Worpress supporte la norme XML-RPC depuis des années. Cette norme est infecté avec plusieurs failles de sécurité, car elle était conçu pour des communications avec des programmes tiers, mais c’est aussi une vraie passoire. Il y a quelques années, Sucuri avait rapporté une attaque XML-RPC sur WordPress qui lançait des centaines de milliers de requêtes sur les blogs WordPress. Le résultat était une saturation du serveur pendant des jours. Cette attaque était facile à deviner parce que des Parefeu Web peuvent détecter un pic de trafic qui se produit en un minimum de temps. On pouvait aussi bloquer l’accès du fichier XML-RPC dans le fichier .htaccess.
Si vous avez apprécié cet article, soutenez-moi sur Patreon ou Buy me a coffee Vous recevrez chaque semaine du contenu exclusif et des réponses à vos questions. Merci ! 😊
Cette fois, les chercheurs de Sucuri rapportent que les pirates utilisent une variation de cette attaque qui leur permet de lancer 20 à 50 attaques Brute Force au lieu des milliers habituels. Le résultat est que les plugins de sécurité de WordPress et les Anti DDoS ne détectent pas que c’est une attaque. Les chercheurs expliquent que le XML-RPC possède des failles qui permet aux pirates de lancer plusieurs méthodes avec une seule requête HTTP. En termes clairs, les pirates peuvent lancer des dizaines d’attaques pour deviner vos identifiants avec une seule requête HTTP.
On peut détecter cette attaque en analysant ses logs et en cherchant ce type d’entrée :
194.150.168.95 – – [07/Oct/2015:23:54:12 -0400] “POST /xmlrpc.php HTTP/1.1″ 200 14204 “-” “Mozilla/5.0 (Windows; U; WinNT4.0; de-DE; rv:1.7.5) Gecko/20041108 Firefox/1
Le plugin Wordfence propose de nombreuses options pour bloquer ce type d’attaques. La meilleure est de lui dire de bloquer totalement l’accès au fichier XML-RPC. Vous avez également le plugin Disable XML-RPC. Et ne prenez pas cette attaque à la lègère. Notre site en fait l’objet au début de septembre et cela a duré pendant plus de 15 jours.
Sucuri a mesuré l’amplification de l’attaque sur WordPress au fil des jours et le graphique parle de lui-même.
La norme XML-RPC est utilisée par certains plugins, notamment Jetpack. Mais si vous n’utilisez pas ce plugin WordPress, alors vous pouvez désactiver XML-RPC sans aucun problème.
Mise à jour 12/10/2015 : Wordfence a annoncé que son plugin protège parfaitement contre cette attaque XML-RPC sur WordPress. Mais il vaut mieux activer toutes les protections dans les options, car l’annonce ne détaille pas l’option précise qui peut contrer l’attaque.
Source : Sucuri
Si vous avez apprécié cet article, soutenez-moi sur Patreon ou Buy me a coffee Vous recevrez chaque semaine du contenu exclusif et des réponses à vos questions. Merci ! 😊