xmlrpc system.multicall brute force
-
всем мяу )
собираются ли в новых версиях wordpress заблокировать system.multicall по умолчанию или блокировка останется на усмотрение администраторов сайтов ?
— FAQ и почему я собственно задаю этот вопрос —
источник: https://blog.sucuri.net/2015/10/brute-force-amplification-attacks-against-wordpress-xmlrpc.htmlпо русски от Касперского: https://threatpost.ru/tikhij_brutfors_wordpress_s_usileniem/12656/
xmlrpc позволяет 1 запросом делать попытку перебора десятков паролей за раз, усугубляется тем, что брютфорсят WP в сети постоянно и активно, а тут новый метод и еще такой эффективный,
скоро тупые боты «слезут» с wp-login.php и начнут тыкать xmlrpc.phpметоды защиты:
a. плагины — JetPack (protect) , iThemes Security, WordPress Simple Firewall, возможно другие, защита xmlrpc должна быть явно заявленаб. заблокировать xmlrpc (может создавать проблемы с плагинами, с тем же Жутьпаком
.htaccess:
<files xmlrpc*=""> order deny,allow deny from all </files>
functions.php / wp-config.php
add_filter('xmlrpc_enabled', '__return_false');
в. заблокировать system.multicall
рекомендуют такое functions.php:function mmx_remove_xmlrpc_methods( $methods ) { unset( $methods['system.multicall'] ); unset( $methods['system.listMethods'] ); unset( $methods['system.getCapabilities'] ); return $methods; } add_filter( 'xmlrpc_methods', 'mmx_remove_xmlrpc_methods');
- Тема «xmlrpc system.multicall brute force» закрыта для новых ответов.