xmlrpc.phpへのアクセスについてちょっと考えた

xmlrpc.phpへのアクセスについてちょっと考えた - とりあえず状況を把握しないとね

説明

少し前のことですが、こちらのサーバーを何度かダウンさせてしまったのですが、その原因はxmlrpc.phpへアクセスが集中したことによってサーバーが過負荷となってしまったというものでした。すぐにサーバー性能を上げることはできないため、xmlrpc.phpのアクセスを全部拒否するという暫定対応してしまいました。

とりあえずdeny from all

xmlrpc.phpへのアクセス集中(DoS)は、これまでにも何度か盛り上がりを見せ、WordPressシステム本体でもいくつかの対策が行われました。こちらのサイトは最新版のWordPressを使用しているのですが、それでも今回このような事象に遭遇したことに軽い衝撃があったわけですが、サーバー運営側も何らかの対策が必要なのは確かでしょう。

とりあえず現状ですが、.htaccessに次の内容を記述しています。

<Files "xmlrpc.php">
order allow,deny
deny from all
</Files>

これによりxmlrpc.phpへの全アクセスが無効となり、サーバーが過負荷になる事態は回避できました。WordPressのプラグインでPingbackを無効化するものもあるようですが、プラグインが動作する段階でそれなりにCPUを使用してしまうことを考えて、.htaccessでアクセスをブロックしました。

さてxmlrpc.phへのアクセス集中がどの程度だったかというと、アクセスログを見た限りそれほど多くはなかったので、ある程度のサーバー性能があればもう少し持ちこたえたのかもしれません。抜本的な対策はサーバー性能アップなので、現状よりも高性能なサーバーへの引っ越しということになるでしょう。

xmlrpc.php再開の是非

これとは別にxmlrpc.phpを再開するかどうかも検討しなければなりません。まずはxmlrpc.phpによって実現する機能について整理してみます。

A.Pingbackによる相互リンク
B.スマートフォンアプリなどを利用したサイト状況確認と更新
C.その他のXML-RPC機能

このサイトに限れば、Aは利用していましたが、BとCは利用していない。現状はPingbackを利用できないのが、最大の問題であり、解決したい課題ということになります。

さてアクセス解析ですが、少し前からGoogleアナリティスクにまかせっきりになっており、とんとWebサーバー(ここではApache)のアクセスログには目を向けていなかったわけですが、xmlrpc.phpのアクセスログに頼ることになりそうです。httpd.conf(バーチャルホストの場合はhttpd-vhosts.conf)に次の内容を記述し、xmlrpc.phpのみのアクセスログを別ファイルとして保存するようにしてみます。

SetEnvIf Request_URI xmlrpc\.php xmlrpc
CustomLog "logs/xmlrpc.log" common env=xmlrpc

Apacheを再起動しテストとしてxmlrpc.phpにアクセスした際に保存されたxmlrpc.logの内容は次の通りです。

127.0.0.1 - - [10/Jul/2015:11:40:03 +0900] "GET /xmlrpc.php HTTP/1.1" 405 42
127.0.0.1 - - [10/Jul/2015:12:00:07 +0900] "GET /xmlrpc.php?rsd HTTP/1.1" 200 698

これでxmlrpc.phpのアクセス状況の確認はだいぶ楽になるでしょう。

xmlrpc.phpのアクセスについては、例えば日本だけは許可するといった対応も考えられるのですが、正確な日本のIPアドレスを.htaccessに記述するとそれなりのボリュームになってしまうので、ちょっと躊躇しています。とりあえず、サーバーの引っ越しまでに具体的な対策をまとめたいところです。続く。

お勧めコンテンツ

wp_reset_query(2011年3月18日 登録)

void wp_reset_query( )
ページ呼び出し時のクエリ状態に戻す。

get_year_link(2012年2月2日 登録)

string get_year_link( mixed $year )
年アーカイブのURLを取得する。

get_post_format_strings(2011年9月12日 登録)

string get_post_format_strings( )
投稿フォーマット名の一覧を取得する。

get_post_format_string(2011年9月11日 登録)

string get_post_format_string( [ string $slug ] )
投稿フォーマット名を取得する。

get_post_format_slugs(2011年9月12日 登録)

string get_post_format_slugs( )
投稿フォーマットのスラッグ一覧を取得する。

最終更新日時 : 2015-07-11 11:20