Αν βρίσκεστε εδώ και ψάχνετε τρόπους για να απενεργοποιήσετε το XML-RPC στο Wordpress για να ασφαλίσετε τον ιστότοπό σας από τo exploit του WordPress XML-RPC, βρίσκεστε στο σωστό μέρος.
Εάν ανακαλύψετε ότι το xmlrpc.php εξακολουθεί να εκτελείται στον ιστότοπό σας, μεταβείτε στην επόμενη ενότητα και ακολουθήστε προσεκτικά τις οδηγίες.
Τι είναι το XML-RPC;
Το WordPress XML-RPC είναι ένα API (διεπαφή προγράμματος εφαρμογής) που επιτρέπει τη μεταφορά δεδομένων μεταξύ της ιστοσελίδας WordPress και άλλων συστημάτων. Αν και έχει πλέον αντικατασταθεί σε μεγάλο βαθμό από το REST API που κυκλοφόρησε το WordPress, εξακολουθεί να χρησιμοποιείται για λόγους συμβατότητας προς τα πίσω. Δηλαδή, το XML-RPC προορίζεται για τους ιστότοπους που εξακολουθούν να χρησιμοποιούν τις παλαιότερες εκδόσεις του WordPress. Εάν χρησιμοποιείτε μια παλαιότερη έκδοση, σας συνιστούμε να την ενημερώσετε. Η λειτουργία μιας παλαιότερης έκδοσης ενός ιστότοπου WordPress μπορεί να σας κάνει περισσότερο κακό από ό,τι οι χάκερ που προσπαθούν να εξαπολύσουν επιθέσεις brute-force μέσω του XML-RPC.Το XML-RPC μπορεί να θέσει τον ιστότοπό σας σε κίνδυνο
Με την εκμετάλλευση των ακόλουθων γνωστών ευπαθειών, η XML-RPC μπορεί να θέσει σε κίνδυνο τον ιστότοπό σας:Επιθέσεις DDoS μέσω pingbacks και trackbacks
Εκτός από τη μεταφορά δεδομένων, το xmplrpc.php είναι επίσης υπεύθυνο για την ενεργοποίηση των pingbacks και trackbacks. Πρόκειται για τις ειδοποιήσεις που λαμβάνετε όταν ένα ιστολόγιο ή ένας ιστότοπος τρίτου μέρους παραπέμπει στον ιστότοπό σας. Παρόλο που έχει αντικατασταθεί, ορισμένοι ιστότοποι εξακολουθούν να χρησιμοποιούν την XML-RPC.php για λόγους συμβατότητας προς τα πίσω. Αν είστε ένας από αυτούς, οι χάκερ μπορούν να εξαπολύσουν επιθέσεις DDoS στο xmlrpc.php στέλνοντας μεγάλο αριθμό pingbacks και να θέσουν τον ιστότοπό σας εκτός λειτουργίας ή μπορείτε να πείτε - να τον καταστήσουν μη διαθέσιμο για τους χρήστες σας.Επιθέσεις brute force μέσω XML-RPC
Η XML-RPC (κλήση επεξεργασίας XML-remote) επιτρέπει κωδικοποιημένες απομακρυσμένες κλήσεις που μεταφέρονται μέσω HTTP και σας επιτρέπουν να δημοσιεύετε, να επεξεργάζεστε ή να διαγράφετε εξ αποστάσεως ένα αρχείο ή περιεχόμενο από τον ιστότοπό σας WordPress. Με κάθε αίτηση, το xmplrpc.php αποστέλλει τις πληροφορίες ελέγχου ταυτότητας. Διευκολύνει την προώθηση ενός μεγάλου όγκου δεδομένων ταυτόχρονα. Αλλά η δυνατότητα προώθησης μεγάλου όγκου δεδομένων ταυτόχρονα συνεπάγεται ότι ακόμη και οι χάκερ μπορούν επίσης να εισάγουν κρυφά έναν αριθμό κωδικών πρόσβασης σε αυτό. Εάν ένας χάκερ στείλει αρκετά αιτήματα ελέγχου ταυτότητας με διαφορετικό συνδυασμό ονόματος χρήστη και κωδικού πρόσβασης, μπορεί τελικά να το πετύχει σωστά, με αποτέλεσμα να παραβιαστεί ο ιστότοπός σας.Πώς να ελέγξετε αν το xmlrpc.php εκτελείται σε έναν ιστότοπο ή όχι;
Πριν ξεκινήσετε την απενεργοποίηση του XML-RPC, πρέπει πρώτα απ' όλα να ελέγξετε αν το xmlrpc.php εκτελείται ή όχι στον ιστότοπό σας. Μπορείτε να ελέγξετε αν το API είναι ενεργοποιημένο στον ιστότοπό σας ή όχι μέσω της υπηρεσίας επικύρωσης XML-RPC του WordPress.
Εάν ανακαλύψετε ότι το xmlrpc.php εξακολουθεί να εκτελείται στον ιστότοπό σας, μεταβείτε στην επόμενη ενότητα και ακολουθήστε προσεκτικά τις οδηγίες.
Πώς να απενεργοποιήσετε την υπηρεσία XML-RPC;
1. Απενεργοποιήστε την υπηρεσία XML-RPC μέσω plugin
Μπορείτε να το απενεργοποιήσετε μέσω plugin. Σχεδόν όλα τα plugin ασφαλείας επιτρέπουν την απενεργοποίηση του XML-RPC. Στο συγκεκριμένο παράδειγμα χρησιμοποιούμε το Cleantalk Security Πηγαίνουμε στην σελίδα του plugin (Settings -> Security by Cleantalk) και ανοίγουμε την καρτέλα settings. Στο κάτω μέρος των ρυθμίσεων βρίσκουμε την ενότητα Miscellaneous και επιλέγουμε την επιλογή Disable XML-RPC
2. Απενεργοποίηση του XML-RPC χωρίς πρόσθετο
Μέσω ενός φίλτρου: Μπορείτε να χρησιμοποιήσετε το φίλτρο xmlrpc_enabled για να απενεργοποιήσετε αυτή την υπηρεσία στον ιστότοπό σας WordPress. Το μόνο που έχετε να κάνετε είναι να προσθέσετε τον ακόλουθο κώδικα σε ένα πρόσθετο και είστε έτοιμοι:add_filter( 'xmlrpc_enabled', '_return_false' ),
Ή Μέσω του αρχείου .htaccess:
Προσθέστε αυτούς τον παρακάτω κώδικα στο αρχείο .htaccess της ιστοσελίδας σας WordPress:Order Allow, Deny
Deny from all
;
Συμπέρασμα
Ξέρουμε ότι πρέπει να το έχετε ακούσει πολλές φορές, αλλά πριν προσπαθήσετε να εκτελέσετε οποιαδήποτε εργασία χειροκίνητα, δημιουργήστε αντίγραφα ασφαλείας όλων των σημαντικών αρχείων. Μπορεί να σας φανεί χρήσιμο όταν κάνετε κάποιο λάθος ή όταν ο ιστότοπός σας υποστεί κάποιο "χακάρισμα". Παρόλο που εξηγήσαμε τη διαδικασία απενεργοποίησης του xmlrpc.php, η επενεργοποίηση δεν είναι πάντα μια λύση για όλα τα προβλήματα. Με τον έναν ή τον άλλο τρόπο, ένας χάκερ θα βρει κάποιο άλλο τρωτό σημείο στον ιστότοπό σας για να το εκμεταλλευτεί όπως με το Wordpress Redirect Hack ...