Hackeři mohou vaši WordPress stránku používat k DDoS útoku a vy ani nemusíte nic vědět. Využívají k tomu služby trackback a pingback. V tomto článku si ukážeme jak takovémuto zneužití zabránit.
Funkce XML-RPC byla původně navržena pro využití v interním upozorňovacím systému pro WordPress uživatele, ale málokdo ji kvůli spamu používá. V současné době se nejvíce používá jako způsob externí publikace příspěvků ve WordPressu. Nicméně týká se jí bezpečnostní riziko, kdy ji může hacker využít a například přidat vaši stránku k DDoS útoku. Kromě toho může být funkce využita i k útoku hrubou silou.
Denial of Service (DoS) nebo distributed Denial of Service (DDoS) (česky odmítnutí služby) je technika útoku na internetové služby nebo stránky, při níž dochází k přehlcení požadavky a pádu nebo minimálně nefunkčnosti a nedostupnosti pro ostatní uživatele.
Útok hrubou silou (anglicky brute force attack) je většinou pokus o rozluštění šifry bez znalosti jejího klíče k dešifrování.
XML-RPC lze deaktivovat, ale je dobré zmínit, že ji mohou využívat aplikace a produkty třetích stran. Pokud jste se rozhodli XML-RPC deaktivovat a chránit tak svůj web, pak níže ukážeme několik způsobů jak toho docílit.
Otestujte svou stránku pro účast v DDoS útoku
Pomocí nástroje pro testování od Sucuri zjistíte zda IP adresa vašeho webu se účastnila DDoS útoku.
Pokud se vaše stránka jeví bez problému je to super! Nicméně nástroj pouze využívá interní databáze Sucuri. Jestliže máte i nadále podezření o zneužité vašeho webu, pokračujte dále.
Deaktivace XML-RPC
Ve výchozím nastavení WordPressu je funkce XML-RPC aktivována. Pro její deaktivaci můžete využít dva způsoby.
Deaktivace XML-RPC pomocí pluginu
Vývojáři od FooPlugins vytvořili WordPress plugin Remove XMLRPC Pingback Ping, který umí odstranit pingback funkci a zároveň umožňuje práci většině aplikacím třetí strany tak, že povolí další funkce zahrnuté v XML-RPC.
Plugin stačí pouze nainstalovat a je hotovo.
Alternativami jsou pluginy:
- Prevent XMLRPC
- Disable XML-RPC
- Disable XML RPC Fully
- Secure XML-RPC
Deaktivací funkce XML-RPC může ovlivnit funkčnost vaší stránky. Mezi populární pluginy, které mohou být ovlivněny patří některé části JetPacku, BuddyPress, WordPress Mobile App nebo různé pluginy pro správu fotogalerií.
Remove XMLRPC Pingback Ping funkci XML-RPC kompletně nedeaktivuje, čímž udržuje většinu pluginů funkční, ale také není stoprocentní ochranou proti zneužití.
Deaktivace XML-RPC pomocí wp-config.php
Existuje filtr pomocí kterého můžete kompletně deaktivovat XML-RPC ve WordPressu. Filtr se přidává do souboru wp-config.php. Protože dojde k úplné deaktivaci funkce, je třeba následně otestovat všechny funkce webu, které by mohli být narušeny. Nemělo by však dojít k problémům s:
- pluginy pro podcast
- pluginy pro sdílení obsahu pomocí sociálních sítí
- pluginy pro zobrazení relevantních příspěvků
- nástroji pro analytiku
- pluginy pro zobrazení galerie z externího zdroje
- pluginy pro vložení obsahu ze sociálních sítí
WP-config.php najdete v základní složce WordPressu a filtr doporučuji vložit na jeho konec.
add_filter('xmlrpc_enabled', '__return_false');
Po uložení souboru dojde ke kompletní deaktivaci XML-RPC. Je to jisté omezení funkčnosti, ale získáte větší bezpečnost webu.