219
WordPress XML-RPC:最大限の柔軟性とシームレスな統合。しかし、これはセキュリティの脆弱性を増大させます。
xmlrpc.phpの簡単な説明
XML-RPCは “Extensible Markup Language Remote Procedure Call “の略です。
は、コンピュータネットワークにおけるリモートリクエストの伝送を可能にするプロトコル仕様です。
- WordPressの管理インターフェイスに直接アクセスすることなく、外部のアプリケーションやサービスがWordPressサーバーとやりとりするためによく使用されます。
- XML-RPCを使用するには認証が必要で、通常はユーザー名とパスワード、またはトークンを使用します
- 古いバージョンのWordPressでは、このインターフェイスは無効になっていました。
- WordPressバージョン3.5以降、XML-RPCがデフォルトで有効になり、モバイルアプリがWordPressインストールと通信できるようになりました。
xmlrpc.php – セキュリティ
XML-RPCは便利であると同時に、潜在的に危険でもあります。XML-RPCはタスクの自動化や統合を可能にしますが、同時にセキュリティの脆弱性を開く可能性もあります。
- WordPress コアに REST API が導入されたことで、XML-RPC はもはや通信目的では必要なくなりました。
- セキュリティ上の理由から、XML-RPCを無効にすることを推奨します。
- REST APIでやり取りできるシステムの範囲は、XML-RPCよりもはるかに広いです。
xmlrpc.php – 無効
XML-RPCがREST APIに置き換わることを考慮し、あなたのウェブサイトではxmlrpc.phpを無効にすることを推奨します。
- コードでインターフェイスを無効にするには、.htaccessファイルに以下のコードを追加します:
- Order Allow,Deny ().
- Deny from all別の方法として、WordPressプラグインDisable XML-RPC Pingbackでセキュリティリスクを最小化することができます。
- 場合によっては、ホスティングプロバイダもXML-RPCを無効にするかもしれません。
