Snelle website Wordpress 4.7

Onze sucurity partner Sucuri blogde vorige week over hoe kwaadwillenden WordPress sites aanvallen door middel van een nieuwe manier van Brute Forcen. Namelijk via multicall requests. In deze post leggen we je uit wat er precies gaande is en wat jij kunt doen om je WordPress site te beschermen.

Wat is Brute Force ook alweer?

Wat is er anders aan deze vorm van Brute Force?

Bij een Brute Force aanval krijgt een website een heleboel requests tegelijkertijd te verwerken. Een request is het opvragen van een pagina waar je kunt inloggen bijvoorbeeld. Elk request probeert 1 wachtwoord uit. Er worden dan honderden, misschien wel duizenden, requests in enkele minuten gedaan, met als doel uiteindelijk je wachtwoord te raden en toegang tot je site te krijgen.

De manier waarop de Brute Force aanval op xmlrpc.php wordt uitgevoerd zit anders in elkaar. In plaats van honderden requests met elk 1 wachtwoord, wordt er 1 request gedaan waarin honderden wachtwoorden worden uitgeprobeerd. Dit principe wordt multicall requests genoemd.

De xmlrpc.php functionaliteit is een onderdeel van je WordPress site dat gebruikt wordt om externe koppelingen en of andere tools met WordPress te laten werken. Om zo bijvoorbeeld vanuit een andere applicatie een comment of een blog aan te maken op een WordPress site.

Wat is het probleem?

Kwaadwillenden misbruiken een kwetsbaarheid in een WordPress onderdeel genaamd xmlrpc.php. Door middel van 1 request (waar dat normaal gesproken tientallen zijn) kan een kwaadwillend persoon duizenden wachtwoorden vergelijken met de jouwe. Deze manier van Brute Forcen is moeilijk te detecteren, en hierdoor kunnen onze ‘normale’ maatregelen helaas niet veel uithalen.

Hoe bescherm ik mijzelf hiertegen?

Als je de xmlrpc.php functionaliteit verder niet gebruikt dan is het makkelijk jezelf hiertegen te beschermen. Zorg ervoor dat niemand xmlrpc.php kan aanroepen en je bent veilig tegen deze aanval.

Ervoor zorgen dat niemand de functionaliteit kan aanroepen, kan door in de .htaccess van je site te voorkomen dat dit deze api aangeroepen kan worden. Doe dit met het volgende snippet:

 

<FilesMatch "xmlrpc\.php$">
order deny,allow
deny from all
</FilesMatch>

 

Als je xmlrpc.php wel gebruikt, kun je het beste een whitelist opstellen. In een whitelist neem je de IP-adressen op die toegang mogen hebben tot XML-RPC en sluit je kwaadwilligen uit. Het opstellen van een whitelist doe je ook in je .htacces met het volgende snippet:
<FilesMatch "xmlrpc\.php$">
order deny,allow
deny from all
allow from 1.2.3.4
allow from 2.3.4.5
</FilesMatch>

 

 

Waar je 1.2.3.4 en 2.3.4.5 ziet staan zet je de IP-adressen die je toegang wilt geven tot xmlrpc.php.

Hulp nodig?

Wil je hier graag hulp bij, of geef je het liever uit handen? Op onze site vind je veel partnerbedrijven die je kunnen helpen: byte.nl/partners.

 

Scan je eigen Magento shop op veiligheidslekken