WP防止xmlrpc.php暴力破解密码

马谦马谦马谦 2017年11月19日11:14:18 发表评论
文章最后编辑于:2018-10-21 16:18:45

一、概述

xmlrpc.php 是wordpress默认就有的一个离线发布模块,我们可以使用诸如windows live writer 之类的软件进行离线发布,在发布的过程中会验证wordpress帐号的密码,不管帐号密码正确失败,都会给予相应的回复。对于攻击者来说,这就是一个漏洞,因为他们知道每一次尝试登陆的结果,于是就可以无限制利用这个文件进行暴力密码破解,直到得到一次正确的返回——即尝试到了一个正确的账户密码。

二、攻击示例

默认情况下,xml-rpc 服务是开启的,判断是否开启可以在浏览器输入https://www.域名.cn/xmlrpc.php,如果返回以下信息则表示该服务处于开启状态:

WP防止xmlrpc.php暴力破解密码

如果功能处于开启状态,我们可以使用Postman进行模拟攻击,请求文件为xmlrpc.php,请求类型POST,请求内容:

其中admin 和123456 是模拟登录的账户密码。

WP防止xmlrpc.php暴力破解密码

把请求发送出去,得到如下响应,很明显的告诉我们账户密码错误:

WP防止xmlrpc.php暴力破解密码

如果把发送数据的账号和密码信息修改成正确的,就会返回我们的博客基本信息:

WP防止xmlrpc.php暴力破解密码

利用这个漏洞,黑客很容易就能写个脚本,每秒请求N次,给服务器带来高额负载不说,从安全角度来讲,总有一天博客的账户和密码是会被爆破出来的,然后随之而来的是服务器被黑,网站被植入广告等等。

从nginx的日志信息中也是能发现很多来自这个文件的请求:

WP防止xmlrpc.php暴力破解密码

三、解决办法

1. 定期修改密码并设置高强度密码

定期修改密码是肯定必要的,而且最好设置高强度密码,可以使用mkpasswd 命令来生成密码,详见:linux使用mkpasswd生成密码

2. 关闭xmlrpc.php文件的访问

如果不需要用到这个功能的话,可以使用这个方法,在nginx中设置一下文件的访问权限。

3. 使用安全插件

可以使用WordFenceLogin Security Solution 等安全插件来解决。

wordfence太强大了,东西太多了,博客都有点承受不起,所以选了Login Security Solution。

使用方法详见:WP安全插件Login Security Solution

本文共执行43次查询,耗时0.281秒!
马谦马谦马谦

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: