XML-RPC ve WordPress Security için neden silmenin zamanı geldi

WordPress’in başlangıcından bu yana, sitenizle uzaktan etkileşim kurmanıza izin veren özellikler vardır. Aynı özellik, diğer blogcuların yayınlarınıza başvurmasına izin vererek topluluğunuzu oluşturur. Tüm bunların özü XML-RPC’dir. XML-RPC veya XML Uzun mesafeli prosedür çağrıları, bu özellikleri WordPress’te destekleyin:
Sitenize akıllı telefonunuzla bağlanın
Diğer siteler sitenize başvurduğunda izleme ve pingback
jet paketi
Ancak, XML-RPC ile WordPress sitenizi güvence altına almak için çözmeniz gereken bir sorun var. XML-RPC nedir ve ne kullanılır? Bloglamanın ilk günlerinde (WordPress orada), internetteki çoğu yazar hala web’i keşfetmek için çevirmeli bağlantılar kullanıyor. Mesajlar yazmak ve uyandırmak zor. Çözüm, bilgisayarınıza çevrimdışı yazmak ve nesirinizi kopyalamak/eklemek ve belki bir veya iki grafiği blogunuza eklemektir. Kelime işlemcileri kullanan kişiler bu yöntemi biraz zahmetli bulurlar, çünkü metinlerinde belgeleri HTML olarak saklassanız bile genellikle yabancı bir kod eklenir.
Blogger, diğer geliştiricilerin blog yazarı bloglarına erişmesine izin vermek için bir Uygulama Programlama Arayüzü (API) oluşturur. Kullanıcıların yayınları çevrimdışı yazmasına ve ardından XML-RPC aracılığıyla API blogcusunu destekleyen bloglara bağlanmasına olanak tanıyan çevrimdışı blog istemcisini girin. Diğer bloglama sistemleri takip eder ve son olarak temel erişimi standartlaştıran Metaweblogapi vardır. On yıl boyunca öne çıkın, bugün hepimiz uygulamaları bir bilgisayarda değil, mobil ve tabletlerde kullanıyoruz. İnsanların cep telefonlarıyla yapmayı sevdikleri şeylerden biri WordPress sitelerine göndermektir. 2008-09’da Automattic, hemen hemen tüm hücresel işletim sistemleri (hatta BlackBerry ve Windows Mobile) için bir WordPress uygulaması oluşturmalıdır. Bu uygulama, XML-RPC arayüzü aracılığıyla WordPress.com kimlik bilgilerinizi herhangi bir WordPress sitenizi girmesine izin verir. Kullanıcı hakları var. Bu, RPC anlamına gelen uzun mesafeli bir prosedür çağrısı ile olur. Ve şimdi düşünmelisin, “Ah, hayır. Başkaları şifremi alırsa ne olur? ” Cevap iyi değil: “diğer insanlar” sitenizde yapabileceğiniz her şeyi yapabilir. Çünkü elbette, etkili bir şekilde sizsiniz. Zaten mide bulantısı hissediyor musunuz? Diğer kötü haberler: Kendi yayınlanan sitelerinizde olağanüstü araçlar kullanmak için Jetpack kullanıyorsanız, bazı mucizeler de XML-RPC kullanır.
Tarih: XML-RPC kalıcı kalmalı mı yoksa WordPress’e girmeli mi? XML-RPC desteği ilk günden beri WordPress’in bir parçası olmuştur. Eğer bu konuda telaşlı olmak istiyorsanız, WordPress öncesi tarihin bir parçasıdır; Matt Mullenweg’in WordPress yapmak için çalıştığı B2 platformunun bir parçası. WordPress 2.6 15 Temmuz 2008’de piyasaya sürüldü. Varsayılan ayarlar “Kapalı” olarak ayarlanan WordPress uzaktan yayıncılık ayarlarına etkinleştirme XML-RPC eklendi. Bir hafta sonra, iPhone için WordPress uygulaması yayınlandı ve kullanıcıdan ayarları “etkin” olarak değiştirmesi istendi. İPhone uygulamasının aileye katıldıktan dört yıl sonra, WordPress 3.5 varsayılan olarak etkinleştirilen XML-RPC desteğini yaptı ve pano ayarlarını sildi. XML-RPC ile ilişkili ana zayıflıklar şunlardır:
Brute Force Saldırısı: Saldırgan, XMLRPC.php kullanarak girebilecekleri kadar çok kullanıcı adı/şifre adıyla WordPress’e girmeye çalışır. XMLRPC.php içindeki yöntem, saldırganın yüzlerce şifreyi tahmin etmek için bir komutu (System.MultiCall) kullanmasına izin verir. Sucuri’deki Daniel Cid Ekim 2015’te iyi açıkladı: “Sadece 3 veya 4 HTTP talebi ile saldırganlar, şiddetli çabaları görmek ve engellemek için tasarlanmış güvenlik cihazlarını geçerek binlerce şifre deneyebilir.”
Gur Schatz’a göre Gur Schatz’a göre, Pingback üzerinden Hizmet Reddetme Saldırısı: 2013 yılında, yaklaşık 2500 WordPress sitesinden XMLRPC.PHP aracılığıyla Pingback için bir pingback talebi gönderdi. “Bu, 15 milyondan fazla WordPress sitesinden oluşan bir ağda hizmet saldırısının reddini dağıtmak için neredeyse sınırsız olan bir dizi IP adresine saldırgan veriyor. Yeniden. Modern dünya takasıyla çok can sıkıcı.
Kimsenin uçağınızda bir bomba taşımadığından emin olmak istiyorsanız, metal bir dedektörü geçmek için sıralamanız gerekir. Alışveriş, kapı kilitleri ve pencereyi kapatırken arabayı kaydetmek istiyorsanız. Web sitenizi kilitlemek için [E -posta Korumalı] da kullanamazsınız. Özellikle jetpack veya hücresel uygulama kullanmayı seviyorsanız. XML-RPC güvenliği hakkında ne yapabilirim? Güvenlik sorunlarının aslında XML-RPC’nin kendisi olmadığını anlayın, sorun saldırganın bunu kullanıcı adınıza ve şifrenize zorlamak için başka bir yol olarak kullanabilmesidir. Kendinizi korumanın en iyi yolu (hala) uzun ve karmaşık bir şifre kullanmak (veya sizin için yapabilecek bir şifre yöneticisi kullanmaktır). Ancak, özellikle birkaç farklı bilgisayar üzerinden WordPress kullanıyorsanız, bunu yapmak her zaman kolay değildir.
Bugün kendinizi korumak için yapabileceğiniz en iyi şey, ayarlarınızdaki XML-RPC’yi tamamen kapatmaktır. .Htaccess dosyasına bazı eklemeler xmlrpc.php dosyasına erişimi kilitleyebilirsiniz. İşte nasıl yapılacağı.
Not: Değişiklik yapmadan önce .htaccess oluşturan ve düzenleyen kullanıcılar hakkındaki politikalarını bulmak için web ana bilgisayarınızla iletişime geçin. Mevcut .htaccess dosyalarını kontrol edin. Web ana bilgisayar belgeleriniz sizi doğru yönde yönlendirebilir. Orada değilse, HTDOCS/WordPress klasöründe bir dosya oluşturun.
Dosyayı Metin Düzenleyicisi’ne açın ve üst kısımın yanına aşağıdaki kodu ekleyin:
GIST RAEWRITES/5D62CDA874FC8A8850B16B8DF0E5DD yüklenmesi

XML-RPC deaktivasyon eklentisini yükleyerek ve etkinleştirerek bu işlemi basitleştirebilirsiniz.
XMLRPC.php’yi devre dışı bırakma bu dosyayı kullanan tüm araçları kapatır. WordPress’i cep telefonunuzda veya tabletinizde kullanabilirsiniz. Hücresel uygulamalar yerine, WordPress’te bazı XML-RPC’yi devre dışı bırakabilirsiniz, böylece tüm bu araçlara bağlı olarak XML-RPC’ye bağlı olarak bağlıdır. Bir süredir bile XML-RPC’yi kapatmak istemediğinizi gerçekten anlıyorum. İşte yardımcı olabilecek bazı eklentiler:
XML-RPC saldırısını durdurun: Yalnızca jetpack’lerin ve diğer otomatik araçların XMLRPC.php’ye .htaccess aracılığıyla erişmesine izin verin.
XML-RPC Yayınlanmasının Kontrolü: Ayarlar Menüsü> Yazma’ya Uzun Mesafe Yayınlama Seçeneğini Geri Yükle.
Ithemes güvenlik, kötü amaçlı yazılım karşıtı güvenlik ve güç için kaba güvenlik duvarı ve hepsi bir WP Güvenlik ve Güvenlik Duvarı: Bu genel hedef güvenlik aracı, brute-force’ın serbest seviyesinde korunmasını içerir. XMLRPC.PHP ile veya bunlar olmadan tekrar tekrar girme çabalarını denetler ve girmeye çalışan siteleri yasaklar. Birkaç yıldır Ithemes aracını kullanmayı başardım.
Ana güvenlik eklentilerinden biri olan WordFence, XML-RPC’yi devre dışı bırakmamaya karar verdiğini fark ettim. Bir blog gönderisinde Mark şöyle yazdı: Bizim için XML-RPC’yi devre dışı bırakmak ücretlendirildi. WordPress’teki ana yangını devre dışı bırakıyorsunuz. Bu yeteneği kısaca sunuyoruz, ancak WordPress API kötüye kullanımının önlenmesi arttırıldığı için bu özellikleri siliyoruz. Buna ek olarak, XML-RPC’yi devre dışı bırakma yeteneği sağlamak, API’ya erişemedikleri için uygulamaları hasar gördüklerinde kullanıcılar arasında karışıklığa neden olur. REST (ve OAuth) Şimdi kaydetmek için WordPress Core geliştiricisinin WordPress kodunu diğer uygulamaya değiştirdiğini zaten bilebilirsiniz. API Rest ekibindeki geliştiricilerin, XML-RPC problemini çözmeyi amaçlayan kimlik doğrulama departmanı da dahil olmak üzere hazırlıkta çeşitli sorunları vardır. Bu nihayet gerçekleştiğinde (şu anda 2016 sonunda V4.7 için planlanmıştır), hücresel veya jetpack uygulamalarını kullanmak için XML-RPC kullanmanız gerekmez.
Bunun yerine, OAuth Protokolü aracılığıyla kendinizi harici bir uygulamada doğrulayacaksınız. OAuth’un ne olduğunu bilmiyor olabilirsiniz, ancak bir yayındaki Twitter düğmesine tıkladıysanız, OAuth’u kullandınız. Sosyal Paylaşım düğmesine tıkladığınızda, HTTPS ekranı güvenli bir şekilde görünür ve kendinizi Twitter, Facebook, LinkedIn veya herhangi birine tanımlamanızı ister. Site için kullanıcı adınızı ve şifrenizi girersiniz ve gönderiyi paylaşabilirsiniz. WordPress site sahipleri sosyal site şifrenizi bilmiyor ve kimse gönderilirken verileri engelleyemez.
Sosyal uygulamalar daha sonra, uzun mesafeli sitelerin belirtilen zaman periyodu için bağlanmasına izin veren kilit ve sırları olan tarayıcılara çerezleri yerleştirin. O zaman çerezlerin ömrü için kimlik bilgilerinizi eklemenize gerek yoktur. Bu nedenle OAuth, XML-RPC’den daha iyi, daha güvenli ve daha güçlüdür: temel olarak, hücresel uygulamalarınızın sitenize bağlı olması için şifrenizi internet üzerinden sıradan metinlerde paylaşmanız gerekmez. API Rest ekibi, birçok WordPress sitesinden birine bağlantılara izin verecek “” Kimlik Doğrulama Aracısı “üzerinde çalışıyor. WordPress Rest API’sını daha önce söylediğim gibi test etmek, API REST WordPress Core’a entegre edilmedi ve aylar olmayacak. Bugün, üretim dışı sitenizde oynamaya başlayabilirsiniz. Bunu yapmak için: Geri kalan API (ve bunun WordPress’i sonsuza dek nasıl değiştirebileceği) hakkında birkaç arka plan alın Tom Ewer.
Daniel Pataki makalesini dikkatlice okuyun, WordPress API’sini (ve başarıyla kullanan bir şirket) nasıl kullanılır.
Bir kimlik doğrulama komisyoncusu tanıtan Joe Hoyle’ın gönderisini okuyun.
WordPress.org adresinden en son API eklentisini indirin ve yükleyin
Nasıl çalıştığını öğrenmek için API REST belgeleri ile zaman ayırın.
OAuth V1 eklentisini GitHub’dan yükleyin.
GitHub’dan Kimlik Doğrulama Broker eklentisini yükleyin
Varsayılan bir komisyoncu ile bir uygulama oluşturun.
Bu arada, konfor/güvenlik rahatlığı konusunda kendi kararınızı vermelisiniz.
Siteniz için XML-RPC düşündünüz mü? Hiç XML-RPC ile ilgili güvenlik sorunları yaşadınız mı? Düşüncelerinizi aşağıdaki yorumlarda paylaşın.
Etiket:
WordPress Güvenliği