Dès que la demande ci-dessus est envoyée, l’hôte victime (115.97.xxx.67 tunneling via ngrok) obtient une entrée dans son fichier journal avec une demande provenant du domaine WordPress vérifiant le ping-back. Ce qui peut être vu dans la capture d’écran ci-dessus.
Impact
Cela peut être automatisé à partir de plusieurs hôtes et être utilisé pour provoquer une attaque DDoS massive sur la victime. Cette méthode est également utilisée pour les attaques par force brute visant à voler les informations d’identification de l’administrateur et d’autres informations d’identification importantes.
De plus, il y a beaucoup de POC qui traînent sur le Web concernant les vulnérabilités associées à XMLRPC.php dans les sites Web wordpress, certaines d’entre elles sont:
https://www.rapid7.com/db/modules/exploit/unix/webapp/php_xmlrpc_eval
Comment désactiver WordPress XML-RPC
Vous pouvez désactiver XML-RPC en utilisant le fichier .htaccess ou un plugin. .htaccess est un fichier de configuration que vous pouvez créer et modifier.
Collez simplement le code suivant dans votre fichier .htaccess situé dans le dossier public_html :
# Block WordPress xmlrpc.php requests<Files xmlrpc.php>order deny,allowdeny from allallow from 123.123.123.123</Files>
Cela devrait désactiver XML-RPC sur votre site WordPress.
Il convient de mentionner ici que des plugins tels que Remove XML-RPC Pingback Ping plugin vous permettent de désactiver uniquement la fonction pingback de votre site. Vous n’avez pas besoin de désactiver complètement XML-RPC.
Étant donné que de nombreuses applications et plugins populaires utilisent XML-RPC pour exécuter certaines de leurs propres fonctions. Dans ce cas, vous pouvez envisager d’activer uniquement certaines parties du XML-RPC dont vous avez besoin pour exécuter correctement vos plugins.
Article de blog écrit par Eshaan Bansal.
