション]を選択します。
- 「他のブログからの通知を受け付ける」のチェックを外します。
- [変更を保存]をクリックして設定を反映させます。
これで、今後のPingBack通知を無効化できます。
既に投稿した記事のPingbackを無効にする方法
すでに公開している記事に対しても、PingBackを無効にすることが可能です。
- ダッシュボードから[投稿]をクリックします。
- [投稿一覧]で全ての投稿にチェックを入れます。
- 上部のプルダウンメニューから「一括操作」の「編集」を選択し、[適用]をクリックします。
- 「トラックバック/ピンバック」の項目で「許可しない」を選択します。
- [更新]をクリックして反映させます。
プラグインを使ってPingback機能を無効化する
「Disable XML-RPC Pingback」というプラグインを使用することで、PingBack機能を簡単に無効化することができます。このプラグインは、WordPressのXML-RPCインターフェースを介したPingBackリクエストをブロックし、攻撃の踏み台となることを防ぎます。
プラグインのダウンロードはこちら:
LINK: Disable XML-RPC Pingback
まとめ:PingBack機能の無効化でセキュリティを強化
WordPressのPingBack機能は便利な機能ですが、セキュリティリスクが伴います。特に、DDoS攻撃の踏み台にされる可能性があるため、早急に無効化することが推奨されます。手動での設定変更やプラグインの利用によって、セキュリティを強化しましょう。