Merhabalar, kendi sitemde uzun bir süredir isteklere ait loglama yapıyorum. Sürekli olarak saldırı denemeleri yapan bir grup şahıs olduğunu fark ettim.
Telegram botlarıyla bile bu saldırılar yapılabilmektedir.
WordPress kullanan arkadaşların önlem almaları amacıyla bu konuyu açmayı düşündüm.
Siteme denenmiş yöntemleri kötü niyetli kişiler nedeniyle açık açık paylaşamıyorum maalesef.
Bu istek türü, WordPressin XML-RPC APIsini kullanarak
uzaktan yeni yazı ekleme girişimidir. Saldırgan botlar, xmlrpc.php'nin açık olup olmadığını test ederek:
- Kullanıcı adı/parola tahmini,
- Brute-force login,
- Uzaktan yayın oluşturma,
- Spam içerik ekleme
gibi işlemleri otomatik şekilde deniyor.
Saldırıda kullanılan parametrelerden bazıları:
- metaWeblog.newPost
- Sahte kullanıcı adı/şifre denemeleri
- Rasgele hex içerik (0xe4266800 gibi)
- Genelde Cloudflare / proxy IPleri
Bu isteklerin çoğu
Pakistan, Hindistan, Rusya ve IPv6 kaynaklı botnet IP'lerinden geliyor.
XML-RPC, WordPressin tüm sürümlerinde varsayılan olarak açıktır.
(1.x, 2.x, 3.x, 4.x, 5.x, 6.x / hâlâ devam ediyor.)
WordPress Kullanıyorsanız Mutlaka Önlem Alın
Aşağıdaki ayarlardan en az birini yapmanız şiddetle tavsiye edilir:
1. xmlrpc.php dosyasını tamamen kapatın
Nginx: location = /xmlrpc.php {
deny all;
return 403;
}Apache (.htaccess): <Files "xmlrpc.php">
Order Allow,Deny
Deny from all </Files>
2. Cloudflare Kullanıyorsanız Basit Bir Firewall Rule Ekleyin
Field: URI Full
Operator: contains
Value: /xmlrpc.php
→ Action: Block
3. Jetpack, Mobil App veya Remote Publishing Kullanmıyorsanız XML-RPCye İhtiyacınız Yok
%99 site için gereksizdir. Kapatmak en iyi çözümdür.
4. Güvenlik Eklentisi Kullanın
- Wordfence
- iThemes Security
- Sucuri Security
Bu eklentiler XML-RPC brute-force saldırılarını otomatik engeller.
Bu Saldırı Başarılı Olursa Ne Olabilir?
- Sitenize siz fark etmeden yazı eklenebilir
- SEO spam içerikleri yüklenebilir
- Backdoor dosyalar yüklenebilir
- Yönetici hesabı brute-force ile ele geçirilebilir
- Hosting IPniz spam listelerine girebilir
Özellikle Türkiyedeki WordPress sitelerine bu yöntemle yoğun şekilde saldırı yapılıyor.
Eğer WordPress kullanıyorsanız
xmlrpc.php dosyasını tamamen kapatmanız önerilir.
Bu dosya aktif kaldığı sürece botlar tarafından sürekli hedef alınacaktır.