WordPressのxmlrpc.phpを狙った攻撃注意喚起

xmlrpc.phpを使うことで標準の管理画面以外からもAPIを使って、記事の投稿ができるようになる機能です。
ブルートフォースアタックでのっとりをしようとしているか、Pingback機能を悪用して踏み台にして攻撃に利用するためにアタックされる事例が多いようですので早速対策をとられてください。

[対策その1] プラグインで無効化
Disable XML-RPC Pingbackというプラグイン

[対策その2] xmlrpc.phpへのアクセス禁止
xmlrpc.phpへアクセスできないようにした。これはhtaccessに追加

<Files "xmlrpc.php">
order deny,allow
deny from all

</Files>

[対策その3] パーミッション変更

xmlrpc.phpを0000に変更