wordpress Τι είναι το WordPress XML-RPC και πώς να σταματήσετε μια επίθεση

[MediaHost]

Το XML-RPC είναι ένα πρωτόκολλο που επιτρέπει σε οποιονδήποτε να αλληλεπιδρά με τον ιστότοπό σας από απόσταση. Με άλλα λόγια, είναι ένας τρόπος διαχείρισης του ιστότοπού σας χωρίς να χρειάζεται να συνδεθείτε χειροκίνητα μέσω της τυπικής σελίδας “wp-login.php”. Χρησιμοποιείται ευρέως από plugin, όπως το Jetpack της Automattic.

Οι κίνδυνοι και τα οφέλη του XML-RPC

Το XML-RPC μπορεί να χρησιμοποιηθεί στο DDoS
Μπορεί να χρησιμοποιηθεί για επανειλημμένους συνδυασμούς Username/Password

Από την WordPress έκδοση 4.4, έχει βελτιωθεί αρκετά. Τώρα το WordPress θα σταματήσει όλες τις επόμενες προσπάθειες σύνδεσης μόλις αποτύχει μια κλήση XML-RPC.

Μέθοδος 1: Απενεργοποίηση Pingbacks

Πρόκειται για μια διαδικασία που χρησιμοποιεί τον διακομιστή σας ως ακούσιο συμμετέχοντα σε μια επίθεση εναντίον άλλου διακομιστή. Βασικά, κάποιος λέει στον ιστότοπό σας “Γεια, αυτή η διεύθυνση URL συνδέεται με το ιστολόγιό σας!” Και τότε ο ιστότοπός σας αποκρίνεται με “pingback” σε αυτήν τη διεύθυνση URL. Ο ευκολότερος τρόπος για να αποτρέψετε τη χρήση του ιστότοπού σας με αυτόν τον τρόπο είναι να προσθέσετε τον ακόλουθο κώδικα στο functions.php:

function stop_pings ($vectors) {
unset( $vectors['pingback.ping'] );
return $vectors;
}
add_filter( 'xmlrpc_methods', 'stop_pings');

Μέθοδος 2: Αποτροπή όλων των αιτημάτων ελέγχου ταυτότητας μέσω XML-RPC

Αυτή η δεύτερη μέθοδος καθορίζει εάν θέλετε να επιτρέψετε μεθόδους XML-RPC που πιστοποιούν τους χρήστες. Πάρτε, για παράδειγμα, τη δημοσίευση ενός ιστολογίου μέσω e-mail. Ο ιστότοπος θα λάβει το e-mail σας, θα σας επιβεβαιώσει μέσω XML-RPC και στη συνέχεια θα το δημοσιεύσει εάν τα διαπιστευτήρια ταιριάζουν.

Για να το κάνετε disable, εισαγάγετε αυτόν τον κώδικα στο functions.php:

add_filter('xmlrpc_enabled','__return_false');

Είναι σημαντικό να σημειωθεί ότι αυτό δεν είναι το ίδιο με την πρώτη μέθοδο. Αυτός ο κωδικός απενεργοποιεί μόνο τις μεθόδους ελέγχου ταυτότητας και αφήνει όλους τους άλλους ανέγγιχτους – όπως για παράδειγμα το pingback.

Μέθοδος 3: Απενεργοποίηση πρόσβασης στο xmlrpc.php

Αυτή είναι η πιο ακραία μέθοδος που απενεργοποιεί εντελώς όλες τις λειτουργίες XML-RPC. Απαιτείται από εσάς να επεξεργαστείτε το αρχείο .htaccess στο root folder του site σας ( public_html ).

Προσθέστε τον ακόλουθο κώδικα στην αρχή:

<files xmlrpc.php>
Order allow,deny
Deny from all
</files>

Σημείωση: Εάν διαπιστώσετε ότι η εγκατάσταση του WordPress δεν διαθέτει αρχείο .htaccess στο root folder του site σας ( public_html ), απλώς δημιουργήστε ένα με τον ακόλουθο προεπιλεγμένο κώδικα:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Έχετε απενεργοποιήσει με επιτυχία το XML-RPC στο WordPress σας.