スマホWordPressアプリでログインや、記事更新ができません→xmlrpc無効化してるとできませんが、セキュリティ上必要なこともあります
| 更新: 2024/02/11 | 2286文字
今回は、スマホWordPressアプリで『正しいパスワードやユーザー名なのにログインできない・記事更新が反映されない』という状況についてお話します。結論からいうと、原因のひとつは、構成ファイルの『xmlrpc.php』なんですけど、セキュリティ上必要なこともあります。 どこでもスマホから記事を書いたりできるアプリは便利ですが、リスクのある構成ファイルについては押さえておくとよさそうです。さっそく内容を確認していきましょう。
目次
スマホWordPressアプリはどんな感じ?
googleプレイストアとかに出ている『Automattic, Inc(wordpress.comの会社)』がリリースしたものが有名です。レビューを読むと『日本語入力や画像アップなどが不満』『途中で落ちた』みたいな難点がありますが、皆さん快適に使っている様子。
新規にアカウントを作るほか、既に持っているWPサイトを登録して、アプリから更新したりすることができます。管理人はスマホ操作が苦手で、キーボードで入力したほうが速いので、あまり恩恵を受けられませんでしたが(笑)、普段からスマホを使っていて、ちょっとした画像や文字中心の場合は、メリットがあると思われます。
(管理人は特に設定していないんで、よくわかんないなって感じでしたけど笑)reader機能もあります。興味ある話題のタグをクリックしたら、なんか海外のサイトがいっぱい出てきました。wordpress.comのユーザーのサイトが、アメブロとかfc2のポータルみたいな感じで、表示されている感じですかね?
スマホWordPressアプリのエラー例~ログインや記事更新ができない件と原因
このサイトで使うとログインや記事更新ができない
ちょっとアプリWPをつかってみた管理人ですが、このサイトの登録時に、ちょっとトラブりました。記事がこんな感じで保存されないとか、正しいパスワードを入れても入れないみたいな状況が発生していました。
状況によっては『プラグインの干渉』などがあります。または・・・
理由→セキュリティ上の理由で.htaccessを使ってxmlrpc.php無効化していた
このサイトの場合はこれでした。アプリ更新やログインに必要なWP構成ファイルに『xmlrpc.php』というのがあるんですけど、それを.htaccessでハネていたのが原因です。
ちなみに、テーマ側(functions.php)で『add_filter(‘xmlrpc_enabled’, ‘__return_false’);』を設定していても、アプリで更新やログインができないという状況が発生します(403にはなりませんが、アプリが本体保存とかしか機能しなくなります)。
xmlrpc.php無効化してた理由→ブルートフォース攻撃など、セキュリティ上狙われやすいファイルだから
少し利便性を犠牲にしていますが、xmlrpc.php無効化には理由があります。このサイトの過去記事にも書きましたが、『xmlrpc.phpが、外部からのアタックを受けやすいファイル』だからです。『WordPress 4.7.5より前の脆弱性はかなりヤバい』といわれていましたが、2020年以降になっても、このファイルが攻撃対象になる話題は上がっています。検索ネットサーフィンしていると、インチキ広告へのリダイレクトを仕組まれているWPサイトもあるので、『こういうリスクはありますよ~』という点は押さえておいてください。
◆(過去記事)WordPress構成ファイルのxmlrpc.phpを無効化する方法
/5914/how-to-disable-xmlrpc-php/
◆WordPress 4.7.5 セキュリティ・メンテナンスリリース
https://ja.wordpress.org/2017/05/18/wordpress-4-7-5/
また、海外のWordPress関連情報サイトにおいては、『XML-RPC無効化』のほかに、『どのようにXML-RPCに対して、ブルートフォース攻撃を仕掛けるか』についても解説しています。管理人も、他の人に迷惑がかからない形でテストサイトを作って、試してみたい気がします(笑)すこしスキルが上がりそうです。
◆How to Disable XML-RPC in WordPress Manually & Plugins? (海外WP Hacked Help Blog)
https://secure.wphackedhelp.com/blog/wordpress-disable-xmlrpc/
あとがき・まとめ
- スマホWordPressアプリはわりと便利だが、xmlrpc.php無効化するとログインや記事更新ができない
- セキュリティ上の理由から、xmlrpc.php無効化するケースがある
まとめるとこんなところでしょうか。業務上(顧客情報がデータベースに入ってるとか)の場合は使えませんが、ちょっと更新にはアプリは便利だと思います。ただし、リスクのあるファイルについては押さえておくとよいでしょう。
【カテゴリ】- サイトエラー対策と復旧
【タグ】- WordPress, WordPressログインできない, WPセキュリティ対策