DDoS-Attacken via XML-RPC

Inhaltsverzeichnis

Wordpress infiziert

Die Firma Sucuri sorgt derzeit für einen Wirbel unter Wordpress-Nutzern, denn mittlerweile sind bereits über 162.000 Blogs infiziert. Womit? Das klären wir später, denn die Geschichte beginnt ganz woanders. Sucuri bekam den Hilferuf einer größeren Website, die unter DDoS-Attacken litt. DDoS (Distributed Denial of Service Attack) ist im Grunde ein lahmlegen der Server, indem tausende Bots gleichzeitig auf eine Website zugreifen, deren Cache umgehen und den Hoster damit an seine absolute Grenze bringen. Websites sind dann nur noch extrem langsam oder gar nicht mehr erreichbar.

Das interessante an der zuvor erwähnten DDoS-Attacke die Sucuri untersuchte war aber etwas anderes, denn die Attacke kam von verschiedenen Blogs auf Basis von Wordpress. Nun testete und analysierte Sucuri wieder und fand heraus, dass die Attacken von vollkommen legitimen und harmlosen Blogs stammen. Es handelt sich also nicht um ein eigenes DDoS-Netzwerk, sondern um mehr oder weniger gehackte Websites auf Basis von Wordpress, die im Stillen so manipuliert wurden, dass sie als Angreifer dienten. Doch wie ist das möglich?

XML-RPC Schwachstelle

Sagen wir mal so: Ihr erinnert euch doch bestimmt noch an meinen Beitrag zum Thema XML-RPC, oder etwa nicht? Seit Wordpress 3.5 ist die Schnittstelle nämlich nicht mehr optional verfügbar, sondern automatisch aktiviert. Ein deaktivieren schien erst einfach, stellte sich dann aber doch als etwas umständlicher heraus. Jetzt ist klar: Die Deaktivierung macht viel Sinn, denn die DDoS-Attacken die Sucuri untersuchte, wurden alle auf Basis eines einfachen XML Pingbacks gestartet. Eine einfache Anfrage an die XML-RPC also, die katastrophale Auswirkungen hat. Schon damals als Wordpress 3.5 veröffentlicht wurde hatte ich bereits genau solche Sicherheitsbedenken geäußert. Jetzt ist genau diese Schnittstelle Schuld an DDoS-Attacken.

Snippet gegen DDoS

Das Problem ist nun, dass der Fall im Detail durchaus bekannt ist. Es ist einer dieser Fehler die schon wieder als Feature gelten, weil auch viele Plugins darauf zurückgreifen. Abhilfe schafft im Grunde nur ein deaktivieren der XML-RPC Schnittstelle. Das Problem dabei: Wie schon erwähnt nutzen eben auch einige Plugins XML-RPC und brauchen die Schnittstelle, um letztendlich korrekt zu funktionieren. Alternativ kann folgendes Snippet helfen, wobei ich persönlich nach wie vor für eine vollständige Deaktivierung bin. Wie das geht, erfahrt ihr hier.

Folgendes in die Functions.php eures Themes kopieren:

add_filter( ‘xmlrpc_methods’, function( $methods ) {
   unset( $methods['pingback.ping'] );
   return $methods;
} );

Abschalten als Vorsorge

Bei Sucuri könnt ihr eure Website übrigens auch testen lassen. Einfach die eigene URL angeben und schon prüft das Formular ob ihr ebenfalls betroffen seid bzw. ob eure Website auch andere attackiert und damit irgendwie am Ende mitverantwortlich ist. XML-RPC deaktivieren hilft allerdings immer noch am besten und auch meine 8 Schritte zur Wordpress-Sicherheit dürften jetzt wieder von größerem Interesse sein. In diesem Sinne wünsche ich euch einen schönen Tag und hoffe, dass ihr mit eurer Website niemals von solch einem Mist betroffen seid.

Christian Pust
WordPress & Onlinemarketing Experte mit über 15 Jahren Erfahrung. Entwickler & CEO von Trackboxx – der Google Analytics Alternative.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Das könnte dich auch interessieren

Du benötigst Unterstützung bei deinem WordPress Projekt?

Dein Ansprechpartner
Christian