WordPressの踏み台攻撃にご注意を

最近、このような記事を見かけました。

WordPressの16万サイトが大規模攻撃の踏み台に、「Pingback」機能悪用

WordPressのPingBack機能を悪用して
特定のWebサイトにDDoS攻撃を仕掛けるものらしいです。
これをおびただしい数のマシンから行うため、
攻撃対象のマシンは大ダメージを受けてしまいます。

PingBack機能はブログのトラックバック機能の簡易版みたいなもので、
リンクを張った記事を投稿するとリンクを探し出して
リンク先のサイトにリクエストを出す機能です。

この機能はデフォルトでは有効になっています。

自分のWordPressを踏み台にされていないかどうかは
以下のサイトより確認できます。

Is my WordPress Site DDOS’ing others?

幸い、このブログは攻撃の踏み台にはされていなかったようです。
このDoS攻撃を防ぐためのセキュリティパッチはありません。
(機能の仕様上防ぎようが無い?!)

もっとも確実な方法はPingBack機能を無効にすることです。
PingBack機能を無効にするには、サイトメニューの「Settings」→「Discussion」を選択し、
「Attempt to notify any blogs linked to from the article」のチェックをはずして保存します。

PingBack機能を使いつつ踏み台にされないようにしたい場合は、
Disable XML-RPC Pingbackというプラグインを使います。

WordPressを使うと色々とセキュリティ対策が面倒ですね・・・
上記の対策はWordPressを導入したら必須となっていくことでしょう。

■参考文献
WordPressの16万サイトが大規模攻撃の踏み台に、「Pingback」機能悪用
DoSの踏み台にされているJPドメインのWordPressをまとめてみた