Phòng chống tấn công Brute Force WordPress thông qua XML-RPC
1. XML-RPC là gì?
Nó thực chất là 1 API được Wordress phát triển với ý tưởng ban đầu là cho phép kết nối các ứng dụng từ xa đến website của bạn. Ví dụ bạn có thể phát triển một mobile app để xem xét và phê duyệt các comment mới nhất mà không cần đăng nhập trên trang web. Ý tưởng thì tôt đẹp nhưng nó chứa rất nhiều yếu tố rủi ro về bảo mật.
Tấn công Brute Force kiểu mới: Với cách thức tấn công kiểu mới này các hackers có thể dò tìm hàng ngàn username/password chỉ trong 2 hoặc 3 requests. Để dễ hình dung các bạn hãy xem hình minh họa dưới đây
2. Cách phòng chống
Cách 1: Vô hiệu hóa chức năng XML-RPC trên theme bằng cách chèn code vào file functions.php như sau
add_filter(‘xmlrpc_enabled’, ‘__return_false’);
Cách 2: Sử dụng file .htaccess để thiết lập cách tiếp cận file xmlrpc.php
## block any attempted XML-RPC requests
<Files xmlrpc.php>
Order deny,allow
Deny from all
</Files>
Nếu bạn sử dụng Nginx thay vì Apache thì hãy dùng cách này
## block any attempted XML-RPC requests
location = /xmlrpc.php {
deny all;
}
Chúc mn thành công.