Merhabalar, kendi sitemde uzun bir süredir isteklere ait loglama yapıyorum. Sürekli olarak saldırı denemeleri yapan bir grup şahıs olduğunu fark ettim.
Telegram botlarıyla bile bu saldırılar yapılabilmektedir.
WordPress kullanan arkadaşların önlem almaları amacıyla bu konuyu açmayı düşündüm.

Siteme denenmiş yöntemleri kötü niyetli kişiler nedeniyle açık açık paylaşamıyorum maalesef.


Bu istek türü, WordPress’in XML-RPC API’sini kullanarak uzaktan yeni yazı ekleme girişimidir. Saldırgan botlar, xmlrpc.php'nin açık olup olmadığını test ederek:
  • Kullanıcı adı/parola tahmini,
  • Brute-force login,
  • Uzaktan yayın oluşturma,
  • Spam içerik ekleme
gibi işlemleri otomatik şekilde deniyor.


Saldırıda kullanılan parametrelerden bazıları:
  • metaWeblog.newPost
  • Sahte kullanıcı adı/şifre denemeleri
  • Rasgele hex içerik (0xe4266800 gibi)
  • Genelde Cloudflare / proxy IP’leri
Bu isteklerin çoğu Pakistan, Hindistan, Rusya ve IPv6 kaynaklı botnet IP'lerinden geliyor.


XML-RPC, WordPress’in tüm sürümlerinde varsayılan olarak açıktır.


(1.x, 2.x, 3.x, 4.x, 5.x, 6.x / hâlâ devam ediyor.)


WordPress Kullanıyorsanız Mutlaka Önlem Alın

Aşağıdaki ayarlardan en az birini yapmanız şiddetle tavsiye edilir:

1. xmlrpc.php dosyasını tamamen kapatın


Nginx:
location = /xmlrpc.php {
    deny all;
    return 403;
}
Apache (.htaccess):
<Files "xmlrpc.php">
Order Allow,Deny
Deny from all </Files>

2. Cloudflare Kullanıyorsanız Basit Bir Firewall Rule Ekleyin


Field: URI Full
Operator: contains
Value: /xmlrpc.php
→ Action: Block

3. Jetpack, Mobil App veya Remote Publishing Kullanmıyorsanız XML-RPC’ye İhtiyacınız Yok


%99 site için gereksizdir. Kapatmak en iyi çözümdür.

4. Güvenlik Eklentisi Kullanın

  • Wordfence
  • iThemes Security
  • Sucuri Security
Bu eklentiler XML-RPC brute-force saldırılarını otomatik engeller.

Bu Saldırı Başarılı Olursa Ne Olabilir?
  • Sitenize siz fark etmeden yazı eklenebilir
  • SEO spam içerikleri yüklenebilir
  • Backdoor dosyalar yüklenebilir
  • Yönetici hesabı brute-force ile ele geçirilebilir
  • Hosting IP’niz spam listelerine girebilir
Özellikle Türkiye’deki WordPress sitelerine bu yöntemle yoğun şekilde saldırı yapılıyor.

Eğer WordPress kullanıyorsanız xmlrpc.php dosyasını tamamen kapatmanız önerilir.
Bu dosya aktif kaldığı sürece botlar tarafından sürekli hedef alınacaktır.