先日 Sucuri ブログに掲載された記事を発端として WordPress のピンバック機能を悪用した DDoS 攻撃に関するニュースが話題になっていました。
これを受けて、デフォルト同梱プラグイン Akismet にピンバックスパム判定の改善を行う更新が追加されました。
以下、Akismet WordPress plugin 2.6.0 リリース告知より翻訳。
- 送信 WordPress ピンバック検証に X-Pingback-Forwarded-For ヘッダーを含めた。
- 送信検証リクエストが行われる前にスパムをブロックするため、ピンバックへの事前チェックを追加。
「WordPress のピンバック機能がサイトへの DDoS に使われている」というニュースが数日前にありましたが、そこには誤解や誇張表現も多く含まれていました。ただ、上記に挙げた点が修正している妥当な問題も2つありました。アンチスパムチェックがピンバック検証後に行われていたこと、そして WordPress が検証を通す根拠となったリクエスト送信者の情報を渡していなかったこと(これにより本物のソースを隠すことになってしまった)です。今回の Akismet 更新により両方の問題は対応されており、我々としてはコアでも似たようなアプローチを取ることが適切だと考えています。
コアのほうの修正はまだ先になりそうですが、Akismet を最新版に更新しておくと安心でしょう。
別の対策として、XML-RPC・またはピンバック機能のみを無効にすることもできます。XML-RPC はモバイルアプリを含むリモート投稿や Jetpack プラグインなどを利用する場合は必要になりますので、その点に関しては各対策をよく読んで対応してください。
- [WordPress] xmlrpc を利用した踏み台攻撃への対応について(memo.dogmap.jp)
- WP Total Hacks 1.8.0 – Pingbackをブロックする機能を追加しました。 (firegoby)
- Disable XML-RPC Pingback プラグイン
コメントを残す