スマホWordPressアプリでログインや、記事更新ができません→xmlrpc無効化してるとできませんが、セキュリティ上必要なこともあります

      2021/02/23   2325文字

今回は、スマホWordPressアプリで『正しいパスワードやユーザー名なのにログインできない・記事更新が反映されない』という状況についてお話します。結論からいうと、原因のひとつは、構成ファイルの『xmlrpc.php』なんですけど、セキュリティ上必要なこともあります。
どこでもスマホから記事を書いたりできるアプリは便利ですが、リスクのある構成ファイルについては押さえておくとよさそうです。さっそく内容を確認していきましょう。

スマホWordPressアプリはどんな感じ?


googleプレイストアとかに出ている『Automattic, Inc(wordpress.comの会社)』がリリースしたものが有名です。レビューを読むと『日本語入力や画像アップなどが不満』『途中で落ちた』みたいな難点がありますが、皆さん快適に使っている様子。


新規にアカウントを作るほか、既に持っているWPサイトを登録して、アプリから更新したりすることができます。管理人はスマホ操作が苦手で、キーボードで入力したほうが速いので、あまり恩恵を受けられませんでしたが(笑)、普段からスマホを使っていて、ちょっとした画像や文字中心の場合は、メリットがあると思われます。


(管理人は特に設定していないんで、よくわかんないなって感じでしたけど笑)reader機能もあります。興味ある話題のタグをクリックしたら、なんか海外のサイトがいっぱい出てきました。wordpress.comのユーザーのサイトが、アメブロとかfc2のポータルみたいな感じで、表示されている感じですかね?

スマホWordPressアプリのエラー例~ログインや記事更新ができない件と原因

このサイトで使うとログインや記事更新ができない


ちょっとアプリWPをつかってみた管理人ですが、このサイトの登録時に、ちょっとトラブりました。記事がこんな感じで保存されないとか、正しいパスワードを入れても入れないみたいな状況が発生していました。

状況によっては『プラグインの干渉』などがあります。または・・・

理由→セキュリティ上の理由で.htaccessを使ってxmlrpc.php無効化していた


このサイトの場合はこれでした。アプリ更新やログインに必要なWP構成ファイルに『xmlrpc.php』というのがあるんですけど、それを.htaccessでハネていたのが原因です。

ちなみに、テーマ側(functions.php)で『add_filter(‘xmlrpc_enabled’, ‘__return_false’);』を設定していても、アプリで更新やログインができないという状況が発生します(403にはなりませんが、アプリが本体保存とかしか機能しなくなります)。

xmlrpc.php無効化してた理由→ブルートフォース攻撃など、セキュリティ上狙われやすいファイルだから

少し利便性を犠牲にしていますが、xmlrpc.php無効化には理由があります。このサイトの過去記事にも書きましたが、『xmlrpc.phpが、外部からのアタックを受けやすいファイル』だからです。『WordPress 4.7.5より前の脆弱性はかなりヤバい』といわれていましたが、2020年以降になっても、このファイルが攻撃対象になる話題は上がっています。検索ネットサーフィンしていると、インチキ広告へのリダイレクトを仕組まれているWPサイトもあるので、『こういうリスクはありますよ~』という点は押さえておいてください。

また、海外のWordPress関連情報サイトにおいては、『XML-RPC無効化』のほかに、『どのようにXML-RPCに対して、ブルートフォース攻撃を仕掛けるか』についても解説しています。管理人も、他の人に迷惑がかからない形でテストサイトを作って、試してみたい気がします(笑)すこしスキルが上がりそうです。

あとがき・まとめ

  • スマホWordPressアプリはわりと便利だが、xmlrpc.php無効化するとログインや記事更新ができない
  • セキュリティ上の理由から、xmlrpc.php無効化するケースがある

まとめるとこんなところでしょうか。業務上(顧客情報がデータベースに入ってるとか)の場合は使えませんが、ちょっと更新にはアプリは便利だと思います。ただし、リスクのあるファイルについては押さえておくとよいでしょう。

WordPressサイト制作&リニューアル・機能開発サービス | アトリエSS


【カテゴリ】 - サイトエラー対策と復旧(wp/php/css)
【タグ】 - , ,

  関連記事

【WordPress】PHPバージョン、いきなり変えて大丈夫?不安なら公開前にローカルテスト
WordPress構成ファイルのxmlrpc.phpを無効化する方法【実は攻撃されやすい】
【WordPress】人気ブログランキング、新着記事が取得できない→フィード出力で解決・ブログ村は問い合わせ
【wpプラグイン】コンタクトフォーム7の自動返信設定と、なぜか発生した文字化けの対処
【ログインページが404】ディレクトリやWordPress アドレス変更でログインできない場合は、データベースからログインできるアドレスに直す
WordPress 5.2がサーバーPHP5.6.2以下で動かなくなる事例~更新や閲覧はできる?バージョンアップの注意点は?
【WordPress】ヘッダーに『” />』みたいな謎の記号が出るんですが?→固定ページ抜粋?・対処法も紹介
WordPressサイトヘルスを『改善が必要→良好』にしたいけど、どうすれば良い?(プラグイン・テーマ・WP/PHPバージョンアップデート)
スマホWordPressアプリでログインや、記事更新ができません→xmlrpc無効化してるとできませんが、セキュリティ上必要なこともあります
【WordPress/エラー対策】プラグインbizcalendarが改造テーマで表示しない事例
【WPテーマ不具合修正】Clarina(親llorix-one-lite)で、ブログ更新情報タイトルが二回出るのを直す
【wordpressエラー原因】Parse error: syntax error画面真っ白は、プラグインorサーバーのPHPバージョンが合わない