WordPressでセキュリティアップに必要とされるXML-RPCの無効化について

公開日：2025(令和7)年3月3日／最終更新日： 2025(令和7)年3月3日

WordPress Customize Ideas | Personal WP Customization Notes (PWCN)

WordPressでたびたびセキュリティ上のリスクがあるから無効にした方がいいと言われるXML-RPC。そもそもこれは外部のアプリからサイト内の編集をしたり、メールによる投稿を行ったりするために利用するもので、そうした機能が必要ないなら無効にしておいた方がいいという機能です。

最近出てきたREST APIと同じように何かのリクエストを外部から行って、サイト側から回答が返ってくるという仕組みなので、投稿の新規作成や編集といった操作だけでなく、ユーザーに関するリクエストなども存在するため、悪意を持った訪問者がこの機能を逆手にとってユーザー名やパスワードを類推しようとされてしまうことがあるのです。

上記の内容はあくまでも私が解釈している範囲で書いているものであり、認識の誤りがあるかもしれないことを前置きしておきます

さて、ではどうやってXML-RPCを無効にするのか、ということですが、これは多くのサイトが紹介されているように、以下の一行を有効化しているテーマのfunctions.phpへ追加するだけです。

add_filter( 'xmlrpc_enabled', '__return_false' );

ただこれにもいろいろな意見があって、これでOKというページもあれば、これでは無効にできていないと述べているページもあり、いったいどっちなの？と混乱すると思います。

結論から言えば、悪意を持ってパスワードなどを類推するようなリクエストは上記のコードで無効にできるということです。

これについては、公式リファレンスのapply_filters ( ‘xmlrpc_enabled’, ブール値 $is_enabled )でも認証を必要とする XML-RPC メソッドが有効になっているかどうかをフィルタリングするものだと書かれており、全部をブロックするわけではないことが分かります。

上記コードでXML-RPCが完全に無効になっていれば、「ドメイン/xmlrpc.php」へアクセスした時にアクセス拒否されるはずが「XML-RPC server accepts POST requests only.」というメッセージが表示され、無効になっていないように見えるため、前述のような混乱させるようなページも存在するのだと思われます。

そこでいろいろなページを見れば見るほど混乱するので、XML-RPCにおいて一体何を無効にすればログインセキュリティに対する安全性がより保てるのかをAIに聞いてみたところ文末のような回答があり、自身納得しました（興味のある方はページ末尾までご覧ください）。

このAIの回答を参考にすれば、HTTP POSTリクエストを使って悪意を持って情報を取得できる部分が閉じていれば（無効になっていれば）安全性が向上するということなので、コードを設置したら本当にそうなっているかをチェックするといいと思います。

チェックで有用なのは、「WordPress XML-RPC Validation Service」という外部サービスです。アクセスしたらサイトのURLを入れるだけで簡単にチェックでき、以下のようになっていればOKです。

WordPressでセキュリティアップに必要とされるXML-RPCの無効化について|Personal WP Customization Notes (PWCN)

私はセキュリティ関係のエキスパートではありませんので、本当に大丈夫かについてはご自身でじっくり調べてください

以下前述したAIによる回答です。

XML-RPCを使った不正行為の一般的な流れは、以下のようになります。

情報収集
攻撃者はターゲットのWordPressサイトに関する情報を収集します。これには、次のような情報が含まれます：

サイトのURL
使用されているプラグインやテーマ
管理者のユーザー名

ブルートフォース攻撃
XML-RPCのwp_xmlrpc_serverを利用して、リモートからのログイン試行を行います。特に以下の方法で行われます：

system.multicallメソッドを使用し、同時に複数のログイン試行を行うことで、短時間で多くのパスワードを試すことが可能です。

成功したログイン
攻撃者が正しい管理者のユーザー名とパスワードを見つけると、管理者としてサイトにログインできます。

不正な操作
ログイン後、攻撃者は次のような不正な操作を行う可能性があります：

投稿の作成や削除
プラグインのインストールや削除
サイトの設定変更
マルウェアのアップロード

サイトの悪用
攻撃者はサイトを悪用して、以下のような行為を行うことがあります：

スパム投稿の作成
フィッシングサイトへのリダイレクト
他のサイトへの攻撃のためのボットネットとして利用
対策
XML-RPCを無効化することは、これらの攻撃を防ぐ有効な手段の一つです。他にも、以下の対策が有効です：

強力なパスワードの使用
二段階認証の導入
セキュリティプラグインの使用
定期的なバックアップとセキュリティチェック
この流れを理解することで、XML-RPCに関連するリスクを把握し、適切な対策を講じることができます。もし追加の質問があれば、遠慮なくお知らせください。

本ページで掲載した内容や、紹介した参考コードなどがお役に立てたようでしたら、ページ末尾のコメント欄よりコメントを残す、SNS等で拡散するなどしていただけましたら幸いです。

本ページ掲載の方法やコード等はあくまでも最終更新日時点での私の環境において動作確認等を行ったものです。動作不良やカスタマイズの詳細な方法などをコメント欄よりいただきましても原則回答は致しませんのでご了承ください。

WordPressのカスタマイズに関するご要望はココナラにてお受けしております。お問い合わせ方法など詳しくはこちらをご覧ください。

最後までお読みいただきありがとうございました。

本ページで掲載している文章、画像、コード等すべてのコンテンツの著作権・所有権は当サイトにあり、転載を固く禁じます

ログイン画面に計算問題認証機能を追加する方法（プラグインなし）

ダッシュボードに最近更新した投稿の一覧を表示する方法（プラグインなし）

ひまあーと（管理人）

WordPressと出会ったのはTwenty Tenテーマがデフォルトになる前と結構な期間お世話になっています。興味に応じて、いろいろなサイト作っては壊しを繰り返しながら、独自テーマの作成やプラグインの作成などを行っています。本サイトでは主にTwenty Twenty-TwoをはじめとするWordPress標準のブロックテーマのカスタマイズ方法、多彩な機能を詰め込んだ【Hima Art Utility】プラグインの紹介などをしています。 WordPressへの感謝、プラグイン作者への感謝を込めて、ささやかながら日本語翻訳に参加させていただいています（参加プロダクトはこちら）