一、概述

xmlrpc.php  是wordpress默认就有的一个离线发布模块,我们可以使用诸如windows live writer  之类的软件进行离线发布,在发布的过程中会验证wordpress帐号的密码,不管帐号密码正确失败,都会给予相应的回复。对于攻击者来说,这就是一个漏洞,因为他们知道每一次尝试登陆的结果,于是就可以无限制利用这个文件进行暴力密码破解,直到得到一次正确的返回——即尝试到了一个正确的账户密码。

二、攻击示例

默认情况下,xml-rpc  服务是开启的,判断是否开启可以在浏览器输入http://www.域名.cn/xmlrpc.php ,如果返回以下信息则表示该服务处于开启状态:

XML-RPC server accepts POST requests only.

如果功能处于开启状态,我们可以使用Postman 进行模拟攻击,请求文件为xmlrpc.php ,请求类型POST ,请求内容:

<?xml version="1.0" encoding="iso-8859-1"?>
<methodCall>
  <methodName>wp.getUsersBlogs</methodName>
  <params>
   <param><value>admin</value></param>
   <param><value>123456</value></param>
  </params>
</methodCall>

其中admin  和123456  是模拟登录的账户密码。

把请求发送出去,得到如下响应,很明显的告诉我们账户密码错误:

如果把发送数据的账号和密码信息修改成正确的,就会返回我们的博客基本信息:

利用这个漏洞,黑客很容易就能写个脚本,每秒请求N次,给服务器带来高额负载不说,从安全角度来讲,总有一天博客的账户和密码是会被爆破出来的,然后随之而来的是服务器被黑,网站被植入广告等等。

从nginx的日志信息中也是能发现很多来自这个文件的请求:

三、解决办法

1. 定期修改密码并设置高强度密码

定期修改密码是肯定必要的,而且最好设置高强度密码,可以使用mkpasswd 命令来生成密码,详见:linux使用mkpasswd生成密码

2. 关闭xmlrpc.php文件的访问

如果不需要用到这个功能的话,可以使用这个方法,在nginx中设置一下文件的访问权限。

3. 使用安全插件

可以使用WordFenceLogin Security Solution 等安全插件来解决。

wordfence太强大了,东西太多了,博客都有点承受不起,所以选了Login Security Solution。

使用方法详见:WP安全插件Login Security Solution

最后修改:2017 年 11 月 19 日
喜欢就给我点赞吧