Zbog sve učestalijih DDOS napada na Wodpress instalacije naših klijenata, TJstudio odlučio je zabraniti izvođenje i vanjsko pristupanje skripti xml-rpc na svim serverima. U zadnjih 72  sata zabilježili smo preko 20 napada, te se odlučili na ovako rigorozan potez. Naime sve WP instalacije dolaze s navedenom skriptom koja se aktivno nije ažurirala od 2008. godine, te kao takva iznimno zastarijela stvara strašne probleme. xml-rpc skripta pojednostavnjuje vanjsku komunikaciju API riješenja s WP instalacijom ali ujedno donosi rizik od učestalih DDOS napada. Navedenu skriptu u svijetu koristi manje 1% aktivnih korisnika WP CMS sustava.

Zašto moramo zaboraviti XML-RPC?

Kompatibilnost s XML-RPC Dio je WordPressa od prvog dana. WordPress 2.6 objavljen je na 15 srpnju 2008 i aktiviranje " XML-RPC Dodan je postavkama WordPressa i zadane postavke za " od ". Tjedan dana kasnije objavljena je verzija WordPressa za iPhone, a korisnici su zamoljeni da aktiviraju tu značajku. Četiri godine nakon što se iPhone aplikacija pridružila obitelji, WordPress 3.5 je omogućio značajku " XML-RPC ".

Glavne slabosti povezane s XML-RPC-om su:

  • Brutalni napadi: Napadači se pokušavaju povezati s WordPressom koristeći xmlrpc.php sa što više kombinacija korisničkog imena i lozinke. Nema ograničenja ispitivanja. Metoda u xmlrpc.php omogućava napadaču da koristi jednu naredbu (system.multicall) pogoditi stotine zaporki.
  • Odbijanje napada putem usluge Pingback

Više o skripti možete pronaći ovdje hr.blogpascher.com >>>



Tuesday, January 21, 2020



« Nazad