XML-RPC Güvenliği

Ne oldu?

WordPress, web sitesi geliştiricilerine yönetici giriş sayfasını kullanmadan web sitesi içeriğini yayınlama veya değiştirme esnekliği sağlar. XML-RPC, mobil uygulamalar gibi uygulamaların sitede ayrıcalıklı eylemler gerçekleştirmeden önce kimlik doğrulaması yapmasına yardımcı olan gerçekten kullanışlı bir yöntemdir.

Ancak dağıtık sistemlerin birbirleriyle haberleşmesi için geliştirilen ve XML formatında veri aktarımı yapan WordPress XML-RPC Servisi ile Web Application Firewall (WAF) ve diğer eklentilere yakalanmadan Brute Force ve DDoS saldırıları başlatılabilir.

Nasıl Çalışıyor?

XML mesajındaki işlem, mesajı alan sunucu tarafındaki koşulların uygunluğuna göre yetkilendirmenin çalıştırılması ve sonucun XML formatında istemci sisteme geri iletilmesidir.

XML-RPC uzaktan yönetim için büyük bir kolaylık sağlasa da hackerlar tarafından suistimal edilmektedir. Bu servis üzerinde uygulanan bazı yöntemler ile güvenlik eklentileri ve WAF’lar tarafından engellenmeden yönetim paneline kaba kuvvet saldırısı yapılabilmektedir.

Yapılmazsa ne olur?

XML-RPC Güvenliğinin yokluğunda, sisteminiz birçok saldırı türüne karşı savunmasız hale gelir. Bu saldırılardan deneme yanılma yoluyla sisteminize sızılabilir ve bir DoS başlatılırsa sisteminiz yavaşlayabilir ve bir süreliğine devre dışı kalabilir.