homefinance blog
La seguridad del sitio es algo difícil de resolver correctamente. Especialmente con problemas de seguridad relacionados con XML-RPC-AS generalmente explotados en los sitios de WordPress. ¿Hay mucha información disponible en Internet que ofrezca todo tipo de soluciones pero que sean correctas? Este artículo explicará cómo, las soluciones existentes y cuál es en realidad la mejor solución. ¡Vamos a bucear! XMLRPC es más antiguo que el propio WordPress. Este sistema se ha introducido en WordPress para combatir el dilema de conexión a Internet lenta, ayudando a los usuarios a escribir nuevas publicaciones fuera de línea y luego cargar el servidor. La capacidad de conectar WordPress de forma remota con otras aplicaciones solo ha sido posible con el archivo xmlrpc.php.
Incluso algunos desarrolladores experimentados no entienden completamente XMLRPC y las amenazas de seguridad asociadas con él. Es una posibilidad bastante grande de que el sitio/sitios que se las arregle para tener un archivo XMLRPC activo que requiera su atención inmediata, pero puede realizar un plan de acción efectivo solo después de saber cómo se opera XMLRPC. Una mejor manera de administrarlo de manera segura. Aunque WordPress ahora tiene su propio REST API, el archivo XMLRPC.PHP todavía está presente dentro del núcleo y se activa de manera predeterminada, exponiendo el sitio de WordPress a varios ataques cibernéticos. En este artículo, descubriremos cómo se usa este archivo, las vulnerabilidades asociadas con él y cómo administrar esto sin poner en peligro la seguridad de su sitio.
contenido
¿Qué es un archivo xmlrpc.php?
¿Qué tan viciosos pueden estar los hackers con el archivo xmlrpc.php?
Ataque de fuerza bruta
Atacar ddos
Ataque portuaria entre sitios (XSPA)
Métodos ineficientes para bloquear los ataques XMLRPPRIN de la desactivación completa de XMLRPC
Por qué instalar un complemento de seguridad realmente dañar su sitio
¿Cómo gestiona los dominios acelerados XMLRPC para sus clientes?
Pensamientos finales
¿Qué es un archivo xmlrpc.php? En su forma más simple, XML-RPC (llamada de procedimiento remoto) se creó para comunicación en varias plataformas. Este protocolo utilizado para realizar llamadas de procedimiento utilizando HTTP como transporte y XML como codificador. El cliente realiza estas llamadas enviando una solicitud HTTP al servidor y recibe la respuesta HTTP. XML-RPC invoca funciones por solicitud HTTP y luego estas funciones realizan algunas acciones y envían respuestas codificadas.
Comparemos esto con una llamada API para comprender completamente el concepto.
<
tr>
¿Qué tan viciosos pueden estar los hackers con el archivo xmlrpc.php?Usando XMLRPC, los piratas informáticos usan llamadas de procedimiento remotas (RPC) e invocan funciones para tomar los datos que desean.En la mayoría de los sitios de WordPress, el archivo xmlrpc.php es fácil de seguir y solo enviando los datos XML arbitrarios, los hackers controlan el sitio para ejecutar el código que han preparado para ejecutar un cierto tipo de ataque.Para comprender cómo se comprometió el XMLRPC WordPress, veamos los ataques cibernéticos más populares asociados con él.El ataque de Bruteforce en Bruteforce Attack, el hacker intenta adivinar el nombre de usuario y la contraseña correctos realizando numerosos intentos de conexión.Desafortunadamente, una gran cantidad de sitios de WordPress usan contraseñas de administrador débiles o no tienen una capa de seguridad adicional para detener a los atacantes.Esos sitios se comprometen fácilmente con este tipo de ataque.
Otros usan una contraseña segura y también tienen mecanismos de seguridad, como Recaptcha y el bloqueo automático de IP, que es efectivo contra los ataques de las fuerzas brutas, pero si el hacker decide usar XMLRPC;Ella ni siquiera necesita acceder al administrador de WordPress.Se utiliza una herramienta muy común de Kali Linux, WPSCan para enumerar todo el nombre de usuario y, una vez terminados, los piratas informáticos forzan la contraseña utilizando el archivo xmlrpc.php, enviando la próxima solicitud HTTP al sitio web de la víctima.Post /xmlrpc.php http/1.1 user-agent: fiddler host: www.example.com Content- Longitud: 164 WP.GetUsBlogs Value> pasar
En el ejemplo anterior, un hacker puede enviar miles de variaciones hasta que recupere la contraseña correcta.La siguiente respuesta se devuelve a la solicitud anterior.La respuesta contiene el código de error y un mensaje claro que indica que el nombre de usuario y la contraseña probados eran incorrectos.Es una indicación clara que le dice al hacker que lo intente nuevamente hasta que la contraseña correcta sea adecuada.HTTP/1.1 200 OK SERVER: NGINX Datos: Sun, 26 de mayo de 2019 13:30:17 Tipo de contenido GMT: Texto/XML;Charset = UTF-8 Connection: Keep-Alive X-Powered-by: PHP/7.1.21 Cache-Control: Privado, Must-Revalidate expira: Sol, 02 de junio de 2019 13:30:17 GMT Contenido Longitud: 403 FALLSCODE 403 fallas Nombre de usuario o contraseña incorrectos./ Fault>
La respuesta devolvió el código HTTP 200 y el mensaje de que el nombre de usuario y la contraseña proporcionados eran incorrectos. Al pasar por el canal XMLRPC, un hacker no debe preocuparse por recaptchas o limitar los complementos de conexión. Puede continuar ejecutando variaciones hasta que se tome la contraseña correcta. Nota: Los ataques de fuerza bruta consumen muchos recursos y también causan problemas de rendimiento. El proceso de prueba y error se ejecuta en un bucle durante un período de tiempo más largo, lo que puede mantener a su servidor ocupado para servir a los visitantes reales. Este consumo inútil de recursos hace que los servidores consuman más energía. DDOS Distribuido de Denegación de Servicio (DDoS) es uno de los ataques más letánticos que puede paralizar el servidor al golpearlo con cientos y miles de solicitudes simultáneas. Los hackers usan la función de pingback de WordPress con el archivo xmlrpc.php para realizar dichos ataques. Idealmente, el hacker se dirige al punto final o una página que se puede golpear varias veces y tarda más en responder. De esta manera, un solo golpe puede tener un impacto máximo en los recursos del servidor y, en nuestro caso, XMLRPC sirve al hacker para exponer tales puntos finales.
Varios sitios de WordPress ya comprometidos se utilizan para ejecutar el método Pingback.ping para apuntar a una sola víctima.Las solicitudes abrumadoras de HTTP obtienen y publica el tráfico habitual y eventualmente bloquea el servidor.Primero, el hacker verifica si el archivo xmlrpc.php está activado o no, enviando la siguiente solicitud.Post /xmlrpc.php http /1.1 Host: withinSecurity.com Connection: Keep-Alive Content-Length: 175 admin
Una vez que se confirma que XMLRPC se activa en el sitio web de Target, el atacante comienza a golpearlo utilizando la red de sitios web operados para enviar más solicitudes de pingback a un sitio de víctima. Esto se puede automatizar desde varios anfitriones y se puede usar para causar un ataque masivo en el sitio web de la víctima. Post /xmlrpc.php http/1.1 Host: withinSecurity.com Connection: Keep-Alive Content-Length: 293 PingBack.ping //173.244.58.36/ <strtps: //example.com/blog/how-make-a-salad ataque de puerto Entre los ataques portuarios del sitio cruzado (XSPA) (XSPA) son muy comunes en los que el hacker inyecta el script malicioso para tomar información sobre los puertos TCP y las direcciones IP. En el caso de WordPress, XMLRPC se usa junto con su mecanismo de pingback para evitar cualquier máscara IP, como WAF básica, como CloudFlare. En un ataque XSPA, el hacker usa el método Pingback.ping para enviar ping-back a una publicación de sitio web objetivo que en su lugar envía la dirección IP en respuesta. El hacker usa un sniffer para crear el punto final para enviar el pingback y una URL en vivo de una publicación de blog. Los piratas informáticos envían la siguiente solicitud de su servidor. PingBack.ping http: // : http: // si la respuesta contiene fallas y un valor mayor que 0, significa que el puerto está abierto para que comience a enviar paquetes HTTP directamente. Métodos ineficientes para bloquear los ataques XMLRPC Hasta el momento, en el artículo, hemos establecido que el archivo xmlrpc.php es propenso a algunos ataques cibernéticos graves, como DDoS, Brăteforce y un ataque portuario de sitio cruzado, por lo tanto, es esencial administrarlo . Correcto para bloquear estos ataques. . Al eliminar completamente XMLRPC, simplemente puede eliminar el archivo XMLRPC que hará que su servidor comience a lanzar 404 errores a cualquiera que intente acceder a él. La desventaja de esta solución es que el archivo se recreará cada vez que actualice WordPress. Al desactivar completamente el otro XMLRPC más viable, la otra opción es desactivar el archivo xmlrpc.php. Puede hacerlo simplemente agregando el bloque de código a su archivo .htaccess. Asegúrese de hacer esto antes de las reglas .htaccess que nunca cambian agregadas por WordPress. Permitir, Denegar de todos los Esto deshabilitará el archivo xmlrpc.php para cada aplicación o servicio que lo use. Puede enumerar una determinada dirección IP si aún desea acceder a su sitio de WordPress a través de XMLRPC. Para hacer esto, debe agregar el siguiente comando: requerir IP 1.1.1.2 Requerir IP 2001: DB8 ::/ 32 Proeliminar riesgos de que XMLRPC será abusado ataques cibernéticos.
Beneficios de rendimiento a largo plazo y ahorros a los recursos del servidor. Contra
Deshabilitar XMLRPC es lo mismo que deshabilitar el acceso a la distancia para aplicaciones utilizando esta versión de acceso a distancia. Esto significa que JetPack, la aplicación móvil WP o cualquier otra solución que se conecte con su sitio de WordPress a través de XMLRPC ya no puede conectarse a su sitio.
Ni el código anterior para aplicaciones personalizadas puede no funcionar.
Por qué la instalación de un complemento de seguridad en realidad daña su sitio web que los usuarios de WordPress a menudo admiten los arados para cualquier característica o funcionalidad necesaria, sin pensar en su impacto en el rendimiento del sitio. Hay varios complementos de seguridad de WordPress que prometen proteger su sitio de los problemas de seguridad de XMLRPC, pero en realidad, duele su sitio. Estas son algunas de las razones por las cuales asegurar su sitio con un complemento no es la mejor opción.
Los complementos de seguridad solo son efectivos a nivel de aplicación y no protegen su servidor contra los golpes.
Agregan un código inútil a su sitio, lo que reduce su rendimiento y aumenta el tiempo al primer byte (TTFB).
Algunos de estos complementos hacen más daño que bien y son utilizados por los hackers para crear puertas traseras en su sitio.
Estos complementos requieren una gestión frecuente que agrega más tarea de trabajo.
De la evaluación anterior, ninguna de las opciones ofrece una solución ideal para administrar el problema de seguridad XMLRPC. Esto nos lleva a dominios acelerados. Un servicio que se crea para resolver problemas de seguridad complejos y más. Veamos cómo los dominios acelerados pueden resolver el problema XMLRPC de manera efectiva. ¿Cómo gestiona los dominios acelerados XMLRPC para sus clientes? Los dominios acelerados resuelven problemas complejos de rendimiento, seguridad y escalabilidad de la manera más efectiva. Los dominios acelerados ofrecen una empresa administrada a nivel empresarial que bloquea cualquier tipo de ataques cibernéticos, incluidos los asociados con XMLRP. Detecta incluso los ataques cibernéticos más sofisticados al comienzo de la cronología a través de sus capacidades heurísticas inteligentes, impulsadas por la fuente de energía continua y el conocimiento práctico y el análisis del tráfico. ACCELETED DOMINS hace su magia sin degradar el rendimiento de su sitio de ninguna manera, lo acelera. El motor de seguridad de dominios acelerados proactivos protege automáticamente su sitio de ataque DDoS. Con una capacidad de red de casi 60 TBP, está bien equipado para soportar incluso algunos de los ataques DDoS más grandes en Internet. Del mismo modo, ofrece un mecanismo de defensa efectivo contra los ataques de brutforce mediante una función de limitación de velocidad automática en la que el número de aplicaciones generadas a partir de una sola fuente se identifica y se limita para evitar actividades maliciosas. Pro
Los dominios acelerados atenúan la mayoría de las vulnerabilidades de seguridad asociadas con XMLRPC, por lo que no necesita deshabilitarlo. Permitir que el usuario continúe utilizando complementos como JetPack, la aplicación WooCommerce y otras herramientas que dependen del archivo XMLRPC.PHP.
Integración sin problemas en ningún campo, por lo que no necesita cambiar el archivo .htaccess.
No es necesario instalar complementos adicionales.
Versus
No tiene ninguno.
Pensamientos finales Los ataques cibernéticos se están volviendo cada vez más sofisticados y, como webmaster y propietario de un negocio, es vital comprenderlos y conocer las herramientas para cumplirlos. La mayoría de los ataques son evitados por un enfoque proactivo, como monitoreo constante y actualización de software o agregando herramientas como dominios acelerados que hacen todo esto en piloto automático. Una vez activado, los dominios acelerados filtra de manera inteligente el tráfico y toma las medidas necesarias donde es necesario proteger su servidor de origen y su sitio de ataque cibernético. Copyright statement: Unless otherwise noted, this article is Collected from the Internet, please keep the source of the article when reprinting.
Tags ¿Qué es XMLRPC y cómo se puede evitar que los piratas informáticos
