Autonomía digital y tecnológica

Código e ideas para una internet distribuida

Evitar y resolver ataques de fuerza bruta a sitios con WordPress: la vulnerabilidad XML-RPC

Imago voragine.net

Hace unos seis meses se descubrió que el archivo xmlrpc.php de WordPress, responsable de las comunicaciones remotas vía XML-RPC, convertía a los servidores donde estuviese instalado este gestor de contenidos en potenciales participantes de ataques DoSS. Hace un par de meses esta vulnerabilidad se empezó a usar también como puerta de entrada de ataques de fuerza bruta a los propios servidores.

Como en otros contextos, en WordPress el protocolo XML-RPC se usa para que otros sistemas y servicios se conecten y se comuniquen con él, y realicen ciertas operaciones. Se usa por ejemplo para publicar entradas desde el correo electrónico.

Desde la versión 3.5 de WordPress el protocolo XML-RPC viene activado por omisión lo que hace que cualquier instalación de WordPress sea vulnerable. Para eliminar esta vulnerabilidad no queda otra que desactivar completamente el soporte XML-RPC de WordPress.

Para desactivar esta funcionalidad se puede añadir la siguiente línea al archivo wp-config.php de WordPress, después de la última aparición de ABSPATH:

add_filter('xmlrpc_enabled', '__return_false');

3 comentarios

  1. Gracias por la sugerencia. Aparte de que no podrmos publicar entradas por email ¿hay alguna otra funcionalidad que perdamos?

    1. Sí, XML-RPC se usa para más cosas: comunicar el blog con la app. móvil de WordPress; el plugin JetPack también lo utiliza para algunos de sus módulos…

      Y por último están los pingbacks, que también utilizan XML-RPC. Pero son justamente los pingbacks los que permiten el ataque de fuerza bruta a través de XML-RPC, así que hay que deshabilitarlos sí o sí.

      Si estás usando plugins que requieran XML-RPC o la app. móvil de WordPress también puedes deshabilitar únicamente los pingbacks.

Dejar un comentario

*
*

 

Un trackback