Desactivar XML-RPC Pingback
Si tienes activo XML-RPC en WordPress eres susceptible de pasar a la lista de los más de 162.000 sitios que han sido ya atacados mediante un ataque de denegación del servicio distribuido o DDOS.
Según informa Sucuri cualquier WordPress co XML-PRC activo, la mayoría porque está activo por defecto, puede convertirse en un zombie más que será utilizado para el ataque DDOS, en principio usado para tirar abajo un sitio muy popular.
En pocas horas se han llegado a utilizar para este ataque DDOS más de 162 mil WordPress totalmente limpios y seguros, utilizando su protocolo XML-RPC para seguir con el ataque.
Todo se pone en marcha con una simple petición de pingback a un sitio inocente en forma de un solo comando en Linux:
$ curl -D – «www.cualquiersitiowordpress.com/xmlrpc.php» -d ‘<methodCall><methodName>pingback.ping</methodName><params><param><value><string>http://VICTIMA.com</string></value></param><param><value><string>www.cualquiersitiowordpress.com/postchosen</string></value></param></params></methodCall>’
Para no ser atacado con este ataque DDOS solo tienes que desactivar XML-RPC.
Si quieres desactivarlo puedes hacerlo de 3 maneras:
- Renombra el fichero
xmlrpc.phpque encontrarás en la carpeta raíz de la instalación de WordPress, y recuerda volver a hacerlo tras cada nueva actualización porque lo meterá de nuevo. - En el fichero
wp-config.php, después derequire_once(ABSPATH . 'wp-settings.php');, añade la siguiente línea:
1add_filter(‘xmlrpc_enabled’, ‘__return_false’); - Añade el siguiente código al archivo
functions.phpdel tema activo:
1234add_filter( ‘xmlrpc_methods’, function( $methods ) { unset( $methods[‘pingback.ping’] ); return $methods;} );
Eso si, desactivar XML-RPC no es algo banal, pues es el protocolo utilizado para pingbacks, trackbacks, publicación desde aplicaciones móviles, de escritorio y mucho más.
Por último, y no es una medida de seguridad sino solo de comprobación, puedes revisar si ahora mismo tu sitio está siendo utilizado para un ataque DDOS en esta herramienta.
