Internet

利用xmlrpc.php对WordPress暴力破解

sumi856 · 7月15日 · 2016年

首先,xmlrpc是什么?

既然要使用wordpress,自然会涉及到撰写文章,通常我们会在管理后台撰写,但是我有时候习惯使用Windows Live Writer来撰写和发表文章。在这种情况下,那么就必须启用wordpress的离线发布协议XML-RPC

 

利用xmlrpc.php提供的接口尝试猜解用户的密码,可以绕过wordpress对暴力破解的限制。通常wordpress登录接口都是做了防暴力破解防护的,比如freebuf的登录只能有尝试5次。但是这种利用xmlrpc.php的攻击可以绕过这些限制。

xmlrpc

遇到这样的问题,我们可能想到的直接锁定这个IP,但这样不能解决其他IP也出现这样的攻击,我们需要禁止xmlrpc文件的访问功能才可以彻底的解决。

解决方法

第一、如果我们没有第三方接口应用,可以直接关闭XML-RPC接口

在主题的functions.php文件头部加入如下代码:

add_filter('xmlrpc_enabled', '__return_false');

第二、阻止pingback端口

add_filter( 'xmlrpc_methods', 'remove_xmlrpc_pingback_ping' );
function remove_xmlrpc_pingback_ping( $methods ) {
unset( $methods['pingback.ping'] );
return $methods;
}

一般这个功能是用不到的,我们直接屏蔽掉,默认当前的WP版本是开启的。这样,我们就可以解决WordPress被利用xmlrpc.php暴力破解攻击问题。有些时候并不是针对我们的网站攻击,而是对方利用某个关键字扫到我们的网站。

 

参考:百度经验

0 条回应