セキュリティを強化したいけど、プラグインが壊れそうで怖い…
WordPress(ワードプレス)のセキュリティ対策を調べていると、「XMLRPCを無効化すべき」「REST APIを制限しよう」という情報をよく目にしますが、いざ設定しようとすると頭をよぎる不安…
- 「UpdraftPlusの自動バックアップが止まるんじゃないか?」
- 「Contact Form 7のお問い合わせが届かなくなったらどうしよう」
- 「そもそもXMLRPCって何?無効化して本当に大丈夫?」
こういった不安から、設定を躊躇してしまう方も少なくないと思います。
結論からお伝えすると、一般的なブログ運営であれば、XMLRPCとREST APIを無効化しても、よく使われるプラグインには基本的に影響はありません。
本記事では、WordPressの初心者〜中級者の方に向けて、無効化が安全な理由と具体的な注意ポイントを、できるだけわかりやすく解説していきます。
そもそもXMLRPCとREST APIって何?
「XMLRPC」「REST API」という言葉、少し難しそうに聞こえますよね。まずは超シンプルに説明します。
XMLRPCとREST APIとは「裏口」のようなもの、と考えてください!
WordPressには、管理画面(ブラウザからログインする画面)以外にも、外部のアプリやシステムと通信するための「窓口」が標準で備わっています。それが以下の2つです。
| 名称 | 概要 |
|---|---|
| XMLRPC(xmlrpc.php) | 古くから存在する連携機能。スマホアプリや外部ツールからWordPressを操作するために使われてきた |
| WP REST API | 比較的新しい連携機能。ブロックエディタ(Gutenberg)の内部やアプリ連携に使われる |
どちらも「外部からWordPressを操作するための出入り口」です。便利な反面、悪用されると攻撃の入り口にもなります。
なぜXMLRPCとREST APIを制限すべき?
① ブルートフォースアタック(パスワード総当たり攻撃)
XMLRPCの中に「system.multicall」という機能があります。これは本来、複数のコマンドを1回のリクエストにまとめて効率化するためのものです。
しかしこの機能を悪用すると、1回のリクエストで数百〜数千ものパスワードを同時に試行できてしまいます。
通常のログイン画面(wp-login.php)への攻撃であれば、プラグインや試行回数制限で比較的ブロックしやすいのですが、XMLRPC経由の攻撃は表面上のリクエスト数が少なく見えるため、検知・ブロックが難しいとされています(セキュリティ研究者による複数の検証事例あり)。
実際に国内でWordPressサイトが不正アクセスを受けた事例では、XMLRPC経由で大量のパスワード試行が行われ、サイトのファイルが削除・改ざんされるという被害も報告されています。
② DDoS攻撃の「踏み台」にされる
XMLRPCの「ピンバック機能」を悪用すると、あなたのサイトが第三者のサイトへの攻撃の「踏み台」として使われてしまう可能性があります。知らぬ間に加害者側になってしまうというリスクです。
③ ユーザー名(ログインID)の漏えい
XMLRPCとREST APIはどちらも、適切な対策をしていないと外部から管理者のユーザー名を取得される経路になり得ます(詳細は記事2で解説)。
XMLRPCを無効化しても大丈夫?プラグインへの影響まとめ
では本題へ。「XMLRPCを無効化したら、プラグインが動かなくなるんじゃないか?」という疑問にお答えします。
✅ UpdraftPlusのGoogle Driveバックアップには影響なし
私は定期的なバックアップを取る際にUpdraftPlus→Google Driveへの保存をよく利用していますが、
UpdraftPlusの自動バックアップは、XMLRPCを無効化しても問題なく動き続けます。
理由を整理すると:
- XMLRPCは「外部からWordPressを操作する」ための通信経路
- UpdraftPlusのバックアップは「あなたのサーバーからGoogle Drive方向へ送り出す」アウトバウンド通信
- スケジュール実行はWordPress内部のタイマー機能「WP-Cron」によって管理されており、XMLRPCとは独立して動作する
構造的に見ても、XMLRPCを閉じてもUpdraftPlusの動作経路には影響がないのです。
✅ 影響がないと考えられる主なプラグイン
以下のような定番プラグインは、XMLRPCの無効化によって機能が止まることは基本的にありません。
| プラグイン名 | 用途 |
|---|---|
| Contact Form 7 | お問い合わせフォーム |
| Akismet Anti-spam | スパムコメント対策 |
| WP Mail SMTP | メール送信拡張 |
| All-in-One WP Migration | バックアップ・移行 |
| All in One SEO | SEO設定 |
| EWWW Image Optimizer | 画像圧縮 |
これらのプラグインは、いずれもXMLRPCを使わずにWordPress内部で動作しています。
基本的には問題ないと思いますが、設定の際には万が一に備えて必ず動作確認は行うようにしましょう。
⚠️ 注意が必要なケース:XMLRPCが必要なツール
一方で、以下のような「ブラウザ以外の外部ツールからWordPressを操作する」使い方をしている場合は、XMLRPC無効化で影響が出ることがあります。
| Jetpack(の一部機能) | アクセス解析やSNS自動連携の一部でXMLRPCを使用することがあります |
| WordPress公式モバイルアプリ | 旧仕様の設定では、XMLRPC経由でのログインが必要なケースがあります(※現在はREST API対応が進んでいます) |
| 外部ブログエディタ(Open Live Writerなど) | パソコンの専用ソフトからWordPressへ記事を直接アップロードする機能が動かなくなります |
| 外部自動化ツール(IFTTT、Makeなど) | XMLRPC経由でWordPressと連携している場合は要確認です |
上記を使っていない一般的なブログ運営であれば、XMLRPCを無効化してもデメリットはほとんどないと考えられます。設定前に使用中のツール・サービスを確認しておくと安心です。
REST APIを制限する場合の注意点
SiteGuard WP Pluginなどを使って「REST APIの無効化」を設定する場合の注意点もあわせて解説します。
通常の自動バックアップへの影響はない
UpdraftPlusのスケジュールバックアップは、REST APIを無効化しても引き続き正常に動作します。
⚠️ Google Drive「初期設定・再認証」時のみ注意が必要
UpdraftPlusとGoogle Driveを初めて連携するとき(または再認証が必要なとき)は、注意が必要です。
Google認証画面からあなたのWordPressサイトへ戻る際に、REST APIの通信が発生します。このタイミングでREST APIが無効化されていると、認証が完了せずエラーになることがあります。
【対処法】
- 初期設定・再認証のときだけ、一時的にREST APIの無効化を解除する
- または、SiteGuardの「除外プラグイン設定」でUpdraftPlusにチェックを入れて、そのプラグインの通信だけ通す
設定後は再度REST APIを無効化しておけば、安全に使い続けられます。
まとめ:安心してセキュリティを強化しよう
WordPressを使うウェブサイトは攻撃の対象になりやすい環境です。使っていない「窓口」はしっかり閉じておくことが、セキュリティの基本です。
| チェックポイント | 判断の目安 |
|---|---|
| XMLRPCを無効化してよいか | 外部ツールや外部アプリからWordPressを操作していなければ、基本的にOK |
| REST APIを無効化してよいか | 一般的なプラグイン利用なら基本的に影響なし。UpdraftPlusのGoogle Drive初期設定時のみ一時解除が必要 |
| 設定後に確認すること | フォームのテスト送信、記事の保存・公開テストを実施する |
ブラウザの管理画面から記事を書いて、一般的なプラグインで運営しているサイトであれば、XMLRPCとREST APIを制限しても不具合は起きにくいです。ぜひ一度、設定を見直してみてください!
