Por qué es posible que desee deshabilitar XML-RPC en WordPress ahora

Por qué es posible que desee deshabilitar XML-RPC en WordPress ahora

Todos podemos estar en peligro, dicen los chicos de Sucuri.

Por el cual nosotrosMe refiero a todos los propietarios de sitios web de WordPress.

Todo esto se debe a los ataques de fuerza bruta que están ocurriendo en este momento.

Notar. Los ataques de fuerza bruta consisten en intentar romper su nombre de usuario y contraseña probando una serie de combinaciones de nombre de usuario / contraseña en un corto período de tiempo.

En resumen, los ataques de fuerza bruta pueden ser muy peligrosos si no tiene una contraseña segura para sus cuentas de usuario.

Y varios bloqueadores de conexión no parecen protegernos en este caso. De hecho, esta nueva vulnerabilidad puede causar incluso 500 o más intentos de conexión desde una única solicitud HTTP (!).

¿Cuál es el problema exactamente?

Se llama Brute Force Amplification y funciona a través del mecanismo XML-RPC de WordPress. Citando a Sucuri:

“Una de las características ocultas de XML-RPC es que puede utilizar el método system.multicall para ejecutar varios métodos en una sola solicitud. Esto es muy útil porque permite que la aplicación pase múltiples comandos en una sola solicitud HTTP. “

Claramente, este tipo de ataque no es tomado en cuenta por los filtros de “límite de intentos de conexión”, porque solo usa una única solicitud HTTP.

Sucuri descubrió los primeros ataques el 10 de septiembre, pero desde entonces el número ha aumentado.

Cómo proteger su sitio de WordPress

los La solución más sencilla en este momento es deshabilitar completamente XML-RPC .

La forma más sencilla de hacerlo es cambiar el nombre predeterminado. xmlrpc.php archivo a otra cosa.

La mala noticia es que bloquear este archivo puede afectar la funcionalidad de algunos complementos, especialmente los de Jetpack, así que proceda con precaución.

Bien, eso es todo por las noticias de hoy. ¡Ser prudente!

O inicie la conversación en nuestro Grupo de Facebook para profesionales de WordPress. Encuentre respuestas, comparta consejos y obtenga ayuda de otros expertos en WordPress. Únase a él ahora es gratis)!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Ir arriba