公開日2026.04.01
最終更新日2026.03.31
BreezeGroupセキュリティレポートは、弊社で行っているセキュリティ対策や情報セキュリティに関連する情報などをまとめています。
今回は、Webページセキュリティ対策について「WordPressの見えない入口を狙う攻撃 ~XML-RPC経由のログイン攻撃~」についてお話しいたします。
XML-RPCとは
XML-RPCとは、WordPressに備わっている外部連携用の通信機能です。
スマートフォンアプリや外部ツールなどから、WordPressサイトへ記事投稿や管理操作を行う際に利用されます。
この機能は「xmlrpc.php」というファイルを通じて提供されており、WordPressサイトに標準で搭載されています。
本来は利便性のための機能ですが、この仕組みを悪用した攻撃も報告されており、Webサイト運用において注意が必要なポイントの一つとなっています。
XML-RPCを悪用した攻撃 ~XML-RPC経由のログイン攻撃~
XML-RPCは外部からログイン処理を行うことができるため、攻撃者に悪用されることがあります。特に多いのが「XML-RPC経由のログイン攻撃」です。
これは、WordPressのログイン画面ではなくXML-RPCを経由して、IDやパスワードの組み合わせを大量に試行する攻撃です。
さらに、XML-RPCの機能の一つである「system.multicall」を利用すると、一度の通信で複数回のログイン試行を行うことができるため、通常のログイン攻撃よりも効率的にパスワードを突破しようとする特徴があります。
このため、WordPressサイトでは「xmlrpc.php」へのアクセスが頻繁に発生しているケースが多く確認されています。
WordPressサイトへの影響
XML-RPCを悪用した攻撃が成功すると、以下のような問題が発生する可能性があります。
<具体的な問題点>
①管理者アカウントの不正ログイン
ログイン攻撃によってパスワードが突破されると、攻撃者が管理画面へ不正にログインできるようになります。
その結果、Webページの改ざんや不正なプログラムの設置、フィッシングサイトへの誘導などが行われる可能性があります。
②サーバー負荷の増大
XML-RPCを利用した大量アクセスが発生すると、サーバーに大きな負荷がかかり、サイト表示が遅くなる場合があります。
アクセスが集中した場合、サービス提供に影響を及ぼす可能性もあります。
③他サイト攻撃の踏み台に利用される可能性
XML-RPCの機能を悪用し、第三者サイトへの攻撃に利用されるケースも報告されています。このような場合、サイトの信頼性にも影響を及ぼす可能性があります。
WordPressサイトにおける対策
XML-RPCを悪用した攻撃を防ぐためには、主に以下の対策が有効です。
①セキュリティプラグインによる防御
WordPressでは、セキュリティ対策用のプラグインを導入することで、XML-RPC経由の不正アクセスを検知・遮断することが可能です。
弊社にて開発したWordPressサイトではセキュリティプラグインを導入し、ログイン試行回数の制限や不審なアクセスの遮断などの対策を行っています。
②XML-RPC機能の無効化
WordPressでは、XML-RPCを使用しない運用の場合、機能自体を無効化することで攻撃対象を減らすことができます。弊社にて開発したWordPressサイトでは、XML-RPCを運用していない場合は無効化しています。
さいごに
BreezeGroupでは、「Web制作」事業を展開しております。WordPressサイトをはじめ、幅広いタイプのホームページ制作に対応しております。
https://breezegroup.co.jp/business/
最後までお読みいただきありがとうございます。
次回の配信は2026/10月を予定しております。
参考サイト
WordPress公式ドキュメント|XML-RPC Support
IPA|インターネットサービスへの不正ログインによる被害が増加中
IPA|情報セキュリティ10大脅威2025 組織編
