webコンテンツを徹底強化!WordPressサイト制作とプラグイン&テーマ情報・メンテ/エラー対応から、PHP/CSS/javascript、動画・音・イラスト等制作まで扱うコラム
マルチメディアコンテンツ制作読んどけ☆コラム

スマホWordPressアプリでログインや、記事更新ができません→xmlrpc無効化してるとできませんが、セキュリティ上必要なこともあります

      2021/02/23

今回は、スマホWordPressアプリで『正しいパスワードやユーザー名なのにログインできない・記事更新が反映されない』という状況についてお話します。結論からいうと、原因のひとつは、構成ファイルの『xmlrpc.php』なんですけど、セキュリティ上必要なこともあります。 どこでもスマホから記事を書いたりできるアプリは便利ですが、リスクのある構成ファイルについては押さえておくとよさそうです。さっそく内容を確認していきましょう。

スマホWordPressアプリはどんな感じ?

googleプレイストアとかに出ている『Automattic, Inc(wordpress.comの会社)』がリリースしたものが有名です。レビューを読むと『日本語入力や画像アップなどが不満』『途中で落ちた』みたいな難点がありますが、皆さん快適に使っている様子。

新規にアカウントを作るほか、既に持っているWPサイトを登録して、アプリから更新したりすることができます。管理人はスマホ操作が苦手で、キーボードで入力したほうが速いので、あまり恩恵を受けられませんでしたが(笑)、普段からスマホを使っていて、ちょっとした画像や文字中心の場合は、メリットがあると思われます。

(管理人は特に設定していないんで、よくわかんないなって感じでしたけど笑)reader機能もあります。興味ある話題のタグをクリックしたら、なんか海外のサイトがいっぱい出てきました。wordpress.comのユーザーのサイトが、アメブロとかfc2のポータルみたいな感じで、表示されている感じですかね?

スマホWordPressアプリのエラー例~ログインや記事更新ができない件と原因

このサイトで使うとログインや記事更新ができない

ちょっとアプリWPをつかってみた管理人ですが、このサイトの登録時に、ちょっとトラブりました。記事がこんな感じで保存されないとか、正しいパスワードを入れても入れないみたいな状況が発生していました。

状況によっては『プラグインの干渉』などがあります。または・・・

理由→セキュリティ上の理由で.htaccessを使ってxmlrpc.php無効化していた

このサイトの場合はこれでした。アプリ更新やログインに必要なWP構成ファイルに『xmlrpc.php』というのがあるんですけど、それを.htaccessでハネていたのが原因です。

ちなみに、テーマ側(functions.php)で『add_filter('xmlrpc_enabled', '__return_false');』を設定していても、アプリで更新やログインができないという状況が発生します(403にはなりませんが、アプリが本体保存とかしか機能しなくなります)。

xmlrpc.php無効化してた理由→ブルートフォース攻撃など、セキュリティ上狙われやすいファイルだから

少し利便性を犠牲にしていますが、xmlrpc.php無効化には理由があります。このサイトの過去記事にも書きましたが、『xmlrpc.phpが、外部からのアタックを受けやすいファイル』だからです。『WordPress 4.7.5より前の脆弱性はかなりヤバい』といわれていましたが、2020年以降になっても、このファイルが攻撃対象になる話題は上がっています。検索ネットサーフィンしていると、インチキ広告へのリダイレクトを仕組まれているWPサイトもあるので、『こういうリスクはありますよ~』という点は押さえておいてください。

また、海外のWordPress関連情報サイトにおいては、『XML-RPC無効化』のほかに、『どのようにXML-RPCに対して、ブルートフォース攻撃を仕掛けるか』についても解説しています。管理人も、他の人に迷惑がかからない形でテストサイトを作って、試してみたい気がします(笑)すこしスキルが上がりそうです。

あとがき・まとめ

  • スマホWordPressアプリはわりと便利だが、xmlrpc.php無効化するとログインや記事更新ができない
  • セキュリティ上の理由から、xmlrpc.php無効化するケースがある

まとめるとこんなところでしょうか。業務上(顧客情報がデータベースに入ってるとか)の場合は使えませんが、ちょっと更新にはアプリは便利だと思います。ただし、リスクのあるファイルについては押さえておくとよいでしょう。


【カテゴリ】 - サイトエラー対策と復旧(wp/php/css)
【タグ】 - , ,

  関連記事

【PageSpeed Insightsエラー】リクエストしたページを Lighthouse で正確に読み込めません→WPでメンテにしてました

今回はPageSpeed Insightsエラーで、『リクエスト ...

【WordPress】人気ブログランキング、新着記事が取得できない→フィード出力で解決・ブログ村は問い合わせ

今回は、WordPress構築のサイトで、『人気ブログランキング ...

フラッシュ形式のオーディオ・動画プレイヤーが表示されません(Adobe Flash Player終了)

今回は、うちのサイトであったわけではないですが、管理人がネットサ ...

【WordPress】ヘッダーに『" />』みたいな謎の記号が出るんですが?→固定ページ抜粋?・対処法も紹介

今回はWordPressを扱っていて、ヘッダーに『" />』みた ...

WPサイト接頭辞エラーまとめ~configやテーブル名変更・usermeta内の項目で、接頭辞不一致の場合

今回は、管理人がお仕事でWPサイトお引っ越しをしたときに遭遇した ...

MySQLデータベースからWordPressテーマ変更・プラグイン停止を行う方法【エラー・管理画面に入れないときに】

今回のお題は、WordPressエラー復旧などに使えるかもしれな ...

【ログインページが404】ディレクトリやWordPress アドレス変更でログインできない場合は、データベースからログインできるアドレスに直す

今回は、WordPress を使っていて怖いエラーの1つ『ログイ ...