仕事柄毎日一定時間以上はアクセスログを眺めているが、WordPressサイトで攻撃を受けやすいファイルの1つにxmlrpc.phpがある。このファイルはどんな機能を担っているのだろうか。今更ながら予備知識を入れておく。
xmlrpc.phpの役割
その名の通り、XML-RPC経由でAPIを提供している。XML-RPCは、エンコードにXML形式、転送にHTTPを採用した、RPC (Remote Procedure Call)のプロトコル。XML-RPCのプロトコルでxmlrpc.phpを叩くことでAPIをコールすることができる。
具体的にどんなAPIが提供されているかは、公式サイトに説明ページがある。WordPress独自のAPIに加えて、他ブログシステムのAPIもサポートしているようだ。
XML-RPC WordPress API « WordPress Codex
https://codex.wordpress.org/XML-RPC_WordPress_API
xmlrpc.phpは必要か?
自分のサイトには必要無し。だって、外部からサイトを操作したりデータを取得することはないから。
というわけでブロックしとく。