国内のレンタルサーバー会社は国外からのxmlrpc.phpへのアクセスを禁止する機能を提供している所が多くなりましたが、自分のようにIFTTTのサービスを利用したり海外のレンタルサーバー会社やCDNを利用している方などは自衛策を講じなくてはいけません。
そもそもxmlrpc.phpを使わないのであれば、ぶっちゃけサーバーから削除しちゃってもWordPressは正常に動作するので消し去ってしまうのも手段の1つではあるかと思いますが、WordPressのコアシステムのバージョンアップがあると復活してしまうため、通常は.htaccessファイルでdeny(拒否)設定したりxmlrpc.phpのパーミッションを400とか404に変更したりするのが一般的かと思います。単に「Disable XML-RPC」などのプラグインを入れていらっしゃる方も多いでしょう。
しかし、先ほどのようにIFTTTなどのサービスを利用したりメールやWordPressのアプリなどで投稿(少ないと思いますが)をされたりするなど、どうしてもxmlrpc.phpを使わざるを得ない状況になる場合はクドいですが自衛策を講じなくてはいけません。
自分の場合、config.phpのパーミッションは400に、.htaccessファイルのパーミッションは404に設定していますが、config.phpのパーミッションを400にしているとプラグインによってはインストール時にエラーとなる事もあるので頭の片隅に入れておくと良いかと思います。また、パスワードは記号も含めて最低でも20桁以上に設定しています。以前はDisable XML-RPCも入れていたのですがON/OFFしかできず、もっと細かく設定できるプラグインは無いのかな~っと思って探していた時に見つけたのが「SiteGuard WP Plugin」です。
この「SiteGuard WP Plugin」ですが、高度なサイバー攻撃からウェブサイトを保護するためサーバーにインストールされているソフトウェア型Webアプリケーションファイアウォール(WAF)製品である株式会社ジェイピー・セキュア(JP-Secure Inc.)社のSiteGuardシリーズから生まれたプラグインで、サーバーにWAFとしてSiteGuardが使われていると最大限の威力を発揮できますが、そうでなくてもWordPressのセキュリティーを格段に向上してくれる素晴らしいプラグインです。
しかも、安心と信頼の純国産製品!
WordPressプラグインのページに行くと「このプラグインはまだ日本語に対応していません。翻訳を手伝いましょう。」と書かれてありますが、プラグインのインストール後に有効化するとバリバリ日本語で使えるので心配はいりません。日本語に対応していません・・・なんていつの情報なのでしょうね。
プラグインの設定は全て日本語でできるのでスムーズに設定できると思いますが、機能の詳細について知りたければ公式サイトの「WordPressセキュリティプラグイン/SiteGuard WP Plugin」に特徴や重要なお知らせ、機能一覧といった説明が書かれてあるのでジックリ読んでみましょう。機能としては以下の設定ができます。
・管理ページアクセス制限
・ログインページ変更
・画像認証
・ログイン詳細エラーメッセージの無効化
・ログインロック
・ログインアラート
・フェールワンス
・XMLRPC防御
・更新通知
・WAFチューニングサポート(WAFにSiteGuardが導入されている場合のみ)
※さくらのレンタルサーバのWAFとして導入されています
ログインページ(wp-login.php)の名前を好きなように変更したり、画像認証にひらがな(日本語キーボードが無いと入力できませんよね)が使えたり、日本語環境でしか使えない機能や初心者にも優しいカスタマイズ性がユニークなプラグインで、簡単な設定でセキュリティーをアップしてくれます。ログインページやXMLRPCでのアクセスは全てのログイン名やIPアドレス履歴が最大1万件記録されるので、もし攻撃を受けたとしても対策を講じる助けにもなります。
WordPressのセキュリティー対策をしたいけどどうすれば良いか迷っているのであれば、まずはこの「SiteGuard WP Plugin」を入れる事をおススメします。きっとあなたのサイトを守る要になってくれますよ!