バックエンドの設定

WordPress には、サイトに何らかの影響を及ぼす重要なバックエンドへの入口、即ち エンドポイントがあります。このセクションでは、特に重要なエンドポイントに対する リクエストを検証するルールを設定します。

コメント投稿

wp-comments-post.php へのリクエストを検証します。

参考: このオプションで bbPress フォーラム への投稿を遮断することができます。

XML-RPC

xmlrpc.php へのリクエストを検証します。

プラグイン Jetpack by WordPress.com は、米国のサーバーからこの エンドポイントにアクセスします。このため国コード US が 「国コードのホワイトリスト 」に含まれない、または ブラックリストに含まれる場合、WordPress.com との連携が機能しません。

Jetpack サーバーのIPアドレス、または Automattic, Inc の AS番号 AS2635 を「国コードに優先 して検証するIPアドレスのホワイトリスト」に設定して下さい。

ログイン・フォーム

wp-login.phpwp-signup.php へのアクセスを検証します。

Login form target actions

参考: このオプションで BuddyPress ユーザー登録ページ へのリクエストを遮断することができます。

管理領域

wp-admin/*.php へのアクセスを検証します。

wp-admin 直下のファイルへのリクエストは、ログイン・ページへのリダイレクトを 発生させるばかりでなく、テーマやプラグインの脆弱性を突いた重要情報の搾取や バックドアの設置など、攻撃のエンドポイントになり得ます。

管理領域 ajax/post

特に wp-admin/admin-ajax.phpwp-admin/admin-post.php へのリクエストを 検証します。

これらのエンドポイントは、テーマやプラグインが固有の処理を行うための標準的な インターフェースとして使われますが、セキュリティ上の配慮に欠けた脆弱なテーマや プラグインが後を絶ちません。

Find blocked request button

プラグイン領域

wp-content/plugins/⋯/*.php へのリクエストを遮断します。

テーマ領域

wp-content/themes/⋯/*.php へのリクエストを遮断します。

WPコアの読み込みを強制」と「例外」は、「プラグイン領域」と同様 です。

参考情報