WPScanによるxmlrpcの検証方法WordPressではXML-RPCの機能がデフォルトでは有効になっています。 最新のWordPressのバージョンでは、XML-RPCに取って代わるREST APIが機能として存在するため、用途はほぼ皆無であると思います。 「WordPress xmlrpc」とググると、ブルートフォースアタックなどの脆弱性の温床になりかねないということで、無効化する方法が出てきます。 公式プラグインの WPScan ではXML-RPCが有効であるかどうかの検証をしていますが、その検証の仕方が予期しないもので、対応がなかなかうまく行かなかった話を紹介します。 結論から言うと、Webサーバーの設定でxmlrpc.phpへのアクセスを拒否する方法が簡単です。 WPScanとはWPScanはプラグインやテーマ、WordPressのコアの脆弱性を検出するプラグインです。 コード以外にも重要なファイルがpublic
