Cómo proteger su sitio web contra WordPress Pingback Vulnerabilidad

Los pingbacks pueden advertirle cuando otras personas hablan. Estos, los pingbacks también pueden ayudar a los piratas informáticos a lanzar ataques de denegación de servicio distribuido (DDoS) contra su sitio web. Afortunadamente, si decide que los riesgos superan con creces los beneficios, puede deshabilitar Pingback. Al bloquear el procedimiento XML-RPC que alimenta esta controvertida característica de WordPress, puede proteger su sitio contra los ataques DDoS y puede evitar el tiempo no funcional.
En este artículo, analizaremos por qué Pingbacks puede poner en peligro su sitio y cómo verificar si XML-RPC se activa para su sitio de WordPress. Luego compartiremos tres métodos para desactivar esta funcionalidad potencialmente peligrosa. ¡Vamos a empezar! Una introducción a WordPress Pingback Pingbacks son notificaciones que aparecen en la sección de comentarios de su sitio web. Estos indican que otro sitio ha creado enlaces a su contenido:

En WordPress, los pingbacks se activan de forma predeterminada. Esto le ayuda a monitorear los enlaces de entrada. Luego puede responder a cada pingback adecuado. Por ejemplo, puede aprovechar esta oportunidad para interactuar con la fuente de vínculo de retroceso en la sección de comentarios de una de sus publicaciones. Esto puede ayudarlo a construir su reputación como un creador de contenido amigable y accesible.
Además, si otro sitio menciona su contenido de manera positiva, es posible que desee que otros lo sepan. Puede amplificar su publicación compartiéndola a través de sus propias redes sociales. Desafortunadamente, no hay garantía de que todas las menciones sean positivas. Sin embargo, a menudo puede mejorar su perfil público respondiendo a las menciones negativas, en lugar de simplemente ignorarlas. Los pingbacks también pueden generar tráfico en su sitio, porque las personas están viendo estos enlaces de entrada. Si logra garantizar una gran cantidad de pingbacks, la clasificación y el tráfico orgánico pueden aumentar. Desafortunadamente, los pingbacks tienen un lado oscuro. WordPress utiliza la interfaz XML-RPC para activar, que los piratas informáticos pueden, a su vez, explotar para lanzar un ataque de denegación de servicio distribuido (DDoS) contra su sitio. Como parte de este ataque, un hacker usa XML-RPC para enviar mucho Pingback a su sitio en un corto período de tiempo. Esto sobrecarga su servidor y puede bloquear su sitio fuera de línea. Los resultados pueden incluir tiempos costosos que no funcionan y tasas de conversión más bajas. Los hackers también pueden usar pingbacks para revelar la dirección IP pública de una instalación protegida de WordPress y para evitar cualquier sistema de sistema de seguridad (DNS). Algunas piezas maliciosas incluso usan pingbacks para escanear puertos abiertos vulnerables. Con todo esto en mente, es posible que desee considerar desactivar esta función para su sitio de WordPress.
Cómo verificar XML-RPC en su sitio para ver si los pingbacks se activan a partir de WordPress 3.5, la interfaz XML-RPC se ha activado de forma predeterminada. Sin embargo, no hay garantía de que esto permanezca en las versiones posteriores de WordPress. Si comparte su sitio web de WordPress con otros colaboradores, también existe la posibilidad de que hayan cambiado su configuración XML-RPC sin sus noticias antes de apagar XML-RPC, siempre vale la pena verificar si esta interfaz está activada para su sitio web de WordPress . Puede verificar su condición rápida y fácilmente utilizando la herramienta de validación XML-RPC: en el campo de dirección, ingrese la URL de su sitio web. Luego haga clic en la verificación. Si la herramienta de validación muestra un mensaje de error, significa que el XML-RPC está deshabilitado. Si está experimentando un mensaje exitoso, es posible que desee considerar la desactivación de pingbacks para proteger su sitio contra ataques asociados. Cómo proteger su sitio web contra WordPress Pingback Vulnerabilidad (3 modos) WordPress facilita la desactivación de pingbacks a publicaciones futuras. Simplemente explore la configuración> Discusión en el tablero y disminuya las opciones relevantes:
También puede deshabilitar Pingbacks para ciertas publicaciones en el editor:

Sin embargo, para deshabilitar por completo los pingbacks en todo el sitio, deberá dar algunos pasos adicionales. Hay algunas formas diferentes de hacer esto, dependiendo de sus objetivos y el nivel de calificación.

Método 1: Deshabilite el XML-RPC manualmente puede bloquear todas las solicitudes XML-RPC recibidas antes de transmitirlas a WordPress. Este método requiere. Htaccess, que es un archivo de configuración que le dice a su servidor cómo administrar varias solicitudes. Si no se siente cómodo editando el sitio a nivel de código, le recomendamos que pruebe uno de los métodos alternativos a continuación. Antes de editar el archivo .htaccess, es una idea inteligente crear una copia de seguridad completa. Incluso los errores simples, como escribir errores, pueden ser desastrosos al editar su código de sitio creando un hijo de repuesto, tendrá algo que restaurar, solo si tiene problemas. Puede acceder a .htaccess utilizando su protocolo de transferencia de archivos favorito (FTP). Usaremos Filezilla, pero los pasos deben ser en gran medida los mismos para otros instrumentos populares. Una vez que su cliente esté conectado a su servidor, busque .htaccess en la carpeta raíz de su sitio:

Si la carpeta raíz no contiene un archivo .htaccess, es posible que deba seleccionar la opción de forzamiento para mostrar los archivos ocultos del cliente. Luego abra .htaccess en un editor de texto, como Editar texto. Agregue lo siguiente: ordene Nenegar, permita que deny de todos los y luego guarde los cambios. Para verificar si el XML-RPC ahora está deshabilitado, intente ejecutar su dirección web nuevamente a través de la herramienta de validación XML-RPC. Ahora debería mostrar un mensaje de error. Método 2: Deshabilite Pingbacks con un fragmento de código también, puede activar y apagar la interfaz XML-RPC utilizando fragmentos de código. Los fragmentos de código son una forma útil de agregar una serie de características a su sitio sin tener que instalar más complementos. Minimizar la cantidad de complementos en su sitio puede facilitar el mantenimiento y también puede mejorar la seguridad general. ManagementWP puede agregar fragmentos de código directo desde las pinturas de la placa. Después de iniciar sesión en su cuenta, explore más herramientas> Fragmentos de código:

Ahora puede pegar el siguiente código en el Código de Código de Gestión: Agregar nuevo:
Luego copie e inserte el fragmento anterior en el editor de códigos. También recomendamos que agregue una descripción que explique claramente lo que hace este fragmento y por qué lo agrega a su sitio web. Esto puede aliviar su vida si alguna vez necesita revisar sus fragmentos de código. También promueve la transparencia si comparte su sitio web de WordPress con otras personas. Cuando esté satisfecho con su fragmento, haga clic en la activación y verifique si XML-RPC está deshabilitado utilizando el validador XML-RPC. Método 3: Use un complemento para desactivar XML-RPC Finalmente, también puede deshabilitar la interfaz XML-RPC usando un complemento. Usaremos el XML-RPC-API. Después de instalarlo y activarlo, deshabilitar XML-RPC-API deshabilitará Pingbacks sin ninguna acción adicional. Recibirá un mensaje de confirmación en la pantalla del complemento:

Si decide que desea reactivar XML-RPC, todo lo que tiene que hacer es deshabilitar el complemento. Conclusión Aunque hay algunos aspectos positivos de Pingback, también pueden exponer su sitio a ataques de denegación de servicio distribuido (DDoS) peligrosos. Un ataque DDoS exitoso puede conducir a tiempos que no funcionan, pérdidas de tráfico y conversiones perdidas, incluidas las ventas. Ante estas consecuencias, puede decidir apagar los pingbacks. Recapitulemos sus opciones:
Deshabilite XML-RPC manualmente.

Desactive XML-RPC con un fragmento de código.

Use un complemento como XML-RPC-API desactivado.
¿Tiene alguna pregunta sobre la protección de su sitio contra la vulnerabilidad de WordPress Pingback? ¡Pregunte en la sección de comentarios a continuación! Crédito de imagen presentado: Unssplash.