WordPress XML-RPC Schnittstelle -Schwachstelle für automatisierte Anmeldeversuche

Seit WordPress 3.5 ist die XML-RPC-Schnittstelle standardmäßig aktiviert und nicht mehr optional ein schaltbar. Diese Info aus diversen WP Publikationen mag zwar bei Fachleuten angekommen sein, an mir ging sie aber vorbei. Erst nachdem meine Webseite von meinem Provider 1&1 wegen massenhafter automatisierter WordPress-Anmeldeversuche (280.000 Anmeldeversuche an einem Tag) vom Netz genommen wurde bestand Klärungsbedarf.

Eine erste Abhilfe konnte dank der Unterstützung des WP Forums schnell gefunden werden. Die Schnittstelle kann einfach in der .htacces durch hinzufügen des folgenden Codeschnipsels abgesichert werden.
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

Danach war meine Webseite geschützt und der Angriff abgewehrt aber das Plugin Jetpack nicht mehr funktionsfähig!

Die XML-RPC Schnittstelle in WordPress dient dazu, um WordPress mit externen Programmen verwalten zu können. Zum Beispiel um Artikel zu veröffentlichen oder Kommentare zu bearbeiten. Zu den Programmen gehören unter anderem die mobilen Anwendungen für iOS, Android und Co, aber auch der Windows Live Writer.

Auch das von mir verwendete Plugin Jetpack verwendet diese Schnittstelle und konnte deshalb nicht mehr auf meinen Blog zugreifen. Eine Nachfrage beim Support von Jetpack zwecks Problemlösung endete in der Aussage:

If that isn’t possible with your current web configuration, then I’m afraid you won’t be able to use Jetpack.

Fazit

Da die von Sergej vorgeschlagene Lösung des eingeschränkten Zugriffs unter Verwendung der Whitelist-Technik keinen absoluten Schutz darstellt, Angreifer sind in der Lage, den User-Agent-Wert zu manipulieren, muss ich wohl auf all diese Anwendungen verzichten!

Es bleibt abzuwarten ob in der Zukunft verbesserte Lösungen auftauchen.

Liste der blockierten Anwendungen:

  • Poster
  • WordPress-Blogs
  • Windows Live Writer
  • WordPress for iOS
  • WordPress for Android
  • WordPress for Windows Phone
  • Plugin Jetpack
  • Bloggen mit MS Word

Einen zusätzlicher Erfahrungsbericht zu dem Thema habe ich bei hier gefunden

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*