wp.getUsersBlogs XMLRPC Ataque de fuerza bruta / vulnerabilidad

Después del fin de semana festivo, uno de los sitios más grandes que administro tuvo un ataque de fuerza bruta contra él. El atacante intentaba usar la función wp.getUsersBlogs y una lista de nombres de usuario y contraseñas populares. Un poco de investigación me muestra que después de un bash exitoso, esta función devolverá si el usuario es o no un administrador.

Utilizo el complemento de la lista negra IP Cloud como parte de mi seguridad para que se registre el ataque, pero debido a que este método de ataque no utiliza el método de inicio de sesión normal, no aparece la lista negra real. Lo cual no es probable que ayude de todos modos, porque después de cada bash, el atacante usó una nueva IP (un total de más de 15000 IP hasta el momento) (20,000+ para un segundo ataque).

Encontré un complemento que deshabilita completamente el XML-RPC (API), pero no estoy seguro de que no cause otros problemas. Este es un sitio web en vivo para un municipio local, por lo que no puedo permitirme experimentar mucho.

aquí hay un ejemplo de lo que se conectó a la Nube de lista negra de IP:

“1.0” encoding = “iso-8859-1”?> Wp.getUsersBlogsusernamepassword

Donde usernamepassword será reemplazado por algo de una lista gigante de nombres de usuario y contraseñas populares.

El ataque parece estar ganando popularidad, así que espero que genere algunas soluciones más.

Actualización 20140728:

Un sitio más mío fue víctima de este ataque durante el fin de semana. Hasta ahora, las contraseñas seguras me han mantenido a salvo, pero otras pueden no ser tan afortunadas. Estoy probando la solución mencionada, ya que parece ser la mejor que he encontrado hasta ahora.

Enlaces a más investigaciones:

API para WordPress XML RPC http://codex.wordpress.org/XML-RPC_WordPress_API

Solución menos intrusiva hasta ahora http://www.cryptobells.com/more-wordpress-xmlrpc-brute-force-attacks/

Foro de soporte de WordPress http://wordpress.org/support/topic/recent-new-xmlrpcphp-brute-force-password-guessing-attack-details

Solutions Collecting From Web of "wp.getUsersBlogs XMLRPC Ataque de fuerza bruta / vulnerabilidad"

Esta es la solución más específica que pude encontrar ya que deshabilita solo la única función atacada.

functions.php:

 function Remove_Unneeded_XMLRPC( $methods ) { unset( $methods['wp.getUsersBlogs'] ); return $methods; } add_filter( 'xmlrpc_methods', 'Remove_Unneeded_XMLRPC' ); 

encontrado esto en: http://www.cryptobells.com/more-wordpress-xmlrpc-brute-force-attacks/

Para una solución más amplia, hay un complemento de WordPress llamado “Disable XML-RPC” que hace precisamente eso, deshabilita toda la funcionalidad de XML-RPC.

Tengo el mismo problema para hackear mis sitios web de wordpress. Entonces tengo crear un nuevo usuario para el acceso de administrador y eliminar el usuario administrador predeterminado. Luego, he instalado el complemento a continuación y hago su configuración requerida. iThemes Security Wordfence

Avísame si tienes alguna consulta.

Gracias