xmlrpc.php・とは？初心者向けにわかりやすく解説する安全ガイド共起語・同意語・対義語も併せて解説！

この記事を書いた人

高岡智則

年齢：33歳性別：男性職業：Webディレクター（兼ライティング・SNS運用担当）居住地：東京都杉並区・永福町の1LDKマンション出身地：神奈川県川崎市身長：176cm 体系：細身〜普通（最近ちょっとお腹が気になる）血液型：A型誕生日：1992年11月20日最終学歴：明治大学・情報コミュニケーション学部卒通勤：京王井の頭線で渋谷まで（通勤20分）家族構成：一人暮らし、実家には両親と2歳下の妹恋愛事情：独身。彼女は2年いない（本人は「忙しいだけ」と言い張る）

xmlrpc.php とは？

xmlrpc.php は WordPress や他のブログ系システムで使われる特定のファイルで、外部のアプリやサービスから記事の投稿や編集、トラックバックの処理などを行うための入口です。初めて聞く人には難しく感じるかもしれませんが、要は「外部とブログをつなぐ窓口」のような役割を担っています。

xmlrpc.php の役割と使われ方

このファイルは標準的にはウェブサーバーの公開ディレクトリに存在し、外部のツールが HTTP 経由でブログを操作する際に利用されます。たとえばスマホの投稿アプリや外部連携ツール、CMS間の連携などが挙げられます。ただし現代では多くの用途が代替手段で実装されることが増え、必須ではなくなってきています。

よくあるリスクと攻撃の例

xmlrpc.php は悪用されるとブログに負荷をかける攻撃の対象になりやすいことがあります。代表的な例としては以下のようなものがあります。
・大量のログイン試行を繰り返すブルートフォース攻撃
・pingback 機能を悪用したサイバー攻撃
・外部ツールを使った過剰なリクエストによるサーバーの負荷増大

これらの攻撃はサイトの表示が遅くなったり、最悪の場合サーバーが一時的に停止することもあります。特に小規模なサイトや低スペックのサーバーでは影響が大きくなりがちです。

対策と安全な運用のコツ

xmlrpc.php を不必要に有効にしておくとリスクが高まります。以下の対策が役立ちます。自分のサイトに合った方法を選んで適用してください。

使っていない場合は削除または無効化する。WordPress の設定だけでなく、サーバー側の設定も検討します。
特定のツールだけを許可し、それ以外をブロックする。IP 制限やファイアウォールで許可リストを作成します。
.htaccess でのブロック例（サーバーが Apache の場合）

設定例 RewriteEngine On

条件 RewriteCond %{REQUEST_URI} ^/xmlrpc\.php$ [NC]

動作 RewriteRule .* - [F]
セキュリティプラグインを導入して、xmlrpc.php へのアクセスを監視・制限する。
投稿や外部連携が必要な場合は、最新の WordPress バージョンと信頼できるツールを使い、強力な認証を設定する。

設定例	RewriteEngine On
条件	RewriteCond %{REQUEST_URI} ^/xmlrpc\.php$ [NC]
動作	RewriteRule .* - [F]

使うべき理由がある場合のポイント

もし外部アプリからの記事投稿やリモート管理を本当に利用する必要がある場合は、最小限の露出で運用することが大切です。例えば、外部ツールを特定の IP だけ許可する、強力なパスワードと二要素認証を設定する、常に最新のセキュリティ対策を適用する、などです。

要点のまとめ

xmlrpc.php は外部とブログを結ぶ窓口です。 使わなくても大きな安全性を得られますが、必要な場合は適切に制限と監視を行い、不要時は無効化するのが基本です。

xmlrpc.phpの同意語

xmlrpc.php: WordPress の XML-RPC エンドポイントとなる実ファイル名です。外部ツールから XML-RPC 形式のリクエストを受け付け、投稿の作成・更新、トラックバック・pingback などの操作を実現します。
XML-RPC API エンドポイント: XML-RPC プロトコルを利用してリモート操作を行う入口となる URL。WordPress では通常 https://your-site/xmlrpc.php の形で提供されます。
XML-RPC インターフェース: XML-RPC プロトコルを使って外部アプリと WordPress を連携させる窓口。リクエストを受け取り、適切な処理を返します。
WordPress XML-RPC エンドポイント: WordPress サイトにおける XML-RPC の入口。投稿の自動化や外部ツール連携に使われる機能の総称として使われます。
XML-RPC プロトコルのエンドポイント: XML-RPC プロトコルを介して遠隔操作を行うための入口 URL。XML 形式のリクエストを受け取る役割を指します。
XML-RPC 呼び出し用URL: XML-RPC の呼び出しを行う際に用いるインターネット上のアドレス。HTTP でリクエストを投げる先です。
XMLRPC API: XML-RPC ベースの API。外部アプリが WordPress に対して投稿や情報取得などの操作を行えるようにする機能の総称です。
XML-RPC エンドポイント: XML-RPC 呼び出しを受け付ける入口となる URL。WordPress では xmlrpc.php がこの役割を担います。

xmlrpc.phpの対義語・反対語

REST API: XML-RPCの対極としてよく語られる設計思想。HTTPのGET/POSTなどのメソッドとURLを使ってリソースを操作するスタイルで、データの表現にはJSONが主流となることが多い。XML-RPCのようなリモート手続き呼び出し（RPC）を前提としない点が特徴。
JSON-RPC: XMLを使わずJSONでRPCを実現する規格。XML-RPCの代替として挙げられることが多く、同じくリモート手続き呼び出しを行うがデータ形式が異なる点が特徴。
SOAP: XMLベースのウェブサービス規格。XML-RPCとは別系統のRPC/ウェブサービスで、XMLの取り扱いが大きく異なる。XML-RPCと対比されることがある。
非XML-RPC API: XML-RPCを使わないAPIの総称。REST APIやJSON-RPC、SOAPなど、XML-RPC以外の手法を含む概念。
非XML-RPCエンドポイント: XML-RPCを用いないエンドポイント。通常はREST/JSON APIなどを提供しているケースが多い。

xmlrpc.phpの共起語

WordPress: 世界で最も普及しているCMSの一つ。xmlrpc.php は外部連携用の XML-RPC エンドポイントとして提供されることがあります。
XML-RPC: XML を使ってリモートの処理を呼び出す通信プロトコルの一種。WordPress などで利用されることがあります。
xmlrpc.php: WordPress などの XML-RPC エンドポイントのファイル名。外部アプリからのリクエストを受け付ける入口です。
RPC: Remote Procedure Call の略。別のソフトウェアの機能をネット経由で呼び出す仕組み。
MetaWeblog: XML-RPC 経由で投稿・編集・カテゴリ取得を行う API。WordPress が実装している代表的な API のひとつ。
MetaWeblog API: MetaWeblog API のこと。XML-RPC を用いたブログ投稿操作の仕様。
Blogger API: Blogger（Google のブログサービス）向けの API。XML-RPC 経由で投稿やコメントを操作します。
blogger.getUsersBlogs: Blogger API のメソッドのひとつ。サイト情報を取得します。
wp.getUsersBlogs: WordPress の XML-RPC メソッドで、登録されているブログ情報を取得します。
system.listMethods: XML-RPC が利用可能な全メソッドの一覧を取得する呼び出し。
system.multicall: 複数の XML-RPC 呼び出しを一度に処理する機能。パフォーマンス改善に使われます。
wp.newPost: WordPress へ新規投稿を作成する XML-RPC メソッド。
wp.editPost: 既存の投稿を編集する XML-RPC メソッド。
wp.deletePost: 投稿を削除する XML-RPC メソッド。
wp.getPosts: 投稿の一覧を取得する XML-RPC メソッド。
wp.getCategories: 投稿のカテゴリ情報を取得する XML-RPC メソッド。
wp.newComment: 新規コメントを投稿する XML-RPC メソッド。
wp.editComment: 投稿コメントを編集する XML-RPC メソッド。
wp.getCommentCount: サイトのコメント総数を取得する XML-RPC メソッド。
metaWeblog.newPost: MetaWeblog API を使って新規投稿を作成する XML-RPC メソッド。
metaWeblog.editPost: MetaWeblog API を使って投稿を編集する XML-RPC メソッド。
metaWeblog.getCategories: MetaWeblog API でカテゴリ情報を取得するメソッド。
pingback: 他サイトが自分のリンクを参照したことを通知する機能。XML-RPC 経由で動作することがあります。
pingback.ping: Pingback の実際の呼び出し名。リンク通知を行います。
Trackback: ブログ間のリンク通知機能。XML-RPC との連携で動くことがあります。
Jetpack: WordPress の公式連携機能。XML-RPC を介した外部アプリと連携する場面があります。
Security: XML-RPC は脆弱性の対象になりやすいので、対策を講じることが重要です。
Disable XML-RPC: XML-RPC を無効化する設定。セキュリティ対策として有効です。
REST API: WordPress の RESTful API。XML-RPC の代替として広く利用されます。
Brute force: 辞書攻撃などのログイン試行の総称。XML-RPC を介して狙われることがあります。
HTTPS: 通信を暗号化するプロトコル。XML-RPC 呼び出しは HTTPS 経由で行うのが望ましいです。
Firewall: 不正なアクセスを遮断する防御システム。XML-RPC へのアクセスを制限する目的で使われます。
ModSecurity: ウェブアプリケーションファイアウォールの一種。XML-RPC への攻撃をブロックする設定に使われます。

xmlrpc.phpの関連用語

xmlrpc.php: WordPress の XML-RPC エンドポイント。モバイルアプリや外部サービスから記事投稿・コメント返信・サイト管理を可能にする遠隔操作の入口です。通常はサイトのルート直下にあり、HTTP 経由で XML-RPC リクエストを受け付けます。
XML-RPC: リモートプロシージャコール（RPC）を実現する通信プロトコル。XML でデータを表現し、HTTP 上でリモートの手続きを呼び出します。
WordPress: 最もポピュラーなCMSのひとつ。xmlrpc.php を使ってリモート投稿や管理を行える機能を提供しますが、悪用もされやすいため対策が推奨されます。
Pingback: 他のサイトへ自サイトのリンクを自動通知する機能。XML-RPC を介して機能しますが、誤用するとサーバ負荷の原因や攻撃ベクトルになることがあります。
Trackback: 過去のトラックバック機能。外部サイトからの通知を受け取り、記事間の関連性を示す仕組みですが、最近は使われる機会が減っています。
Remote Procedure Call (RPC): リモートで手続きを実行するための総称。XML-RPC はこの RPC の一種で、XML のメッセージを用いて命令を伝えます。
system.listMethods: XML-RPC の利用可能なメソッド一覧を返す標準メソッド。クライアントが使える操作を把握する目的で使われます。
system.multicall: 複数の XML-RPC 呼び出しを一度のリクエストでまとめて実行する機能。通信回数を減らせます。
system.methodHelp: 特定の XML-RPC メソッドの説明を取得するメソッド。開発者が機能を理解するのに役立ちます。
metaWeblog.newPost: MetaWeblog API の一部で、新規投稿を作成する XML-RPC メソッド。WordPress も対応しています。
metaWeblog.getCategories: 投稿のカテゴリ情報を取得するメソッド。投稿分類の管理に使われます。
wp.newComment: XML-RPC 経由で新規コメントを投稿するメソッド。コメント管理を外部クライアントから可能にします。
blogger.newPost: Blogger API 互換の新規投稿メソッド。WordPress はこの API もサポートします。
blogger.getUsersBlogs: Blogger API のアカウント情報を取得するメソッド。外部ツールがブログ情報を取得する際に使われます。
wp.getUsersBlogs: XML-RPC によって、ユーザーが所属するブログ情報を取得するメソッド。
wp.getCategories: WordPress のカテゴリー情報を取得するメソッド。投稿時の分類設定に役立ちます。
wp.editPost: 既存の投稿を編集するメソッド。投稿の更新を外部クライアントから行えます。
WordPress REST API: XML-RPC の代替として推奨される公式 API。REST 的なエンドポイントで投稿・メタデータなどを操作します。認証は Cookie、OAuth、またはアプリパスワードなどを使います。
Disable XML-RPC: XML-RPC の機能を無効化する対策。セキュリティを高め、悪用を防ぐ目的で実施されることが多いです。
XML-RPC セキュリティリスク: 不正アクセス、ブルートフォース攻撃、Pingback を悪用した攻撃、DDoS の入口になり得る点など、XML-RPC 特有のリスクの総称です。
Brute-force attack (XML-RPC): XML-RPC を狙ったアカウント乗っ取りを目的とする大量のパスワード推測攻撃。脆弱な時に短時間でパスワードを破られる可能性があります。
Pingback DDoS: Pingback 機能の悪用による高負荷攻撃。大規模なトラフィックを発生させる攻撃手法として知られています。
Blocking by .htaccess: Apache の .htaccess などで xmlrpc.php へのアクセスをブロックする方法。サーバーレベルでの対策として有効です。
ModSecurity / WAF: Web アプリケーションファイアウォール等を使って XML-RPC 攻撃をブロック・検知するセキュリティ対策。
Jetpack: WordPress の公式プラグインで、リモート連携機能の一部として xmlrpc.php を利用することがあります。セキュリティ設定にも注意が必要です。
Authentication (XML-RPC): XML-RPC での認証方法。基本的にはクッキー認証や、アプリ用トークン/パスワードなどが使われます。
Remote publishing apps: スマホアプリやデスクトップアプリなど、XML-RPC を介してサイトへ投稿・更新を行う外部クライアント群。