xmlrpc.phpへのアクセスについてちょっと考えた

説明

少し前のことですが、こちらのサーバーを何度かダウンさせてしまったのですが、その原因はxmlrpc.phpへアクセスが集中したことによってサーバーが過負荷となってしまったというものでした。すぐにサーバー性能を上げることはできないため、xmlrpc.phpのアクセスを全部拒否するという暫定対応してしまいました。

とりあえずdeny from all

xmlrpc.phpへのアクセス集中（DoS）は、これまでにも何度か盛り上がりを見せ、WordPressシステム本体でもいくつかの対策が行われました。こちらのサイトは最新版のWordPressを使用しているのですが、それでも今回このような事象に遭遇したことに軽い衝撃があったわけですが、サーバー運営側も何らかの対策が必要なのは確かでしょう。

とりあえず現状ですが、.htaccessに次の内容を記述しています。

<Files "xmlrpc.php">
order allow,deny
deny from all
</Files>

これによりxmlrpc.phpへの全アクセスが無効となり、サーバーが過負荷になる事態は回避できました。WordPressのプラグインでPingbackを無効化するものもあるようですが、プラグインが動作する段階でそれなりにCPUを使用してしまうことを考えて、.htaccessでアクセスをブロックしました。

さてxmlrpc.phへのアクセス集中がどの程度だったかというと、アクセスログを見た限りそれほど多くはなかったので、ある程度のサーバー性能があればもう少し持ちこたえたのかもしれません。抜本的な対策はサーバー性能アップなので、現状よりも高性能なサーバーへの引っ越しということになるでしょう。

xmlrpc.php再開の是非

これとは別にxmlrpc.phpを再開するかどうかも検討しなければなりません。まずはxmlrpc.phpによって実現する機能について整理してみます。

このサイトに限れば、Aは利用していましたが、BとCは利用していない。現状はPingbackを利用できないのが、最大の問題であり、解決したい課題ということになります。

さてアクセス解析ですが、少し前からGoogleアナリティスクにまかせっきりになっており、とんとWebサーバー（ここではApache）のアクセスログには目を向けていなかったわけですが、xmlrpc.phpのアクセスログに頼ることになりそうです。httpd.conf（バーチャルホストの場合はhttpd-vhosts.conf）に次の内容を記述し、xmlrpc.phpのみのアクセスログを別ファイルとして保存するようにしてみます。

SetEnvIf Request_URI xmlrpc\.php xmlrpc
CustomLog "logs/xmlrpc.log" common env=xmlrpc

Apacheを再起動しテストとしてxmlrpc.phpにアクセスした際に保存されたxmlrpc.logの内容は次の通りです。

127.0.0.1 - - [10/Jul/2015:11:40:03 +0900] "GET /xmlrpc.php HTTP/1.1" 405 42
127.0.0.1 - - [10/Jul/2015:12:00:07 +0900] "GET /xmlrpc.php?rsd HTTP/1.1" 200 698

これでxmlrpc.phpのアクセス状況の確認はだいぶ楽になるでしょう。

xmlrpc.phpのアクセスについては、例えば日本だけは許可するといった対応も考えられるのですが、正確な日本のIPアドレスを.htaccessに記述するとそれなりのボリュームになってしまうので、ちょっと躊躇しています。とりあえず、サーバーの引っ越しまでに具体的な対策をまとめたいところです。続く。