Hace unos seis meses se descubrió que el archivo xmlrpc.php de WordPress, responsable de las comunicaciones remotas vía XML-RPC, convertía a los servidores donde estuviese instalado este gestor de contenidos en potenciales participantes de ataques DoSS. Hace un par de meses esta vulnerabilidad se empezó a usar también como puerta de entrada de ataques de fuerza bruta a los propios servidores.
Como en otros contextos, en WordPress el protocolo XML-RPC se usa para que otros sistemas y servicios se conecten y se comuniquen con él, y realicen ciertas operaciones. Se usa por ejemplo para publicar entradas desde el correo electrónico.
Desde la versión 3.5 de WordPress el protocolo XML-RPC viene activado por omisión lo que hace que cualquier instalación de WordPress sea vulnerable. Para eliminar esta vulnerabilidad no queda otra que desactivar completamente el soporte XML-RPC de WordPress.
Para desactivar esta funcionalidad se puede añadir la siguiente línea al archivo wp-config.php de WordPress, después de la última aparición de ABSPATH:
add_filter('xmlrpc_enabled', '__return_false');
3 comentarios
Gracias por la sugerencia. Aparte de que no podrmos publicar entradas por email ¿hay alguna otra funcionalidad que perdamos?
Sí, XML-RPC se usa para más cosas: comunicar el blog con la app. móvil de WordPress; el plugin JetPack también lo utiliza para algunos de sus módulos…
Y por último están los pingbacks, que también utilizan XML-RPC. Pero son justamente los pingbacks los que permiten el ataque de fuerza bruta a través de XML-RPC, así que hay que deshabilitarlos sí o sí.
Si estás usando plugins que requieran XML-RPC o la app. móvil de WordPress también puedes deshabilitar únicamente los pingbacks.