スマートコネクト マネージドサーバ

ユーザーサポートサイト>お知らせ>新着情報>WordPressにおけるxmlrpcへの脆弱性対応のお願い

WordPressにおけるxmlrpcへの脆弱性対応のお願い

更新日:2016.01.18

平素より「マネージドサーバ」をご利用頂きまして、誠に有難うございます。

マネージドサーバでは、オープンソースのCRMツール「WordPress」がご利用可能となっておりますが、以下の脆弱性報告があったことから、ご利用のお客さまには、影響範囲をご確認の上、ご対応をお願いしたく存じます。

ご利用のWordPressバージョンによって対策が異なりますので、バージョンをご確認の上、ご対応をお願いいたします。

なお、WordPressをご利用いただていないお客さまにつきましては、本事象の対象外となります。
 

脆弱性概要

外部システムからの投稿および画像のアップロード等に使用される『xmlrpc』において、引数に<user>,<password>を羅列したテキストを与えると、リスト型ブルートフォース攻撃が可能となります。
通常のブルートフォース攻撃と異なり、単一のリクエストで多数のID、パスワードを試行できるため、情報漏洩につながる可能性が高くなります。

影響を受けるバージョン:

WordPress 全バージョン

対象サーバ:

マネージドサーバ ご利用のお客様
DNSサービスのみご利用のお客様は対象外となります。
本メールが届いているお客様が対象となります。

想定される影響:

攻撃が成功するとユーザーID、パスワードが読み取られる可能性があります。
読み取られたID、パスワードが記事の編集権限を持っていた場合、サイト改竄(更なる攻撃コードの挿入等)を行われる可能性があります。

対策方法:

  • WordPress3.5未満の場合
    WordPressの管理画面設定でxmlrpc機能を無効に変更いただきます。
     
    設定 > 投稿設定 の中にある XML-RPC のチェックボックスを外してください。
     
  • WordPress3.5以降の場合
    デフォルトでxmlrpc機能が有効であり無効に設定できないため、以下の対策を推奨いたします。
     
    [.htaccess]にて、xmlrpc.php へのアクセスを禁止する。
    WordPressの xmlrpc.php が設置されているディレクトリの[.htaccess]に、以下記述を追記いただきます。
  •    
    XML-RPCをお使いのお客様は、通信に必要なIPアドレスのみ許可する記述をお客様で追記願います。

    <Files xmlrpc.php>
    Order Deny,Allow
    Deny from All
    </Files>
    

    通常、xmlrpc.php はWordPressのインストールディレクトリ直下に設置されています。
    .htaccessファイルにてアクセス制御した場合、一部のXML-RPCを内部で利用しているプラグインが正常に動作しなくなる可能性があります。
    サポートサイトにも記述方法を記載させて頂いております。
    http://support.mngsv.jp/mnl/inst/wp/n03/

    よくあるご質問:

    Q1.xmlrpc とはなんですか?
    A1.xmlrpc とは、スマートフォンアプリや外部システムから、リモートで記事投稿や画像のアップロードを行う際に利用されるプロトコルです。
    Q2.自分が利用しているWordPressは本脆弱性の対象ですか?
    A2.WordPressの全バージョンが脆弱性の対象です。
    ただし、ご利用のWordpressが外部からアクセスできない領域でご利用いただいている場合は、攻撃を受けない状況にあるため、対策の必要性はございません。
    Q3.WordPressを利用しているかどうかはどこを確認すればわかりますか?
    A3.ご契約サーバ内にWordPressのインストールディレクトリがあるかご確認ください。http/ 及び https/ 直下にインストールしている場合は、wp-content/ などディレクトリがあるかご確認ください。
    Q4.外部システムからの記事投稿などを利用していなければ、攻撃対象にはならないですか?
    A4.本脆弱性の攻撃対象である xmlrpc.php は、WordPressの全バージョンにて、インストール時に設置されております。
    お客さまのご利用状況にかかわらず攻撃される可能性がございますので、対策の実施をお願いいたします。
    Q5.対策に記載している.htaccessの追記の設定代行はできますか?
    A5.申し訳ございませんが、設定代行はお受けできかねます。
    お手数ですが、お客さまにて対策の実施をお願いいたします。

    その他

    WordPressについては、脆弱性報告が多いソフトウェアになり、実際に迷惑メール送信の踏み台にされるなどの被害も多く報告されています。
    ご利用されるお客さまは、以下内容も併せて実施頂き、適切に管理いただきますようお願い申し上げます。

    • 定期的なバージョンアップ
    • 定期的な管理者パスワード変更
    • wp-config.php、wp-login.phpへの適切なアクセス権設定
    • 脆弱性対策プラグインの導入 など