XML-RPC y por qué es hora de eliminarlo para la seguridad de WordPress

Desde el comienzo de WordPress, ha habido funciones que le permiten interactuar de forma remota con su sitio. Las mismas características están construyendo su comunidad, lo que permite que otros bloggers se refieran a sus publicaciones. En la base de todas estas cosas está XML-RPC. La llamada de procedimiento remoto XML-RPC o XML ofrece estas funciones en WordPress:
Conectarse a sus sitios con su teléfono inteligente
Trackbacks y pingbacks cuando otros sitios se refieren a su sitio
Jetpack
Pero hay un problema con el XML-RPC que debe resolver para asegurar su sitio de WordPress. ¿Para qué es XML-RPC y para qué se usa? En los primeros días de los blogs (mucho antes de que exista WordPress), la mayoría de los escritores de Internet todavía usaban conexiones de acceso telefónico para explorar la web. Era difícil escribir publicaciones y recogerlas. La solución era escribir fuera de línea en su computadora y copiar/pegar prosa y tal vez un gráfico o dos en su blog. Códigos extranjeros adjuntos, incluso si guardó un documento como HTML.
Blogger ha creado una interfaz de programación de aplicaciones (API) para permitir que otros desarrolladores accedan a los blogs de Blogger. Ingrese el cliente de blog sin conexión, que permitió a los usuarios escribir publicaciones fuera de línea y luego conectarse a blogs con la API de Blogger a través de XML-RPC. Otros sistemas de blogs siguieron el ejemplo y, finalmente, había un metawawblogs que estandarizaba el acceso básico. Con una década o algo así, hoy todos usamos aplicaciones en nuestros teléfonos y tabletas en lugar de nuestras computadoras. Una de las cosas que a la gente le gusta hacer con sus teléfonos es publicar en sus sitios de WordPress. En 2008-09, automáticamente se forzó creando aplicaciones de WordPress para casi cualquier sistema operativo móvil (incluso BlackBerry y Windows Mobile). Estas aplicaciones le permitieron, a través de la interfaz XML-RPC, usar sus credenciales de WordPress.com. Para conectarse a Cualquier sitio de WordPress que haya tenido derechos de usuario. Esto sucede a través de llamadas de procedimiento remotas, esto significa RPC. Y ahora deberías pensar “Oh, no. ¿Qué sucede si alguien más obtiene mi contraseña? La respuesta no es hermosa: que “alguien más” puede hacer todo lo que puede hacer en su sitio. Porque, por supuesto, ¿en realidad todavía tienes náuseas? Varias malas noticias: si usa JetPack para usar sus maravillosas herramientas en su sitio autoguidental, muchos de estos milagros también usan XML-RPC.
Historia: ¿XML-RPC debería quedarse o ir a WordPress? El soporte XML-RPC ha sido parte de WordPress desde el primer día. Si desea agitar a este respecto, es parte de la prehistoria de WordPress; Parte de la plataforma B2 que Matt Mullenweg utilizó para crear WordPress. WordPress 2.6 se lanzó el 15 de julio de 2008. La activación XML-RPC se agregó a la configuración de publicación remota de WordPress, con la configuración predeterminada configurada en “deshabilitar”. Una semana después, la aplicación de WordPress se lanzó para iPhone, y se les pidió a sus usuarios que cambiaran la configuración en “activado”. Cuatro años después de que la aplicación de iPhone se uniera a la familia, WordPress 3.5 activó el soporte XML-RPC eliminó la configuración de la configuración de la configuración de la configuración de la configuración de la configuración de la configuración de la configuración de la configuración de la configuración de la configuración de la configuración de la configuración de tablero. Y así permaneció. Las principales debilidades asociadas con XML-RPC son:
Ataques de fuerza bruta: los attacles están tratando de autenticarse con WordPress usando xmlrpc.php con tantos nombres de usuario/combinaciones de contraseña pueden ingresar. Un método XMLRPC.PHP permite al atacante usar un solo orden (System.Multill) para adivinar cientos de contraseñas. Daniel CID de Juices lo describió bien en octubre de 2015: “Con solo 3 o 4 solicitudes HTTP, los atacantes podrían probar miles de contraseñas, evitando las herramientas de seguridad que están diseñadas para buscar y bloquear los intentos de fuerza bruta”.
Ataques para rechazar el servicio a través de Pingback: en 2013, los atacantes enviaron solicitudes de pingback a través de XMLRPC.PHP de alrededor de 2500 sitios de WordPress a “Grupo (estos sitios) en una red voluntaria de Botnet”, según Gur Schatz DE en la encapsula. “Esto le da a cualquier atacante un conjunto práctico ilimitado para distribuir un ataque de denegación de servicio en una red de más de 100 millones de sitios de WordPress, sin la necesidad de comprometerlos”. Choderality verss Security WordPress, una vez más aquí estamos nuevamente. El mundo moderno es profundamente molesto con sus compromisos.
Si desea asegurarse de que nadie traiga una bomba a su avión, debe hacer cola para atravesar detectores de metales. Si desea mantener su automóvil mientras compra, bloquee las puertas y cierre las ventanas. Ni siquiera puede usar [correo electrónico protegido] para bloquear su sitio. Especialmente si desea usar JetPack o aplicaciones móviles. ¿Qué puedo hacer con la seguridad XML-RPC? Comprenda que el problema de seguridad ni siquiera es XML-RPC, el problema es que los atacantes pueden usar esto como otra forma de pasar por su fuerza bruta y contraseña. Por lo tanto, la mejor manera de protegerse es (aún) usar contraseñas largas y complicadas (o usar un administrador de contraseñas que pueda crearlas para usted). Pero esto no siempre es fácil de hacer, especialmente si interactúa con WordPress a través de varias computadoras diferentes.
Lo mejor que puede hacer para protegerse hoy es deshabilitar completamente el XML-RPC de la configuración. Algunas adiciones a su archivo .htaccess pueden bloquear el acceso al archivo xmlrpc.php. Aquí le mostramos cómo hacer eso. Nota: Consulte con su host web su política sobre la creación y edición .htaccess por parte de los usuarios antes de hacer cambios. Verifique si hay un archivo .htaccess. Su documentación de host web puede guiarlo en la dirección correcta. Si no existe, cree el archivo en la carpeta htdocs/wordpress.
Abra el archivo a un editor de texto y agregue el siguiente código en la parte superior:
La idea de Raewrits/5D662CDA874FCC8A850B16B8DF0E5E5E5DD está cargado.

Puede simplificar este proceso instalando y activando el complemento Disable XML-RPC.
Deshabilitar xmlrpc.php cierra cada herramienta utilizando este archivo. Todavía puede usar WordPress en su teléfono o tableta. En lugar de aplicaciones móviles, puede desactivar parcialmente XML-RPC en WordPress para que se haya vuelto dependiente de todas estas herramientas que, a su vez, son XML-RPC. Entiendo que no quieres apagar XML-RPC, incluso por un corto tiempo. Aquí hay algunos complementos que pueden ayudarlo:
Detenga el ataque XML-RPC: solo permite a JetPack y otras herramientas automáticas para acceder a XMLRPC.PHP a través de .htaccess.
Controle la publicación de XML-RPC: simplemente restaura la opción de publicación de distancia antigua en el menú Configuración> Escritura.
Iithemes Seguridad, seguridad antimalware y firewall de fuerza bruta y todo en un WP Security & Firewall: estas herramientas de seguridad de uso general incluyen protección contra la fuerza en su nivel gratuito. Siguen los intentos de conexión repetidos, con o sin xmlrpc.php y prohiban sitios que parecen tratar de ingresar. He utilizado con éxito el instrumento ITHEMS durante algunos años. Notaré que un complemento de seguridad importante, Wordfency, ha decidido no deshabilitar XML-RPC. En una publicación de blog, Mark escribió:
Para nosotros, la desactivación de XML-RPC tiene un costo. Deshabilite una API importante en WordPress. Ofrecí brevemente esta capacidad, pero la eliminé, porque la prevención del abuso de la API de WordPress ha mejorado. Además, proporcionar la capacidad de desactivar XML-RPC causó confusión entre los usuarios cuando sus aplicaciones se rompieron, porque no podían acceder a la API. REST (y OAUTH) Para rescate ahora ya puede saber que los desarrolladores básicos de WordPress convierten WordPress en una aplicación REST. Los desarrolladores de REST API tuvieron algunos problemas en la preparación, incluida la pieza de autenticación destinada a resolver el problema XML-RPC. Cuando esto finalmente está sucediendo (actualmente planeado para V4.7 a fines de 2016), no tendrá que usar XML-RPC para usar aplicaciones móviles o jetpack.
En cambio, se autenticará en aplicaciones externas a través del protocolo OAuth. Es posible que no sepa qué es Oautoth, pero si alguna vez ha presionado un botón de Twitter desde una publicación, usó OAuth. Al hacer clic en el botón de intercambio social, aparece una pantalla HTTPS segura y le pide que se identifique en Twitter, Facebook, LinkedIn o cualquier persona. Ingrese su nombre de usuario y contraseña para ese sitio y podrá compartir esa publicación. El propietario del sitio de WordPress no conoce la contraseña de su sitio social y nadie puede interceptar esos datos mientras se envía. La aplicación social luego coloca una cookie en un navegador con una llave y un secreto que permite que el sitio remoto se conecte por un período de tiempo designado. Entonces no tiene que ingresar sus credenciales durante toda la duración de la cookie respectiva. Es por eso que OAuth es mejor, más seguro y más maravilloso que XML-RPC: en principio, no tiene que compartir su contraseña en el texto simple en Internet porque la aplicación móvil para conectarse a su sitio. REST API Team funciona en un “corredor de autenticación” que permitirá las conexiones a cualquiera de la multitud de sitios de WordPress. Probar el descanso de la API de WordPress, como dije anteriormente, el resto aún no está integrado en el núcleo de WordPress y no lo será durante varios meses. Hoy, puede comenzar a jugar con él en sus sitios web que no son de producción. Para hacer esto:
Obtenga información sobre REST API (y cómo cambiar WordPress para siempre) de Tom Ewer.
Lea cuidadosamente el artículo de Daniel Pataki, cómo usar la API de WordPress (y las empresas que ya lo usan con éxito).
Lea la publicación de Joe Hoyle que presenta el corredor de autenticación. Estimado e instale la última API REST de complementos en wordpress.org
Pase un tiempo con la documentación de la API REST para averiguar cómo funciona.
Instale el complemento OAUTOTH V1 en GitHub.
Instale el complemento de corredor de autenticación de GitHub
Cree una aplicación con un corredor predeterminado.
Mientras tanto, debe tomar sus propias decisiones con respecto al continuo de compromiso de comodidad/seguridad.
¿Has pensado un poco en XML-RPC en tu sitio?¿Ha encontrado problemas de seguridad relacionados con XML-RPC?Comparta sus pensamientos en los comentarios a continuación.
Etiquetas:
Seguridad de WordPress