09 Oktober 2015 ~ Autor: Tobias Karnetzke

XML-RPC Brute-Force Angriffe auf WordPress Installationen

Die WordPress Spezialisten

Aktuell gibt es eine regelrechte Angriffswelle auf WordPress Installationen, die sich über die XML-RPC Schnittstelle ereignen. Wer die Schnittstelle nicht braucht, sollte diese vorsichtshalber deaktivieren.

Brute-Force Methode

Die Sicherheitsspezialisten von SUCURI berichten, dass es aktuell vermehrt zu Brute-Force Angriffen auf WordPress Installationen über die XML-RPC Schnittstelle kommt. Bei solch einem Angriff wird normalerweise pro Anfrage eine Benutzer + Passwort Kombination ausprobiert. Dies geschieht solange, bis der Angreifer so viele Kombinationen ausprobiert hat, bis er Zugang erlangt hat.

Das XML-RPC Problem

Das Problem bei der aktuellen Angriffswelle ist, dass die Angriffe über die XML-RPC Schnittstelle erfolgen: XML-RPC ermöglicht entfernte Funktionsaufrufe über das HTTP-Protokoll. Das nutzen bei WordPress verschiedene Plugins oder Tools wie der Windows-Live-Writer.  Ein Funktion von XML-RPC ist es, dass man die system.multicall Methode verwenden kann. Diese ermöglicht es, mit einer einzigen HTTP-Abfrage mehrere Befehle auszuführen. Bei den aktuellen Angriffen bedeutet das, dass die Angreifer mit einer Abfrage 100, 200 oder tausende Zugangskombinationen ausprobieren können. Dadurch steigt die Wahrscheinlichkeit einen Zugang zu knacken extrem.

Ich empfehle daher allen Nutzern die Deaktivierung der XML-RPC-Schnittstelle, wenn diese nicht unbedingt gebraucht wird. 

So schützen Sie Ihre WordPress Installation vor Angriffen über die XML RPC Schnittstelle:

Integriere folgenden Befehl in die functions.php Datei von deinem aktiven Theme:

add_filter('xmlrpc_enabled', '__return_false');

Integriere folgende Zeilen in deine .htaccess Datei im Rootverzeichnis deiner Installation:

# Start XML-RPC Sicherheit
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
# Ende XML-RPC Sicherheit

Zudem möchte ich darauf hinweisen, dass die Verwendung eines individuellen Benutzernamens (bitte nicht admin, administrator etc) und eines sehr starken Passworts die Sicherheit bereits stark verbessert. Siehe Artikel Benutzername und Passwort als Sicherheitsrisiko bei der Authentifizierung. Auch hier findest du einige weitere Tipps zur Verbesserung der WordPress Sicherheit.


Der Blogmal WordPress-Newsletter

Der Blogmal WordPress Newsletter Interessante Artikel, Tipps und Tricks aus der WordPress-Szene: Abonniere den Newsletter und erhalte zukünftig aktuelle Informationen rund um WordPress und die Bloggerwelt direkt per E-Mail:

2 Kommentare zu “XML-RPC Brute-Force Angriffe auf WordPress Installationen”

  1. Praetor 9 Oktober 2015 at 13:27 Permalink

    Das Abschalten der XML-RPC-Schnittstelle führt allerdings auch dazu, dass z.b. die WP-Apps nicht mehr funktionieren. Daher bietet es sich (außer einem starken Password und einem Nicht-„admin“-Usernamen) als Alternative,

    – entweder ein Limit-Login-Plugin einzusetzen, das auch die XML-RPC-Schnittstelle überwacht und den Zugang nach einer bestimmten Anzahl von Fehlversuchen für eine bestimmte Zeit für die angreifende IP-Adresse sperrt, oder aber

    – die XML-RPC-Schnittstelle (genauso wie wp-login.php) mittels .htaccess mit einem zusätzlichen Benutzer/Password-Kombination abzusichern. Hier werden die Angreifer bereits auf der Ebene des Webservers, ohne jegliche Datenbankabfrage etc, abgefangen. Das senkt die Belastung für den Server, zieht eine zusätzliche Sicherungsebene ein und auch die WP-Apps (für Android oder iOS) können damit umgehen.

  2. Blogaufbau.de 9 Dezember 2015 at 23:24 Permalink

    Vielen Dank für den nützlichen Hinweis, Herr Karnetzke und danke für die Ergänzung Praetor!


Kommentieren

Der Autor

Erfolgreich BloggenMein Name ist Tobias Karnetzke, ich bin Blogger aus Leidenschaft und seit 2004 selbständiger Programmierer und Webentwickler.

Über Blogmal

Auf Blogmal schreibe ich über meine langjährige Erfahrung als Webentwickler, WordPress Spezialist und Blogger. Diese Erfahrungen möchte ich gerne teilen und mit euch diskutieren, wie man einen Blog verbessern und erfolgreicher machen kann.