ご注意下さい
この記事は3年以上前に書かれた記事ですので、内容が古い可能性があります。
空き時間にブログのネタを作るのに必須なiPhoneアプリのBlogPressであるときから自宅のWordPressにログインできなくなる事象が発生しました。
いろいろと試行錯誤してサイトの登録などをし直していたのですが、
よく読むとXML-RPCを有効にしなくてはいけないと書いてありますね。
オープンソースのCMS「WordPress」のPingback機能が、大規模な“反射型”DDoS攻撃に悪用されているとし、注意が呼び掛けられている。セキュリティ企業のSucuriが2014年3月10日に公開したブログによると、WordPressを使っている16万2000もの正規のサイトがDDoS攻撃の踏み台に悪用されているということだ。
そういえばこんな記事を読んで、httpd.confを修正しxmlrpc.phpをインターネットからは起動できないようにしたことを思い出しました。
<Files xmlrpc.php>
Order deny,allow
Deny from all
Allow from 192.168.00.0/24(自宅ネットワーク)
</Files>
そこで、xmlrpc.phpに対しての一部のUserAgentのみアクセス可能に緩めます。
<Files xmlrpc.php>
SetEnvIf Referer "^https://blog.kamata-net.com" check
SetEnvIf User-Agent "BlogPress" check
SetEnvIf User-Agent "CocoaRPC" check
Order deny,allow
Deny from all
Allow from env=check
Allow from 192.168.00.0/24(自宅ネットワーク)
</Files>
これでまた外出先からWordPressにアクセスできるようになりました。めでたし、めでたし。
