防止xmlrpc.php暴力破解密码

一、概述

xmlrpc.php 是wordpress默认就有的一个离线发布模块,我们可以使用诸如windows live writer 之类的软件进行离线发布,在发布的过程中会验证wordpress帐号的密码,不管帐号密码正确失败,都会给予相应的回复。对于攻击者来说,这就是一个漏洞,因为他们知道每一次尝试登陆的结果,于是就可以无限制利用这个文件进行暴力密码破解,直到得到一次正确的返回——即尝试到了一个正确的账户密码。

二、攻击示例

默认情况下,xml-rpc 服务是开启的,判断是否开启可以在浏览器输入https://www.域名.cn/xmlrpc.php,如果返回以下信息则表示该服务处于开启状态:

WP防止xmlrpc.php暴力破解密码

如果功能处于开启状态,我们可以使用Postman进行模拟攻击,请求文件为xmlrpc.php,请求类型POST,请求内容:

其中admin 和123456 是模拟登录的账户密码。

WP防止xmlrpc.php暴力破解密码

把请求发送出去,得到如下响应,很明显的告诉我们账户密码错误:

WP防止xmlrpc.php暴力破解密码

如果把发送数据的账号和密码信息修改成正确的,就会返回我们的博客基本信息:

利用这个漏洞,黑客很容易就能写个脚本,每秒请求N次,给服务器带来高额负载不说,从安全角度来讲,总有一天博客的账户和密码是会被爆破出来的,然后随之而来的是服务器被黑,网站被植入广告等等。

从nginx的日志信息中也是能发现很多来自这个文件的请求:

WP防止xmlrpc.php暴力破解密码

三、解决办法

1. 定期修改密码并设置高强度密码

定期修改密码是肯定必要的,而且最好设置高强度密码,可以使用mkpasswd 命令来生成密码,

2. 关闭xmlrpc.php文件的访问

如果不需要用到这个功能的话,可以使用这个方法,在nginx中设置一下文件的访问权限。

3. 使用安全插件

可以使用WordFenceLogin Security Solution 等安全插件来解决。

wordfence太强大了,东西太多了,博客都有点承受不起,所以选了Login Security Solution。

您可能还喜欢...