WordPress : Attaque brute force via le XML-RPC

La firme Sucuri rapporte que les blogs sous WordPress subissent une nouvelle variation de l’attaque brute force par XML-RPC. Cette attaque est très ancienne, mais cette fois, les pirates ont fait en sorte de déjouer les protections habituelles contre le DDoS et le brute force.



Worpress  supporte la norme XML-RPC depuis des années. Cette norme est infecté avec plusieurs failles de sécurité, car elle était conçu pour des communications avec des programmes tiers, mais c’est aussi une vraie passoire. Il y a quelques années, Sucuri avait rapporté une attaque XML-RPC sur WordPress qui lançait des centaines de milliers de requêtes sur les blogs WordPress. Le résultat était une saturation du serveur pendant des jours. Cette attaque était facile à deviner parce que des Parefeu Web peuvent détecter un pic de trafic qui se produit en un minimum de temps. On pouvait aussi bloquer l’accès du fichier XML-RPC dans le fichier .htaccess.

Cette fois, les chercheurs de Sucuri rapportent que les pirates utilisent une variation de cette attaque qui leur permet de lancer 20 à 50 attaques Brute Force au lieu des milliers habituels. Le résultat est que les plugins de sécurité de WordPress et les Anti DDoS ne détectent pas que c’est une attaque. Les chercheurs expliquent que le XML-RPC possède des failles qui permet aux pirates de lancer plusieurs méthodes avec une seule requête HTTP. En termes clairs, les pirates peuvent lancer des dizaines d’attaques pour deviner vos identifiants avec une seule requête HTTP.

On peut détecter cette attaque en analysant ses logs et en cherchant ce type d’entrée :

194.150.168.95 – – [07/Oct/2015:23:54:12 -0400] “POST /xmlrpc.php HTTP/1.1″ 200 14204 “-” “Mozilla/5.0 (; U; WinNT4.0; de-DE; rv:1.7.5) Gecko/20041108 Firefox/1

Le plugin Wordfence propose de nombreuses options pour bloquer ce type d’attaques. La meilleure est de lui dire de bloquer totalement l’accès au fichier XML-RPC.  Vous avez également le plugin Disable XML-RPC. Et ne prenez pas cette attaque à la lègère. Notre site en fait l’objet au début de septembre et cela a duré pendant plus de 15 jours.

Sucuri a mesuré l’amplification de l’attaque sur WordPress au fil des jours et le graphique parle de lui-même.

sucuri-attaque-xml-rpc-wordpress

La norme XML-RPC est utilisée par certains plugins, notamment Jetpack. Mais si vous n’utilisez pas ce plugin WordPress, alors vous pouvez désactiver XML-RPC sans aucun problème.

Mise à jour 12/10/2015 : Wordfence a annoncé que son plugin protège parfaitement contre cette attaque XML-RPC sur WordPress. Mais il vaut mieux activer toutes les protections dans les options, car l’annonce ne détaille pas l’option précise qui peut contrer l’attaque.

Source : Sucuri

N'oubliez pas de voter pour cet article !
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (No Ratings Yet)
Loading...

Houssen Moshinaly

Rédacteur en chef d'Actualité Houssenia Writing. Rédacteur web depuis 2009 et vulgarisateur scientifique.

Je m'intéresse à tous les sujets scientifiques allant de l'Archéologie à la Zoologie. Je ne suis pas un expert, mais j'essaie d'apporter mes avis éclairés sur de nombreux sujets scientifiques.

Pour me contacter personnellement :

5 réponses

  1. En quoi cette attaque sert-elle aux hackers ?

    • Marguerite dit :

      bonjour je me le demande? Beaucoup de personne créaient un blog juste pour l’échange…pour ma part je suis sur l’ancienne version de wordpress.com et je n’ai plus les couleurs d’écriture pour mes articles le A sur lequel avant je cliquais a disparu..

  2. joel-kayumba dit :

    comment puis-je contourne l’attaque??

  3. etopo dit :

    il existe des plugins efficaces pour éviter ces attaque?

  4. vitmox dit :

    il existe un moyen facile pour contourner ces attaques.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *