Tan pronto como se envíe la solicitud anterior, el host víctima (115.97.xxx.67
túnel a través de ngrok) obtiene una entrada en su archivo de registro con una solicitud que se origina en el dominio de WordPress verificando el ping-back. Que se puede ver en la captura de pantalla anterior.
Impacto
Esto se puede automatizar desde varios hosts y se puede usar para causar un ataque DDoS masivo a la víctima. Este método también se utiliza para ataques de fuerza bruta para robar las credenciales de administrador y otras credenciales importantes.
Además, hay muchos POC por toda la web relacionados con las vulnerabilidades asociadas con XMLRPC.php
en los sitios web de wordpress, algunos de estos son:
https://www.rapid7.com/db/modules/exploit/unix/webapp/php_xmlrpc_eval
Cómo deshabilitar XML-RPC de WordPress
Puede deshabilitar XML-RPC utilizando el archivo .htaccess
o un complemento. .htaccess
es un archivo de configuración que puede crear y modificar.
Simplemente pegue el siguiente código en su archivo .htaccess
que se encuentra en la carpeta public_html
:
# Block WordPress xmlrpc.php requests<Files xmlrpc.php>order deny,allowdeny from allallow from 123.123.123.123</Files>
Esto debería deshabilitar XML-RPC en su sitio de WordPress.
Vale la pena mencionar aquí que los complementos como el complemento de ping Pingback Remove XML-RPC le permiten desactivar solo la función pingback de su sitio. No es necesario deshabilitar XML-RPC por completo.
Ya que muchas aplicaciones y complementos populares usan XML-RPC para ejecutar algunas de sus propias funciones. En cuyo caso, podría considerar habilitar solo algunas partes del XML-RPC que necesite para ejecutar sus complementos correctamente.
Entrada de blog escrita por Eshaan Bansal.