Desactivar XML-RPC Pingback

Si tienes activo XML-RPC en WordPress eres susceptible de pasar a la lista de los más de 162.000 sitios que han sido ya atacados mediante un ataque de denegación del servicio distribuido o DDOS.

Según informa Sucuri cualquier WordPress co XML-PRC activo, la mayoría porque está activo por defecto, puede convertirse en un zombie más que será utilizado para el ataque DDOS, en principio usado para tirar abajo un sitio muy popular.

En pocas horas se han llegado a utilizar para este ataque DDOS más de 162 mil WordPress totalmente limpios y seguros, utilizando su protocolo XML-RPC para seguir con el ataque.

Todo se pone en marcha con una simple petición de pingback a un sitio inocente en forma de un solo comando en Linux:

$ curl -D –  «www.cualquiersitiowordpress.com/xmlrpc.php» -d ‘<methodCall><methodName>pingback.ping</methodName><params><param><value><string>http://VICTIMA.com</string></value></param><param><value><string>www.cualquiersitiowordpress.com/postchosen</string></value></param></params></methodCall>’

Para no ser atacado con este ataque DDOS solo tienes que desactivar XML-RPC.

Si quieres desactivarlo puedes hacerlo de 3 maneras:

  1. Renombra el fichero xmlrpc.php que encontrarás en la carpeta raíz de la instalación de WordPress, y recuerda volver a hacerlo tras cada nueva actualización porque lo meterá de nuevo.
  2. En el fichero wp-config.php, después de require_once(ABSPATH . 'wp-settings.php');, añade la siguiente línea:
    1add_filter(‘xmlrpc_enabled’, ‘__return_false’);
  3. Añade el siguiente código al archivo functions.php del tema activo:
    1234add_filter( ‘xmlrpc_methods’, function( $methods ) {   unset( $methods[‘pingback.ping’] );   return $methods;} );

Eso si, desactivar XML-RPC no es algo banal, pues es el protocolo utilizado para pingbacks, trackbacks, publicación desde aplicaciones móviles, de escritorio y mucho más.

Por último, y no es una medida de seguridad sino solo de comprobación, puedes revisar si ahora mismo tu sitio está siendo utilizado para un ataque DDOS en esta herramienta.

También te podría gustar...

Deja una respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.