Ataque DDOS a WordPress a través de XML-RPC

ataque ddos wordpress

Si tienes activo XML-RPC en WordPress eres susceptible de pasar a la lista de los más de 162.000 sitios que han sido ya atacados mediante un ataque de denegación del servicio distribuido o DDOS.

Según informa Sucuri cualquier WordPress co XML-PRC activo, la mayoría porque está activo por defecto, puede convertirse en un zombie más que será utilizado para el ataque DDOS, en principio usado para tirar abajo un sitio muy popular.

En pocas horas se han llegado a utilizar para este ataque DDOS más de 162 mil WordPress totalmente limpios y seguros, utilizando su protocolo XML-RPC para seguir con el ataque.

Todo se pone en marcha con una simple petición de pingback a un sitio inocente en forma de un solo comando en Linux:

$ curl -D -  "www.cualquiersitiowordpress.com/xmlrpc.php" -d '<methodCall><methodName>pingback.ping</methodName><params><param><value><string>http://VICTIMA.com</string></value></param><param><value><string>www.cualquiersitiowordpress.com/postchosen</string></value></param></params></methodCall>'

Para no ser utilizado en este ataque DDOS solo tienes que desactivar XML-RPC. Ya avisé en su día que tener activo por defecto XML-RPC era un riesgo de seguridad, y ahora se confirma de la peor forma posible.

En fin, si quieres desactivarlo puedes hacerlo de 3 maneras:

  1. Renombra el fichero xmlrpc.php que encontrarás en la carpeta raíz de la instalación de WordPress, y recuerda volver a hacerlo tras cada nueva actualización porque lo meterá de nuevo.
  2. En el fichero wp-config.php, después de require_once(ABSPATH . 'wp-settings.php');, añade la siguiente línea:
    add_filter('xmlrpc_enabled', '__return_false');
  3. Añade el siguiente código al archivo functions.php del tema activo:
    add_filter( ‘xmlrpc_methods’, function( $methods ) {
       unset( $methods['pingback.ping'] );
       return $methods;
    } );

Eso si, desactivar XML-RPC no es algo banal, pues es el protocolo utilizado para pingbacks, trackbacks, publicación desde aplicaciones móviles, de escritorio y mucho más.

Por último, y no es una medida de seguridad sino solo de comprobación, puedes revisar si ahora mismo tu sitio está siendo utilizado para un ataque DDOS en esta herramienta.

VALORA Y COMPARTE ESTE ARTÍCULO PARA MEJORAR LA CALIDAD DEL BLOG…
(12 votos, promedio: 4.5)

¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!

AVISO: Esta publicación es de hace 3 años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado.

12 comentarios en “Ataque DDOS a WordPress a través de XML-RPC”

  1. Bien, mi sitio aparece como zombie, ¿Como lo limpio? Ya he renombrado el fichero xmlrpc.php pero según la herramienta de comprobación sigue siendo un zombie.

    1. Hola, si has renombrado el fichero ya no podrán utilizar tu WordPress, sigues apareciendo como zombie porque la comprobación se hace sobre la base de datos que ha registrado Sucuri, seguramente cuando la actualicen no aparecerás 🙂

  2. Hola Fernando:
    Muchas gracias por la noticia. Por suerte no me ha dado positivo la herramienta. Una cosa que no me queda clara. ¿Esto es un bug temporal que ha de ser solucionado o no?
    Lo digo porque comentas que revisemos desactivarlo en cada actualización, yo de momento lo he renombrado pero para mi si es un poco de fastidio porque uso las aplicaciones móviles de wordpress y por supuesto si me llegan pingbacks o trackbacks va a ser que no los voy a recibir.
    Muchas gracias!

  3. Fernando, en mi sitio removí el link xmlrpc del Head con la función: remove_action(‘wp_head’, ‘rsd_link’);
    ¿es esto suficiente?

    Hice la prueba de teclear la URL de mi site seguido de /xmlrpc.php y me tira un 404. ¿Quiere decir que lo tengo desactivado?

  4. Mi sitio aparece como que fue utilizado el 9 marzo. He instalado el plugin que aparecia en el repositorio de wordpress «disable xmlrpc».Ahora continua poniendo lo del 9 de marzo (supongo que es un historico). La cuestión es, ¿cómo puedo saber si ya ha funcionado?. Si en el navegador pongo misitio/xmlrpc.php no aparece nada, antes aparecia lo de
    «XML-RPC server accepts POST requests only.»
    Muchas gracias!

  5. Hola Fernando.

    Gracias por tus consejos y recomendaciones.

    Dos consultas:

    1.- Solo basta con aplicar alguna de las 3 recomendaciones que nos diste?
    2.- En que parte del archivo function.php del tema activo debemos insertar el código… entre

    1. Cualquiera de las 3 vale pero son mejores la segunda y la tercera. El código para el functions.php lo puedes poner en cualquier parte después del < ? php

  6. Cual es el beneficio que tiene para mi sitio tener el xmlrpc funcionando? cual es especificamente la funcion?
    Saludos

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Ir arriba Ir al contenido