Telegram botlarıyla bile bu saldırılar yapılabilmektedir.
WordPress kullanan arkadaşların önlem almaları amacıyla bu konuyu açmayı düşündüm.
Siteme denenmiş yöntemleri kötü niyetli kişiler nedeniyle açık açık paylaşamıyorum maalesef.
Bu istek türü, WordPressin XML-RPC APIsini kullanarak uzaktan yeni yazı ekleme girişimidir. Saldırgan botlar, xmlrpc.php'nin açık olup olmadığını test ederek:
- Kullanıcı adı/parola tahmini,
- Brute-force login,
- Uzaktan yayın oluşturma,
- Spam içerik ekleme
Saldırıda kullanılan parametrelerden bazıları:
- metaWeblog.newPost
- Sahte kullanıcı adı/şifre denemeleri
- Rasgele hex içerik (0xe4266800 gibi)
- Genelde Cloudflare / proxy IPleri
XML-RPC, WordPressin tüm sürümlerinde varsayılan olarak açıktır.
(1.x, 2.x, 3.x, 4.x, 5.x, 6.x / hâlâ devam ediyor.)
WordPress Kullanıyorsanız Mutlaka Önlem Alın
Aşağıdaki ayarlardan en az birini yapmanız şiddetle tavsiye edilir:
1. xmlrpc.php dosyasını tamamen kapatın
Nginx:
location = /xmlrpc.php {
deny all;
return 403;
}Apache (.htaccess):<Files "xmlrpc.php"> Order Allow,Deny Deny from all </Files>
2. Cloudflare Kullanıyorsanız Basit Bir Firewall Rule Ekleyin
Field: URI Full Operator: contains Value: /xmlrpc.php → Action: Block
3. Jetpack, Mobil App veya Remote Publishing Kullanmıyorsanız XML-RPCye İhtiyacınız Yok
%99 site için gereksizdir. Kapatmak en iyi çözümdür.
4. Güvenlik Eklentisi Kullanın
- Wordfence
- iThemes Security
- Sucuri Security
Bu Saldırı Başarılı Olursa Ne Olabilir?
- Sitenize siz fark etmeden yazı eklenebilir
- SEO spam içerikleri yüklenebilir
- Backdoor dosyalar yüklenebilir
- Yönetici hesabı brute-force ile ele geçirilebilir
- Hosting IPniz spam listelerine girebilir
Eğer WordPress kullanıyorsanız xmlrpc.php dosyasını tamamen kapatmanız önerilir.
Bu dosya aktif kaldığı sürece botlar tarafından sürekli hedef alınacaktır.
htaccess üzerinden kapatıp paylaşılan yazıları silince de bir kaç haftaya topluyor kendini site