• 21-11-2025, 13:06:02
    #1
    Merhabalar, kendi sitemde uzun bir süredir isteklere ait loglama yapıyorum. Sürekli olarak saldırı denemeleri yapan bir grup şahıs olduğunu fark ettim.
    Telegram botlarıyla bile bu saldırılar yapılabilmektedir.
    WordPress kullanan arkadaşların önlem almaları amacıyla bu konuyu açmayı düşündüm.

    Siteme denenmiş yöntemleri kötü niyetli kişiler nedeniyle açık açık paylaşamıyorum maalesef.


    Bu istek türü, WordPress’in XML-RPC API’sini kullanarak uzaktan yeni yazı ekleme girişimidir. Saldırgan botlar, xmlrpc.php'nin açık olup olmadığını test ederek:
    • Kullanıcı adı/parola tahmini,
    • Brute-force login,
    • Uzaktan yayın oluşturma,
    • Spam içerik ekleme
    gibi işlemleri otomatik şekilde deniyor.


    Saldırıda kullanılan parametrelerden bazıları:
    • metaWeblog.newPost
    • Sahte kullanıcı adı/şifre denemeleri
    • Rasgele hex içerik (0xe4266800 gibi)
    • Genelde Cloudflare / proxy IP’leri
    Bu isteklerin çoğu Pakistan, Hindistan, Rusya ve IPv6 kaynaklı botnet IP'lerinden geliyor.


    XML-RPC, WordPress’in tüm sürümlerinde varsayılan olarak açıktır.


    (1.x, 2.x, 3.x, 4.x, 5.x, 6.x / hâlâ devam ediyor.)


    WordPress Kullanıyorsanız Mutlaka Önlem Alın

    Aşağıdaki ayarlardan en az birini yapmanız şiddetle tavsiye edilir:

    1. xmlrpc.php dosyasını tamamen kapatın


    Nginx:
    location = /xmlrpc.php {
        deny all;
        return 403;
    }
    Apache (.htaccess):
    <Files "xmlrpc.php">
    Order Allow,Deny
    Deny from all </Files>

    2. Cloudflare Kullanıyorsanız Basit Bir Firewall Rule Ekleyin


    Field: URI Full
    Operator: contains
    Value: /xmlrpc.php
    → Action: Block

    3. Jetpack, Mobil App veya Remote Publishing Kullanmıyorsanız XML-RPC’ye İhtiyacınız Yok


    %99 site için gereksizdir. Kapatmak en iyi çözümdür.

    4. Güvenlik Eklentisi Kullanın

    • Wordfence
    • iThemes Security
    • Sucuri Security
    Bu eklentiler XML-RPC brute-force saldırılarını otomatik engeller.

    Bu Saldırı Başarılı Olursa Ne Olabilir?
    • Sitenize siz fark etmeden yazı eklenebilir
    • SEO spam içerikleri yüklenebilir
    • Backdoor dosyalar yüklenebilir
    • Yönetici hesabı brute-force ile ele geçirilebilir
    • Hosting IP’niz spam listelerine girebilir
    Özellikle Türkiye’deki WordPress sitelerine bu yöntemle yoğun şekilde saldırı yapılıyor.

    Eğer WordPress kullanıyorsanız xmlrpc.php dosyasını tamamen kapatmanız önerilir.
    Bu dosya aktif kaldığı sürece botlar tarafından sürekli hedef alınacaktır.
  • 21-11-2025, 13:09:14
    #2
    teşekkürler
  • 21-11-2025, 13:10:27
    #3
    Sinovker adlı üyeden alıntı: mesajı görüntüle
    Merhabalar, kendi sitemde uzun bir süredir isteklere ait loglama yapıyorum. Sürekli olarak saldırı denemeleri yapan bir grup şahıs olduğunu fark ettim. WordPress kullanan arkadaşların önlem almaları amacıyla bu konuyu açmayı düşündüm.
    Siteme denenmiş yöntemleri kötü niyetli kişiler nedeniyle açık açık paylaşamıyorum maalesef.


    Bu istek türü, WordPress’in XML-RPC API’sini kullanarak uzaktan yeni yazı ekleme girişimidir. Saldırgan botlar, xmlrpc.php'nin açık olup olmadığını test ederek:
    • Kullanıcı adı/parola tahmini,
    • Brute-force login,
    • Uzaktan yayın oluşturma,
    • Spam içerik ekleme
    gibi işlemleri otomatik şekilde deniyor.


    Saldırıda kullanılan parametrelerden bazıları:
    • metaWeblog.newPost
    • Sahte kullanıcı adı/şifre denemeleri
    • Rasgele hex içerik (0xe4266800 gibi)
    • Genelde Cloudflare / proxy IP’leri
    Bu isteklerin çoğu Pakistan, Hindistan, Rusya ve IPv6 kaynaklı botnet IP'lerinden geliyor.



    XML-RPC, WordPress’in tüm sürümlerinde varsayılan olarak açıktır.


    (1.x, 2.x, 3.x, 4.x, 5.x, 6.x — hâlâ devam ediyor.)


    WordPress Kullanıyorsanız Mutlaka Önlem Alın

    Aşağıdaki ayarlardan en az birini yapmanız şiddetle tavsiye edilir:

    1. xmlrpc.php dosyasını tamamen kapatın


    Nginx:
    location = /xmlrpc.php {    deny all;    return 403; }
    Apache (.htaccess):
    <Files "xmlrpc.php">    Order Allow,Deny    Deny from all </Files>

    2. Cloudflare Kullanıyorsanız Basit Bir Firewall Rule Ekleyin



    Field: URI Full
    Operator: contains
    Value: /xmlrpc.php
    → Action: Block

    3. Jetpack, Mobil App veya Remote Publishing Kullanmıyorsanız XML-RPC’ye İhtiyacınız Yok


    %99 site için gereksizdir. Kapatmak en iyi çözümdür.

    4. Güvenlik Eklentisi Kullanın

    • Wordfence
    • iThemes Security
    • Sucuri Security
    Bu eklentiler XML-RPC brute-force saldırılarını otomatik engeller.
    Bu Saldırı Başarılı Olursa Ne Olabilir?
    • Sitenize siz fark etmeden yazı eklenebilir
    • SEO spam içerikleri yüklenebilir
    • Backdoor dosyalar yüklenebilir
    • Yönetici hesabı brute-force ile ele geçirilebilir
    • Hosting IP’niz spam listelerine girebilir
    Özellikle Türkiye’deki WordPress sitelerine bu yöntemle yoğun şekilde saldırı yapılıyor.

    Eğer WordPress kullanıyorsanız xmlrpc.php dosyasını tamamen kapatmanız önerilir.
    Bu dosya aktif kaldığı sürece botlar tarafından sürekli hedef alınacaktır.

    Çince, Japonca paylaşımları bu dosya üzerinden yapıyormuş. Bu hata ile ilk karşılaştığımda çözümü bulmam günlerimi almıştı htaccess üzerinden kapatıp paylaşılan yazıları silince de bir kaç haftaya topluyor kendini site

    Paylaşım için teşekkürler
  • 30-12-2025, 02:03:43
    #4
    Uyarılar için çok teşekkürler.

    Bu bilgiler hepimiz için altın değerinde. Size minnettarız.

    İyi çalışmalar dileriz.