wp.getUsersBlogs Brute Force-Angriff / Schwachstelle in XMLRPC

Nach dem Feiertagswochenende hatte einer der größeren Standorte, die ich betreue, einen Brute-Force-Angriff darauf. Der Angreifer versuchte, die function wp.getUsersBlogs und eine Liste beliebter Benutzernamen und Kennwörter zu verwenden. Eine kurze Recherche zeigt mir, dass diese function nach einem erfolgreichen Versuch zurückkehren wird, egal ob der Benutzer ein Administrator ist oder nicht.

Ich verwende das IP-Blacklist-Cloud-Plugin als Teil meiner Sicherheit, damit es den Angriff protokolliert, aber da diese Angriffsmethode nicht die normale Login-Methode verwendet, findet keine tatsächliche Blacklisting statt. Was sowieso nicht weiterhilft, da der Angreifer nach jedem einzelnen Versuch eine neue IP (bisher über 15.000 IPs) verwendet hat (20.000+ für einen zweiten Angriff).

Ich habe ein Plugin gefunden, das die XML-RPC (API) vollständig deaktiviert, aber ich bin mir nicht sicher, dass das nicht zu anderen Problemen führen wird. Dies ist eine Live-Website für eine lokale Gemeinde, daher kann ich es mir nicht leisten, sehr viel zu experimentieren.

Hier ist ein Beispiel dafür, was in der IP Blacklist Cloud geloggt wurde:

“1.0” encoding = “iso-8859-1”?> Wp.getUsersBlogsusername password

Wo Benutzername Passwort wird durch etwas aus einer riesigen Liste von beliebten Benutzernamen und Passwörter ersetzt.

Der Angriff scheint an Popularität zu gewinnen, also hoffe ich, dass sich daraus weitere Lösungen ergeben.

Aktualisierung 20140728:

Eine weitere Seite von mir hat am Wochenende Opfer dieses Angriffs geworden. Bis jetzt haben starke Kennwörter mich sicher gehalten, aber andere sind vielleicht nicht so glücklich. Ich versuche die oben erwähnte Lösung, da es die beste zu sein scheint, die ich bisher gefunden habe.

Links zu mehr Forschung:

API für WordPress XML RPC http://codex.wordpress.org/XML-RPC_WordPress_API

Least intrusive Lösung so weit http://www.cryptobells.com/more-wordpress-xmlrpc-brute-force-attacks/

WordPress-Support-Forum http://wordpress.org/support/topic/recent-new-xmlrpcphp-brute-force-password-guessing-attack-details

Solutions Collecting From Web of "wp.getUsersBlogs Brute Force-Angriff / Schwachstelle in XMLRPC"

Dies ist die spezifischste Lösung, die ich finden konnte, da sie nur die einzelne function deaktiviert, die angegriffen wird.

functionen.php:

 function Remove_Unneeded_XMLRPC( $methods ) { unset( $methods['wp.getUsersBlogs'] ); return $methods; } add_filter( 'xmlrpc_methods', 'Remove_Unneeded_XMLRPC' ); 

fand dies unter: http://www.cryptobells.com/more-wordpress-xmlrpc-brute-force-attacks/

Für eine breitere Lösung gibt es ein WordPress-Plugin namens “Disable XML-RPC”, das genau das tut, deaktiviert die gesamte XML-RPC-functionalität.

Ich habe dasselbe Problem für das Hacken meiner WordPress-Websites. Dann habe ich einen neuen Benutzer für den Administrator-Zugang erstellt und den Standard-Admin-Benutzer gelöscht. Dann habe ich unter Plugin installiert und es ist erforderlich Einstellung. iThemes Sicherheit Wordfence

Lass es mich wissen, wenn du Fragen hast.

Vielen Dank