WordPress XML-RPC接口的风险解读及解决方案

WordPress通过内置的API调用XML-RPC接口,方便用户通过客户端来管理站点,比如通过邮件发布日志、与其他博客平台通信等。正是如此好用的功能,往往被黑客用来绕过暴力破解限制,尝试猜测用户账号、扫描主机端口等。

风险解读

爆破账号

通过已收集的用户名username和尝试密码password,可以构造如下POST请求至xmlrpc.php:

如果爆破失败,会返回403错误,如果不幸:

扫描端口

通过Pingback可以实现服务器端请求伪造SSRF和远程端口扫描:

若返回包中的<value><int>中的值大于0,则表示IP和PORT存在。

读取文件

解决方案

方案1:禁用Wordpress的pingback接口

修改主题的functions.php文件,加入以下代码:

方案2:禁用Wordpress的xmlrpc功能

修改主题的functions.php文件,加入以下代码:

方案3:禁止外域访问xmlrpc.php文件

Nginx修改站点的.conf配置:

Apache修改站点目录中的.htaccess文件:

原创文章禁止转载:技术学堂 » WordPress XML-RPC接口的风险解读及解决方案

精彩评论

2+4=

感谢您的支持与鼓励

支付宝扫一扫打赏

微信扫一扫打赏