WordPress’te xml-rpc açığı var!

Uzun zamandır sitem xml-rpc üzerinden ddos ve brute force saldırısına maruz kalıyordu. Son zamanlarda sitedeki gereksiz hit artışı ve kullandığım ithemes security eklentisi sayesinde bu durumu tespit ettim. Adamlar meğersem kaç zamandır bu açık üzerinden sürekli siteye sorgu göndererek şifremi bulmaya çalışıyorlarmış.

Hepimiz yıllardır WordPress altyapılı sistemler kullansak da bir çoğumuz bu dosyanın varlığından bile haberdar değil. En azından FTP üzerinde görüp geçtiğimiz dosyalardan bir tanesi. Ancak kendini kötülüğe adamış insanlarda var  bu hayatta ve en ufak açığınızdan yararlanmaya çalışıyor bu kan emiciler.

“Xml-rpc nedir?” sorusuna cevap vereyim önce. Sitenizdeki xmlrpc.php dosyasına birçok sorgu göndererek yapılan ddos saldırısı diyebiliriz. WordPress ve Blogger sistemlerini kullanan çoğu site sahibinin bildiği bir kelime vardır, Pingback. Yazılarımız bir yerlerde linklenmişse veya kopyalanırken linkleme kaldırılmamışsa hemen haber alırız panel üzerinden. Pingback bunun için vardır ve bizler için önemli bir özelliktir diyebilirim. Ama yapılan bu saldırı ile pingback özelliği kötüye kullanılmış oluyor.

Bu saldırıyla gerçekleşen girişler Google analitik üzerinden görünmüyor. Yani sitenize bir giriş var, sürekli farklı ip ile denemeler yapılıyor fakat bu hit olarak görünmüyor analitikte. Sadece WordPress statistics tarzı kendi hit takip eklentileri ile fark edebiliyoruz. Ben farkettikten sonra direk olarak ithemes security eklentisini kurdum ve günlük detaylı olarak yapılan saldırıları takip ettim. O yüzden bu eklenti saldırıları takip için çok önem taşıyor. Haberiniz dışında değiştirilen dosyaları, başarısız kullanıcı girişleri ve bu tarz saldırıları direk olarak gösteriyor.

Saldırı direkt olarak siteye girişi etkilemese de bağlı bulunduğunuz hostun özelliklerini tüketerek zorlamaya başlıyor. CPU yüksek oranda kullanılıyor kısacası. Ondan sonra siteye girişler yavaşlamaya başlıyor. Bu açığın adını bile bilmeyen biri sitenin neden yavaşladığını bir türlü bulamıyor. Forumlarda yardım istese de yardım istediği kişilerin bilgileri de ondan farksız değil. Eklenti veya tema değiştir tavsiyeleriyle kaybolup gidiyor konuları.

Direkt ddos saldırısı dışında bir de wp-login.php dosyasına sorgular gönderip brute force taktiği ile şifremizi bulmaya çalışanlar var. Yine CPU tüketimi ve yine sitenin yavaşlamasıyla kendini gösteriyor. Girişlere limit koysanız bile saldırı sürekli olduğu için kendiniz bile panele giremiyorsunuz limiti aştınız uyarısından dolayı. Sürekli farklı ip ile denemeler yapılmasıyla limit koymamızın anlamı bitmiş oluyor. Bir IP engellemişken diğer ip geçiş ile tekrar denemeye devam edebiliyorlar. Benim yaşadığım saldırı tam da bu.

Bu saldırıyı nasıl durdururuz?

Çok yol var. Kimi eklenti kurun diyor kimi komut çalıştır diyor. Ancak en kesin ve kısa yol .htaccess dosyasına ufak kod eklemek. Bu dosyayı cpanel üzerindeki dosya yöneticisi ile göremezsiniz. Mutlaka FTP programı kullanmanız gerekiyor. Hiç kullanmayan veya alternatif arayanlar için sürekli kullandığım Cute FTP programını tavsiye ederim.

<files xmlrpc.php>
order allow,deny
deny from all
</files>

Bu kodu kullanmaya başladıktan sonra “siten.com/xmlrpc.php” girdiğinizde 403 sayfası veya hata mesajı tarzında bir ekran gelecektir karşınıza. Sorun kökten çözülmüş olur.

Sitemde xml-rpc açığı olduğunu nasıl anlarım?

İlk olarak “siten.com/xmlrpc.php” giriyorsun. Eğer çıkan ekranda “XML-RPC server accepts POST requests only.” yazıyorsa sitenizde bu açık vardır. Her an saldırı yiyebilir ve hatta şuan bile saldırı altında olabilirsiniz ve bu durumdan haberiniz bile yoktur. Basit şifreniz var ise kısa sürede sitenizi ele geçirmeleri mümkün olacaktır.