インフォメーション

RSS Feeds
2014/06/06  10:40
注意喚起:WordPress の機能を悪用したDDoS攻撃対策のお願い

平素はヘテムルをご利用頂き、誠にありがとうございます。
 
現在、『 WordPress 』の一部機能を悪用し第三者のサイトへの
DDoS攻撃が行われるという、結果的にお客様のサイトが
攻撃に悪用されてしまうケースが発生しております。
ヘテムルでも、『 WordPress 』をご利用のお客様が多いため
ご対応をいただきたくご案内いたします。

詳細につきましては、下記ページをご一読ください。
>>@IT:Pingback機能を悪用しDDoS攻撃
 
--------------------------------------------------------------
■お客様にご対応頂きたいこと
--------------------------------------------------------------
 
本現象は、『 WordPress 』をご利用でかつPingbackという
『 WordPress 』の機能が有効な場合に確認されております。
下記の【1】〜【3】のご対応をお願いたします。

【1】最新版のバージョンへアップグレードを行う
>>ヘテムル:WordPressのアップグレードの方法

【2】Pingback機能を利用しない設定にする
Pingback機能は、Wordpress3.5から初期設定で有効の状態です。


Pingback機能を利用しない方法
『 WordPress 』のダッシュボードへログイン≫設定≫ディスカッション≫
投稿のデフォルト設定≫他のブログからの通知 (ピンバック・トラックバック) を
受け付ける のチェックをはずす≫変更を保存ボタンを押下

既に投稿している記事にPingbackを許可しない方法
『 WordPress 』のダッシュボードへログイン≫投稿≫投稿一覧≫
タイトルの横にあるボックスに全てにチェックを入れる≫プルダウンの一括操作から編集で選択≫
適用≫トラックバック/ピンバックの項目のプルダウンを許可しないで選択≫更新


【3】Pingback機能自体を無効化する
無効化する方法は、2つご案内いたします。下記どちらかのご対応をお願いたします。

・プラグインをインストールしてPingback機能を無効化する
>>プラグイン:Disable XML-RPC Pingback

『 WordPress 』のダッシュボードへログイン≫プラグイン≫新規追加≫
Disable XML-RPC Pingbackを検索≫いますぐインストール≫プラグインを有効化


・xmlrpc.phpへアクセス可能なIPアドレスを制限する
 
Pingback機能以外(リモート投稿など)でAPIを利用する場合は
.htaccess でxmlrpc.phpファイルへアクセス可能な
IPアドレスを制限してください。
 
xmlrpc.phpは、WordPressをインストールした公開フォルダ にあります。
WordPressをインストールした公開フォルダで、.htaccessに下記の記述
(もしくは追記)をお願いたします。

---------------


Order Deny,Allow
Deny from all
Allow from XXX.XXX.XXX.XXX

---------------
※XXX.XXX.XXX.XXX はxmlrpc.phpへのアクセスを許可するIPアドレスを
 適宜記述ください。

--------------------------------------------------------------
■DDoS攻撃に悪用された場合
--------------------------------------------------------------
 
ヘテムルのWEBサーバーから攻撃されているとみなされ
該当のWEBサーバー自体がブラックリストへ登録されます。
それにより、そのサーバーから配信されたメールが
送信先で受け付けられない場合がございます。
 
その際は、攻撃元のお客様のサイトを制限せざるをえない
場合がございます。
『 WordPress 』をご利用の場合は、お手数ではございますが
上記のご対応を早急に行っていただきますようお願いたします。
 
 
ご不明な点がございましたら【お問い合わせフォーム】までご連絡ください。
今後ともヘテムルをよろしくお願いいたします。