Chroń interfejs XML-RPC w Wordpress przez .htaccess

Właśnie otrzymałem wiadomość e-mail od mojego dostawcy, zgodnie z którą masowe automatyczne wywołania do pliku xmlrpc.php na moim blogu spowodowały, że cały serwer osiągnął limit wydajności. Ponieważ blog działa na współdzielonym hostingu firmy All-Inkl, wymagane było oczywiście szybkie działanie. Chłopaki z pomocy technicznej po raz pierwszy uniemożliwili wywołanie skryptu, zmieniając prawa pliku z 744 na 300. Oznacza to, że telefony od jokera, który chce się do niego włamać, na nic się nie zdadzą.

Tymczasem mam tego rodzaju ataki na inne witryny Wordpress i inne hostery. Wyciąg z danych dziennika pokazuje powtarzające się próby złamania Wordpressa za pomocą wywołania POST do xmlrpc.php. Całość wygląda tak:

[ 112] '0-3”-„0/0/2867”.”171.83”2228”121334”0.0”0.00”45.59”5.199.XXX.XXX”POST” www.kindskopp.com”/xmlrpc.php'
[461] '0-3”-„0/0/3058”.”171.77”2228”128420”0.0”0.00”97.27”5.199.XXX.XXX”POST” www.kindskopp.com”/xmlrpc.php'
[216] '0-3”-„0/0/2878”.”171.40”2228”2765”0.0”0.00”43.40”5.199.XXX.XXX”POST” www.kindskopp.com”/xmlrpc.php'
[361] '0-3”-„0/0/2844”.”171.66”2228”23121”0.0”0.00”38.72”5.199.XXX.XXX”POST” www.kindskopp.com”/xmlrpc.php'
[508] '0-3”-„0/0/3038”.”171.80”2228”78254”0.0”0.00”44.41”5.199.XXX.XXX”POST” www.kindskopp.com”/xmlrpc.php'
[ 68] '0-3”-„0/0/3018”.”171.65”2228”118321”0.0”0.00”41.81”5.199.XXX.XXX”POST” www.kindskopp.com”/xmlrpc.php'

Ten inny hoster powiedział mi również, że te ataki mogą wywierać presję na cały serwer, nawet jeśli mój Wordpress działa tylko na hostingu współdzielonym.

Następnie sprawdziłem, co jeszcze można zrobić, aby chronić ten plik i znalazłem następujące opcje:

1. Całkowity zakaz dostępu do interfejsu XML-RPC

Plik xmlrpc.php jest całkowicie chroniony przez wpis w pliku .htaccess. Oznacza to, że nikt nie może uzyskać dostępu do tego pliku z zewnątrz. Ochrona jest w 100% i bezpieczna, ale ma tę wadę, że nie można już uzyskać do niej dostępu za pomocą programów takich jak Wordpress na iOS lub Windows Live Writer. Pingbacki lub trackbacki nie mogą już „przebijać się” z zewnętrznych blogów do Twojego własnego bloga. Jeśli nie masz z tym problemu, bo i tak zawsze pracujesz w adminie WordPressa i nie chcesz żadnych trackbacków z innych blogów, to rozwiązanie jest dobrym wyborem.

Oto odpowiedni kod, który należy umieścić w pliku .htaccess w folderze głównym instalacji WordPress:

<Files xmlrpc.php>
  Order Deny,Allow
  Deny from all
</Files>

Wstaw – inne ciekawe wpisy na blogu:

• Jak wyczyścić historię Google
• Zapomniałem hasła do Apple ID - co robić?
• Kabel do ładowania Samsung Galaxy
• Bestseller kabli LAN
• Najlepsze roboty odkurzające według Stiftung Warentest

2. Tylko częściowo ogranicz dostęp do xmlrpc.php

Każdy, kto ma program Windows Live Writer, plakat, a nawet iOS App Wordpress na iOS działa, na pewno nie będziesz chciał się bez niego obejść. Z tego powodu następujący wariant wyżej wspomnianego dodatku do pliku .htaccess, który utrzymuje interfejs XMP-RPC wolny dla wspólnego oprogramowania firm trzecich, jest idealny dla tych blogerów. Jednak trackbacki z innych blogów są nadal blokowane.

Dostosowany kod wygląda tak:

<IfModule mod_setenvif.c>
  <Files xmlrpc.php>
    BrowserMatch "Poster" allowed
    BrowserMatch "WordPress" allowed
    BrowserMatch "Windows Live Writer" allowed
    BrowserMatch "wp-iphone" allowed
    BrowserMatch "wp-android" allowed

    Order Deny,Allow
    Deny from All
    Allow from env=allowed
  </Files>
</IfModule>

Oczywiście linie z „BrowserMatch” można dowolnie dostosować, jeśli używasz określonego programu, który nie został uwzględniony we wspomnianym skrypcie. Ważne jest, aby moduł Apache „mod_setenvif” był zainstalowany, aby ochrona działała. Jednak ten moduł jest już zainstalowany na wielu serwerach WWW. Ważne jest również, aby wiedzieć, że agent użytkownika jest bardzo łatwy do sfałszowania. Więc to nie jest wodoodporna ochrona, którą tu robisz!

W obecnym przypadku zdecydowałem się na rygorystyczny wariant i po prostu zablokowałem wszystko, co chce uzyskać dostęp do pliku. Prawie nie otrzymuję żadnych trackbacków i nie używam żadnego oprogramowania innych firm, tylko administratora Wordpressa do pisania postów na blogu. Tak wygląda teraz mój plik WordPress htaccess:

aktualizacja: Od czasu aktualizacji Wordpressa do wersji 3.9.2 nie jest to już możliwe ataki DDoS przejdź do xmp-rpc.php. Zespół WordPress odpowiedział i odpowiednio zmienił kod. Dzięki temu możesz zapisać sobie modyfikację, jak opisano powyżej, począwszy od tej wersji.

Jen Kleinholz( Założyciel i Sir Apfelot )

Jens prowadzi bloga od 2012 roku. Pełni rolę Sir Apfelot dla swoich czytelników i pomaga im w problemach natury technicznej. W wolnych chwilach jeździ na elektrycznych monocyklach, robi zdjęcia (najlepiej iPhonem oczywiście), wspina się po górach Hesji lub wędruje z rodziną. Jego artykuły dotyczą produktów Apple, nowości ze świata dronów czy rozwiązań aktualnych błędów.