WordPressのPingBack機能を使った大規模なDDoS攻撃が発生しているというニュースを目にしました。PingbackはWordPress3.5から初期設定で有効になっている機能です。
攻撃を受けると、サイトの表示が遅くなったり表示されなくなったりします。WordPressを利用している管理者は「PingBack機能の無効化」などの対策を行い、踏み台にならないように注意しましょう。
PingBack機能を悪用したDDoS攻撃
DDoS攻撃はWordPressで「Pingback機能」を有効にしている場合に発生します。
オープンソースのCMS「WordPress」のPingback機能が、大規模な“反射型”DDoS攻撃に悪用されているとし、注意が呼び掛けられている。セキュリティ企業のSucuriが2014年3月10日に公開したブログによると、WordPressを使っている16万2000もの正規のサイトがDDoS攻撃の踏み台に悪用されているということだ。
踏み台になっていないかの確認
下記サイトで確認できます。
LINK:Sucuri Research
サイトのURLを入力し[CHECK SITE]を押します。「Warning: Your Website あなたのサイトURL was USED for DDOS.」と出ましたら踏み台にされています。
ちなみにその場合は「攻撃している側」であり「攻撃されている側」ではありません。
踏み台にならないための対処法
Pingback機能を利用しない設定にする
- WordPressのダッシュボードへログイン
- [設定]をクリック
- [ディスカッション]をクリック
- 「他のブログからの通知を受け付ける」のチェックをはずす
- [変更を保存]をクリック
既に投稿している記事にPingbackを許可しない方法
- WordPressのダッシュボードへログイン
- [投稿]をクリック
- [投稿一覧]をクリック
- タイトルの横のボックス全てにチェックを入れる
- プルダウンの一括操作の編集を選択し[適用]をクリック
- トラックバック/ピンバックの項目の「プルダウンを許可しない」を選択
- [更新]をクリック
また「Disable XML-RPC Pingback」というプラグインを使うとPingback機能自体を無効化できるようです。
Related Posts