web-dev-qa-db-fra.com

wp.getUsersBlogs XMLRPC Attaque/vulnérabilité par force brute

Après le week-end de vacances, l'un des sites les plus importants que je gère a été attaqué par une force brute. L'attaquant tentait d'utiliser la fonction wp.getUsersBlogs et une liste de noms d'utilisateur et de mots de passe courants. Un peu de recherche me montre qu'après une tentative réussie, cette fonction sera retournée, que l'utilisateur soit un administrateur ou non.

J'utilise le plug-in IP Blacklist Cloud dans le cadre de ma sécurité, donc il a consigné l'attaque, mais comme cette méthode d'attaque n'utilise pas la méthode de connexion normale, aucune liste noire ne se produit réellement. Ce qui ne devrait pas aider de toute façon, car après chaque tentative, l'attaquant a utilisé une nouvelle adresse IP (totalisant plus de 15 000 adresses IP jusqu'à présent) (plus de 20 000 pour une seconde attaque).

J'ai trouvé un plugin qui désactive complètement le XML-RPC (API), mais je ne suis pas sûr que cela ne posera pas d'autres problèmes. Il s’agit d’un site Web en direct pour une municipalité locale. Je ne peux donc pas me permettre d’essayer beaucoup.

voici un exemple de ce qui a été connecté à IP Blacklist Cloud:

"1.0" encoding = "iso-8859-1"?> Wp.getUsersBlogsusernamepassword

usernamepassword sera remplacé par quelque chose d'une liste géante de noms d'utilisateur et de mots de passe populaires.

L'attaque semble gagner en popularité, alors j'espère que cela apportera d'autres solutions.

Mise à jour 20140728:

Un autre de mes sites a été victime de cette attaque ce week-end. Jusqu'à présent, les mots de passe forts m'ont gardé en sécurité, mais d'autres peuvent ne pas être aussi chanceux. J'essaie la solution mentionnée ci-dessus, car elle semble être la meilleure solution que j'ai trouvée à ce jour.

Liens vers plus de recherche:

API pour WordPress XML RPC http://codex.wordpress.org/XML-RPC_WordPress_API

La solution la moins intrusive à ce jour http://www.cryptobells.com/more-wordpress-xmlrpc-brute-force-attacks/

Forum d'assistance WordPress http://wordpress.org/support/topic/recent-new-xmlrpcphp-brute-force-password-guessing-attack-details

4
KnightHawk

C'est la solution la plus spécifique que j'ai pu trouver car elle ne désactive que la fonction attaquée.

functions.php:

function Remove_Unneeded_XMLRPC( $methods ) {
    unset( $methods['wp.getUsersBlogs'] );
    return $methods;
}
add_filter( 'xmlrpc_methods', 'Remove_Unneeded_XMLRPC' );

trouvé ceci à: http://www.cryptobells.com/more-wordpress-xmlrpc-brute-force-attacks/

Pour une solution plus large, il existe un plugin WordPress appelé "Disable XML-RPC" qui désactive précisément la fonctionnalité XML-RPC.

1
KnightHawk