0
Kayıt Ol

/xmlrpc.php açığı kapanmıyor

7

218

  • 03-05-2020, 13:26:16
    #1
    karamazov
    karamazov
    htaccess e gerekli tüm kodları ekledim denedim naptıysam olmadı bir türlü hep aşağıdaki şekilde bir yazı veriyor
    XML-RPC server accepts POST requests only.
  • 03-05-2020, 13:30:06
    #2
    iKlor
    iKlor
    Kimlik doğrulama veya yönetimden onay bekliyor.
    htaccess e ekle.

    Alıntı
    <Files xmlrpc.php>
    order deny,allow
    deny from all
    allow from 123.123.123.123
    </Files>
    123.123.123.123 kendi pc ipni ekleyebilirsin.
  • 03-05-2020, 13:33:12
    #3
    ResimBox
    ResimBox
    Bu bir açık değilki. Kullanıcı adınızı, şifrenizi yani login bilgilerinizi bilmeyen kimse wordpress sitenize ve içeriğine müdahale edemez.
    XML-RPC örnek veriyorum bir masaüstü yazılımdan wordpress sitenizi yönetebilmeye veya başka bir siteden sizin sitenize istek atabilmeyi sağlar. Mesela uzaktan yazıları çekmek, değiştirmek vb işlemler. Ama bu işlemleri yapabilmesi için wordpress kullanıcı adı ve şifrenize ihtiyaç vardır. O yüzden açıkmış gibi algılamayın boşuna.

    Hem şu şekilde de düşünebilirsin ; Açık olsa wordpress yapımcıları bu özelliği default olarak açık getirir miydi ?
  • 03-05-2020, 13:34:59
    #4
    karamazov
    karamazov
    ekledim hocam bu kodda işe yaramadı
    iKlor adlı üyeden alıntı: mesajı görüntüle
    htaccess e ekle.



    123.123.123.123 kendi pc ipni ekleyebilirsin.




    lamerin teki siteyi açtığımdan beri deniyor bu açığı işkillendim

    ResimBox adlı üyeden alıntı: mesajı görüntüle
    Bu bir açık değilki. Kullanıcı adınızı, şifrenizi yani login bilgilerinizi bilmeyen kimse wordpress sitenize ve içeriğine müdahale edemez.
    XML-RPC örnek veriyorum bir masaüstü yazılımdan wordpress sitenizi yönetebilmeye veya başka bir siteden sizin sitenize istek atabilmeyi sağlar. Mesela uzaktan yazıları çekmek, değiştirmek vb işlemler. Ama bu işlemleri yapabilmesi için wordpress kullanıcı adı ve şifrenize ihtiyaç vardır. O yüzden açıkmış gibi algılamayın boşuna.

    Hem şu şekilde de düşünebilirsin ; Açık olsa wordpress yapımcıları bu özelliği default olarak açık getirir miydi ?
  • 03-05-2020, 13:55:09
    #5
    iKlor
    iKlor
    karamazov adlı üyeden alıntı: mesajı görüntüle
    ekledim hocam bu kodda işe yaramadı




    lamerin teki siteyi açtığımdan beri deniyor bu açığı işkillendim
    Brute force denemesi yapıyordur hocam tam açık değil ama XMLRPC in zafiyetler yarattığı biliniyor. Şifren güçlüyse bulma olasılığı çok düşük sıkıntı olmaz. İ.htaccessde bir problem var galiba hocam bilmiyorum bakmak gerek.
  • 03-05-2020, 14:02:37
    #7
    rkalkan
    rkalkan
    7-8 senedir, xmlprc dosyasının ismini değiştirip kullanılmaz hale getiririm. Her güncellemede yeniden kontrol ederim
  • 03-05-2020, 14:03:10
    #8
    chnyrdkl
    chnyrdkl
    bu dediğiniz olay kaç sürüm önceydi diye hatırlıyorum. brute force yapıyorsa bundan kaç sürüm öncesi için geçerliydi. yine de bakmanız için link bırakıyorum.

    şöyle bir kod buldum functions.php'ye ekleniyor sanırım.
    add_filter('xmlrpc_methods', function($methods){
unset($methods['pingback.ping']);
return $methods;
}
    eski sürüm kullananlar için github : https://github.com/ericmann/secure-xmlrpc