XML-RPC als Schwachstelle
Es ist nicht das erste mal, dass XML-RPC Probleme bereitet, doch diesmal ist das Risiko gehackt zu werden wieder erschreckend groß. Aktuell meldet das Sicherheitsunternehmen Sucuri nämlich massive Brute-Force-Attacken mittels XML-RPC. Die xmlrpc.php ist seit Wordpress 3.5 dauerhaft aktiviert, zuvor musste sie separat aktiviert werden (die guten alten Zeiten). Das sorgte damals schon für Kritik und daran erinnere ich mich auch heute wieder.
500 Loginversuche pro Anfrage
Derzeit wird nämlich ein system.multicall genutzt, um mittels XML-RPC Brute-Force-Attacken auf den Login von Wordpress zu erzeugen. Das gipfelt damit, dass pro Anfrage (!) bis zu 500 Loginversuche gestartet werden können. Nochmal: Mit nur einem einzigen HTTP Request, kann quasi 500 mal ein Loginversuch stattfinden. Brute-Force bedeutet dabei, dass per Zufall typische Passwörter bzw. Passwortlisten durchprobiert werden. Weil extrem viele Zugriffe erfolgen, ist die Chance groß einen Account zu erwischen, der ein unsicheres, oder typisches Passwort verwendet.
XML-RPC schnell deaktivieren
Wer Plugins wie Jetpack nutzt (setzt lieber auf Alternativen), hat jetzt natürlich ein Problem, denn Jetpack setzt zwingend XML-RPC voraus. Allen anderen habe ich schon mehr als einmal empfohlen XML-RPC komplett zu deaktivieren. Ansonsten empfehle ich auch immer gerne die Erweiterung NinjaFirewall. Das Wordpress Plugin wehrt effektiv Attacken ab und bringt eine Funktion zur Deaktivierung von XML-RPC mit.
Mein persönlicher Eindruck
Persönlich kann ich sagen, dass euch deutsche Blogger durchaus betroffen sein dürften. In meinen Logs gibt es derzeit, trotz deaktivierter XML-RPC und anderen Sicherheitsregeln, massive Angriffe, die zwar alle erfolgreich geblockt werden, die aber darauf schließen lassen, dass derzeit wieder viele Hackversuche im Gange sind. Selbst wenn ihr XML-RPC also nutzt, solltet ihr es zumindest zeitweise deaktivieren. Vorsorge ist schließlich besser als Nachsorge.
