Sicherheit: Ist dein WordPress-Blog auch ein Teil eines DDOS-Netzwerkes?

Wordpress Sicherheitslücke XML-RPC SchnittstelleMeiner war es zumindestens. Nein, nicht hier der WebWorker.Club, sondern ein anderer Blog, um dem ich mich in der letzten Zeit nicht gekümmert habe. Die üble Konsequenz, er wurde wohl Teil eines DDOS-Angriffs auf bankofamerica.com. Damit dir das nicht auch passiert, lies dir am besten nachfolgenden Artikel durch.

XML-RPC-Schnittstelle – Fluch und Segen zugleich

Der ein oder andere von euch wird bestimmt schon einmal einen Trackback bzw. Ping genutzt und lieben gelernt haben. Trotz der Spammerproblematik, ist solch ein Trackback immer noch ein gutes Mittel um an weitere Besucher zu kommen, bzw. einfach einen anderen Seitenbetreiber zu informieren, dass man so eben auf einen seiner Artikel gelinkt hat. Das tolle daran, alles geht automatisch und man muss selbst gar nichts mehr machen, wenn die andere Seite ebenfalls WordPress nutzt. Zum Einsatz kommt hier bei eine XML-RPC API Funktion, wobei die XML-RPC-Schnittstelle seit WordPress 3.5 standardmäßig aktiviert ist.

Angreifer machen sich jetzt genau diese XML-RPC-Schnittstelle, bzw. die Ping-Funktion, zunutze. Und zwar schicken sie einen Fake-Pingback an die XML-RPC-Schnittstelle eines beliebigen Blogs und übergeben mit dem Pingback die URL der anzugreifenden Seite. Der eigene Blog wird nun seinerseits einen Request an die übergebene URL schicken, da er annimmt, genau von dieser ja den Aufruf bekommen zu haben. Macht der Angreifer das nun mit sehr vielen unterschiedlichen Blogs und wiederholt diese Aufrufe immer und immer wieder (“Pingback Botnet”), dann kann der dadurch entstehende Dauer-Traffic den Server der angegriffenen Website in die Knie zwingen. Man selbst merkt dabei gar nicht, dass man selber als Angreifer fungiert. Deshalb sollte man definit sich einmal einer der nachfolgenden Lösungen der XML-RPC-Problematik genauer anschauen.

Lösungen gegen die XML-RPC-Problematik bei WordPress

Je nach dem ob man (Pingbacks und Trackbacks) nutzt, gibt es verschiedene Lösungen. Die einfachste ist wohl das installieren eines Plugins. Wer das nicht möchte, der kann auch auf andere Methoden zurückgreifen.

Plugin installieren

Wer auf die XML-RPC-Schnittstelle angewiesen ist, weil man z.B. Plugins wie JetPac, Dienste wie Automattic oder Drittanwendungen für die Verwaltung des Blogs auf dem Smartphone verwendet, für den bietet sich die Installation eines Plugins an.

Ich nutze selbst Remove XMLRPC Pingback Ping und kann dieses nur weiterempfehlen. Wie immer existieren aber auch noch genügend andere Plugins.

XML-RPC-Schnittstelle deaktivieren/blockieren

Wer keinen Zugriff auf die XML-RPC-Schnittstelle benötigt und auch auf Pingbacks und Trackbacks verzichten kann, der kann das „offene Tor“ einfach schließen. Die naheliegenste Lösung wäre hier einfach das Löschen der xmlrpc.php-Datei im WordPress-Verzeichnis. Allerdings kann diese dann nach einem Update wieder auftauchen. Besser ist es, den Zugriff auf die Datei via htaccess zu verbieten.

Dafür fügt man einfach den nachfolgenden Code in die .htaccess-Datei ein:

Darüber hinaus würde ich zusätzlich noch in den WordPress-Optionen unter dem Menüpunkt: Diskussion den Haken bei „Erlaube Link-Benachrichtigungen von anderen Weblogs (Pingbacks und Trackbacks)“ entfernen.

Deine Meinung ist uns wichtig

*

Newsletter abonnieren (Jederzeit wieder abbestellbar)