Vanochtend werd ik gemaild door Francien. Ik host haar WordPress website en neem het beheer in eerste lijn voor mijn rekening. Dit weekend had ze erg veel mislukte login-pogingen gehad. De meldingen in haar mailbox werden verstuurd door de veiligheidsplug-ins. Aan mij om uit te zoeken wat er aan de hand is en het antwoord te geven op de vraag: Wat is XMLRPC?
Als ik de software erbij pak dan zie ik dat de pogingen tot stand zijn gekomen via een standaard kwetsbaarheid het Xmlrpc.php; een functie waarmee je op afstand het beheer over je website kunt overnemen via HTTP-protocol als je geen toegang hebt tot je computer. Deze functie is tegenwoordig echter eerder een vloek dan een aanwinst.
Twee methodes om XMLRPC uit te zetten
Er zijn in ieder geval twee manieren om de kwetsbare XMLRPC functie uit te zetten:
- Via een plug-in
- Via een aanpassing in het HTACCESS bestand.
Voor welke keuze gaan wij denk je? Ja, natuurlijk, kiezen wij voor een simpele en snelle aanpassing in het HTACCESS bestand want onnodige plug-ins – kwetsbaarheden – willen wij niet! Ik vertel je hier dus niet eens welke plug-in je zou kunnen gebruiken :)
Wil je weten hoe je het HTACCESS bestand aanpast?
Open het HTACCESS bestand via de filemanager (meestal te vinden in de rootdirectory) vanuit je beheerapplicatie. In ons geval is dat DirectAdmin.
Plak hierin de volgende code:
# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow deny from all allow from xxx.xxx.xxx.xxx </Files>
Belangrijk: wil je de functie niet 100% uitschakelen maar open houden voor beheer vanaf een of meerdere specifieke (vaste) IP-adressen dan kun je via de ‘allow‘ regel de adressen toevoegen. Vind je dit niet nodig dan kun je de hele regel laten vervallen.
Bedankt voor je tijd en happy edit.
Dit is een samenvatting en bewerking. Lees het oorspronkelijke en complete bericht hier.
