WordPress (WP) lisaturve ver.2

Viimasel ajal on muutunud aktuaalseks ka WordPress platvormide DDos ja muud ründed. Siia teema alla üritan kokku koguda soovitusi ja nõuandeid täiendavaks turbeks.

1. WP API XML-RPC “ärakasutamine”


Viimasel ajal on näha olnud kasvavat trendi WP blogide ärakasutamisega pahalaste poolt, kus WP API XML-RPC funktsionaalsust kasutatakse teiste lehtede DDos rünnakutes. Samuti on selle kohta, peale suurimate rahvusvaheliste organisatsioonide, hoiatuse välja andnud ka CERT Eesti.

Mida see fail teeb ja kas ma kasutan seda?
Seda küsides on 95% tõenäosus et te seda faili ei kasuta!
Antud faili tavakasutus on:
– Blogisse otsepostituse tegemine üle lisatarkvara
– Blogisse otsepostituse tegemine üle mailirakenduse
– Trackback ja pingbackide saamine oma blogisse teistelt blogidelt (NB! Kasutatakse samuti kurjasti pahalaste poolt)
WP API XML-RPC funktsionaalsusest on räägitud lühidalt ka WP dokumentatsioonis SIIN

Mida ma saaksin ette võtta et minu blogi kurjasti ei kasutataks antud funktsionaalsusega?
1. Võite faili kustutada või ümber nimetada (kui te seda ei vaja)
NB! Kustutamisel tuleb veenduda et ei tekiks hunnikus “404 – Page not found” erroreid – selleks rakendage kindlasti ka järgmine punkt!
2. WP disainis linkide eemaldamine xmlrpc.php ja wlwmanifest.xml failidele
Selleks leidke serverilt hetkel kasutuses oleva WP kujunduse kaustast fail functions.php ja lisage sinna:

function removeHeadLinks() {
	remove_action('wp_head', 'rsd_link');
	remove_action('wp_head', 'wlwmanifest_link');
}
add_action('init', 'removeHeadLinks');

Antud lisa eemaldab lehe päisest lingid eelmainitud failidele.
NB! Peale lisamist veenduge kindlasti et nö. kaugpostitusfunktsioon tõesti ei toimi üle antud API.
3. Eemaldage “kaugpostitus” võimalus WP seadetest.
Seda eemaldades veendute et pahalased ei saaks DDos’i teha, kuid pingback ja trackback funktsionaalsus jääb alles
Update: Uutes WP versioonides antud võimalust eemaldada kahjuks automaatselt ei saa – Siinkohal soovitaks WP lisa, mis on leitav SIIT
4. Eemaldada lehelt XML-RPC failide skännimisvõimaluse
Selleks võiks lehe juurikasse .htaccess faili lisada koodi:

<IfModule mod_alias.c>
RedirectMatch 301 /(.*)/xmlrpc\.php$ http://domain.tld/xmlrpc.php
</IfModule>

Kus domain.tld asendage oma domeeniga. Antud muudatus ei lase pahalastel teie lehte “üle ujutada” päringutega otsimaks xmlrpc.php faili suvalistest kohtadest, saades tagasi kogu aeg 404 veateate.
5. Jätta alles xmlrpc.php fail kuid keelata sellele ligipääs
Selleks on 2 võimalust:

<IfModule mod_alias.c>
RedirectMatch 403 /(.*)/xmlrpc\.php$
</IfModule>

Antud muudatus suunab kõik antud faili päringud veebilehe avalehele

<Files xmlrpc.php >
AuthType Basic
AuthUserFile /home/rXXXXXXX/domains/XXXXXX/.htpasswd/public_html/salastatud_kaust/.htpasswd
AuthName "Salastatud fail"
require valid-user
</Files>

Eelnevalt peaks teil olema kaitstud mingi kaust ning antud kausta .htpasswd faili kasutades saabki piirata xmlrpc.php kasutuse lisaaudentimis filtriga (NB! Vajalikud pathid ja tekstid soovitame enda omadega asendada.)

Kasutatud allikad:

The xmlrpc.php File and Site Security by Jeff Starr

Comments are currently closed.