Ghid pentru prevenirea atacurilor XML-RPC în WordPress.XML-RPC poate fi o vulnerabilitate serioasă în WordPress dacă nu este controlat corespunzător.

Dacă nu utilizați funcționalitățile oferite de acest protocol, este recomandat să îl dezactivați complet.

În caz contrar, este esențial să aplicați restricții, să monitorizați activitatea și să folosiți instrumente moderne de securitate pentru a preveni exploatările.

Ce este XML-RPC în WordPress?

XML-RPC este o interfață de comunicare între WordPress și aplicații externe, cum ar fi aplicațiile mobile sau serviciile de publicare de la distanță.

Această funcționalitate permite efectuarea de acțiuni precum publicarea de articole, încărcarea de fișiere sau autentificarea de la distanță.

De ce reprezintă XML-RPC un risc de securitate?

XML-RPC este adesea ținta atacurilor cibernetice din cauza posibilității de a executa mai multe comenzi într-o singură cerere.

Cele mai frecvente atacuri includ:

• Atacuri de tip brute force asupra autentificării
• Atacuri DDoS (pingback)
• Exploatarea funcției de pingback pentru scanarea altor website-uri

Ghid pentru prevenirea atacurilor XML-RPC

1. Identificarea utilizării XML-RPC

Înainte de a bloca complet această funcționalitate, este important să verificați dacă o utilizați.

Dacă folosiți aplicații externe pentru a publica articole sau Jetpack, XML-RPC ar putea fi necesar.

2. Dezactivarea XML-RPC complet (prin .htaccess)

Dacă nu aveți nevoie de această funcționalitate, o puteți bloca complet adăugând următorul cod în fișierul .htaccess:

<Files xmlrpc.php>
  Order Deny,Allow
  Deny from all
</Files>

Astfel, orice cerere către fișierul xmlrpc.php va fi refuzată de server.

3. Dezactivarea XML-RPC cu ajutorul unui plugin

Există mai multe pluginuri care permit dezactivarea sau restricționarea accesului la XML-RPC fără editarea fișierelor:

• Disable XML-RPC – simplu și eficient
• Stop XML-RPC Attack – blocare parțială, permite funcții compatibile
• Wordfence Security – oferă control granular asupra XML-RPC

4. Blocarea metodei pingback pentru a preveni atacurile DDoS

Dacă doriți să permiteți în continuare unele funcții XML-RPC dar să preveniți atacurile de tip pingback, puteți adăuga în functions.php următorul cod:

add_filter('xmlrpc_methods', function($methods) {
  unset($methods['pingback.ping']);
  unset($methods['pingback.extensions.getPingbacks']);
  return $methods;
});

Acest cod elimină metoda de pingback și reduce riscul de exploatare.

5. Monitorizarea traficului XML-RPC

Folosind un plugin de securitate precum Wordfence sau iThemes Security, puteți monitoriza cererile către xmlrpc.php și identifica tentativele de acces fraudulos.

Verificați periodic jurnalele de acces pentru următoarele tipare:

• Un număr mare de cereri către xmlrpc.php într-un interval scurt
• IP-uri care repetă încercări de autentificare

6. Limitarea numărului de cereri către xmlrpc.php

Puteți configura rate limiting pentru xmlrpc.php la nivel de server, folosind mod_evasive sau mod_security în Apache sau reguli personalizate în NGINX.

De exemplu, în NGINX puteți folosi:

location = /xmlrpc.php {
  limit_req zone=one burst=1 nodelay;
  deny all;
}

7. Alternative la XML-RPC: REST API

Dacă aveți nevoie de conectivitate externă, REST API este o alternativă mai sigură și mai modernă la XML-RPC.

Multe aplicații recente folosesc REST API în locul XML-RPC, care este considerat depășit.