防止被利用xmlrpc.php文件攻击


在例行网站日志检查中,发现了网站被大量的IP访问域名根目录下xmlrpc.php文件,经过查询了解,得知用WordPress搭建的平台都有这个文件,该文件是离线发布模块,管理员可以利用一些工具进行离线发布文章。

8Dkdjx.jpg


发布文章要验证管理员账号密码,但是无论账号密码试错多少次服务器都返回一样的结果,并且服务器的保护程序不能够阻止这个行为,这意味着可以无限次尝试,这就形成了一个漏洞。

虽然管理员密码足够复杂,但是无数次的暴力破解会产生大量的无用日志,并且这种方式最重要的影响就是服务器的负载会有很大的影响,对于性能较差的服务器可以导致其无法正常访问,几乎和DDOS相似。

并且由于本站用的不是Apache而是Nginx,并且根据网上查找的大量教程,发现不能够有效的解决问题。

xmlrpc.php文件有比较重要的用途,不能够直接删除。

为此经过多次对比论证实验,找出了两种有效的方法:

1.随意重命名网站根目录下xmlrpc.php,可以避免,访问的话会跳转至404(页面不存在).

2.将xmlrpc.php的权限设置为无任何权限,也就是0 0 0,访问的话会提示拒绝访问.

以上其中一种方法就能阻止这个漏洞,如果有需要临时用到这个文件逆向还原即可.


后续:
以上两种方法均有缺陷,如果依赖xmlrpc.php的插件需要运行,还需反复设置,我又找到了两种方法,均需要Wordfence.
1. 在wordfence的”进阶防火墙选项”,按照规则封锁URL.
8rWBuT.jpg
2. 开启两素验证,并勾选”需要2FA进行XML-RPC呼叫身份验证”.


评论与订阅

avatar
100
  订阅  
提醒