Autonomía digital y tecnológica

Código e ideas para una internet distribuida

Deshabilitar los pingbacks vía XML-RPC para impedir ataques de fuerza bruta a WordPress

06/11/2014 • Por

Parece ser que para evitar potenciales ataques de fuerza bruta a sitios con WordPress a través del protocolo XML-RPC, basta deshabilitar los pingbacks y no todo el sistema XML-RPC, como cuentan en WP-Tavern.

Si en tu sitio utilizas servicios que utilizan XML-RPC, como algunos plugins como Jetpack o la aplicación móvil de WordPress quizás te interese deshabilitar únicamente los pingbacks, que son en realidad la puerta de entrada de los ataques de fuerza bruta a WordPress.

Añade la siguiente función al functions.php de tu theme:

add_filter( 'xmlrpc_methods', 'remove_xmlrpc_pingback_ping' );
function remove_xmlrpc_pingback_ping( $methods ) {
   unset( $methods['pingback.ping'] );
   return $methods;
} ;

Contexto

WordPress, ataque a WordPress, ataque de fuerza bruta, XML-RPC

Evitar y resolver ataques de fuerza bruta a sitios con WordPress: la vulnerabilidad XML-RPC

05 de noviembre de 2014 • Por

Alfonso Sánchez Uzábal

Hace unos seis meses se descubrió que el archivo xmlrpc.php de WordPress, responsable de las comunicaciones remotas vía XML-RPC, convertía a los servidores donde estuviese instalado este gestor de contenidos en potenciales participantes de ataques DoSS. Hace un par de meses esta vulnerabilidad se empezó a usar también como puerta de entrada de ataques de fuerza bruta a los propios servidores.

Desde la versión 3.5, el protocolo XML-RPC viene activado por omisión en WordPress lo que hace que cualquier instalación de WordPress sea vulnerable. Para eliminar esta vulnerabilidad no queda otra que desactivar completamente el soporte XML-RPC de WordPress.

Contexto

WordPress, ataque a WordPress, ataque de fuerza bruta, wp-config, XML-RPC

Leer el artículo