MTのテンプレートは触れても、システム的なことはさっぱりなので、今回のサイト改ざん攻撃で使われたmt-xmlrpc.cgiを消してもいいのか、その注意書きの意味すらよくわからない。
なので、mt-xmlrpc.cgiがどんな働きをするものなのか調べてみた。
こういう非常時に、Movable Typeの一般ユーザーが少なくて情報が集められないのがネックになる。
もちろん有料会員ならサポートを受けられるので困らないんだろうけど...。
以下のサイトはWordPressのことだけど、機能は同じようなものだろう。
参照:XML-RPCとは?詳細と扱う際の注意点
xmlrpc.phpは、WordPressを構成するPHPのプログラムコードです。
XML-RPCをコントロールするためのプログラムが記載されており、xmlrpc.phpを利用することで、次に挙げるような処理を他のプログラムやサイト外から行えます。メールによる記事投稿
既存記事の編集
既存記事の削除
ファイルアップロード
コメントの編集
ピンバックなど
通常、上記の処理はWordPressの管理画面からログインしなければ行えません。
しかし、xmlrpc.phpを利用することで、管理画面からログインせずともリモートで操作が行えるのです。
なるほど、大体イメージできた。
WordPressも以前サイトの乗っ取りが大騒ぎになったことがあるよね。
同じところを突かれたのか。
対処法として、.htaccess によるアクセスを制限があるらしいが、サーバーソフトウェアがApacheでないと使えない手とある。
ロリポップのサーバーは何だったか確認してみた。
参照:サーバーの仕様
サーバーソフトウェア名 Apache 2.4.x
ハイスピードプラン・エンタープライズプランの場合 LiteSpeed 5.4
格安プランを使っているので、これなら問題ない。
運用上問題ないか、一度試してみよう。
追記:.htaccess によるアクセス制限を試したところ、CGIエラーが出て止まってしまった。
んー、結局古いバージョンの mt-xmlrpc.cgi は削除、最新版にアップグレードしか防衛手段がないのか。
今の所、mt-xmlrpc.cgi を削除しても、普通にパソコンから再構築をかける分には問題なさそう。
安全は無料では手に入らない。
コメント