WordPress安全警报:利用xmlrpc.php进行暴力破解攻击

情况描述:2014/03/13,Wooyun 乌云平台就报道《超过16W的WordPress网站被用来做DDoS攻击》 其中罪魁祸首就是 xmlrpc.php 文件中的 pingback 功能;

2014/07/23,Freebuf 又报道《利用xmlrpc.php对WordPress进行暴力破解攻击》,指出虽然 WordPress 的正常登陆端口做了防暴力破解,但是可以通过 xmlrpc.php POST 到以下数据:

<?xml version=”1.0″ encoding=”iso-8859-1″?><methodCall>
<methodName>wp.getUsersBlogs</methodName>
<params>
<param><value>username</value></param>
<param><value>password</value></param>
</params></methodCall>

几乎同时,小T站点也监测到针对xmlrpc.php的攻击:

20140726174648

 

由于可以直接获取管理员账号密码,危险性极高,已经被大规模应用到针对 WordPress 的攻击之中,所以建议各位 WordPress 站长立即采取措施。

解决办法:

方法一:安装 Login Security Solutin 插件,通过此插件设置密码尝试的次数。

P.S.:如果需要长时间在编辑器中写文章的童鞋,建议关闭 Login Security Solutin 中的 Idle Timeout 选项,将它设置为 0,这样就不会在默认的 15 分钟后被踢出后台,要求重新登陆了。

方法二:彻底关闭 XML-RPC 功能。如果没有使用 Word、Windows Live Writer 写博客的习惯,可以彻底关闭 XML-RPC,以绝后患。

在主题 functions.php 添加如下代码:(记得要在 <?php 之后

add_filter(‘xmlrpc_enabled’, ‘__return_false’);

One Reply to “WordPress安全警报:利用xmlrpc.php进行暴力破解攻击”

发表评论

电子邮件地址不会被公开。 必填项已用*标注