Hilfe - WordPress

Bruteforce-Schutz für die XMLprc-Schnittestelle

Angreifer versuchen sehr häufig über Bruteforce-Attacken an die Zugangsdaten für WordPress zu gelangen. Diese Attacken laufen automatisiert ab und können bei entsprechender Intensität eine sehr hohe Last auf dem Webserver auslösen.

Angriffsziele sind die Dateien xmlrpc.php (hier erläutert) und wp-login.php.

Seit Oktober 2023 sperrt unsere globale Application-Firewall den Mehrfachzugriff auf xmlrpc.php automatisch. Erweiterungen wie z.B. Jetpack funktionieren deshalb nicht mehr. Aufgrund der massiven Hackerattacken auf quasi alle WordPress-Installationen war diese Schutzmaßnahme notwendig.

Weniger bekannt als das direkte Login über die wp-login.php ist die Nutzung der XMLrpc-Schnittstelle für DDoS- und Bruteforce-Attacken. Es geht hier um die Datei xmlrpc.php im Basisverzeichnis des WordPress.

Die XMLrpc-Schnittestelle (Extensible Markup Language Remote) wird zum Beispiel für die Pingback-Funktion oder der Remoteverwaltung über Desktop- oder Smartphone-Apps verwendet. Beispiele: JetPack, BuddyPress oder der Windows Live Writer. Auch einige Themes nutzen die Schnittstelle.

Dem relativ geringen Nutzen der Schnittstelle stehen extreme Nachteile gegenüber, denn darüber haben Hacker vielfältige Angriffsmöglichkeiten, die auch sehr massiv ausgenutzt werden. Es gibt faktisch keine WordPress-Installation, die noch nicht darüber attackiert wurde. Ein Blick in die Logfilestatistken zeigt das leider immer wieder. Insbesondere Bruteforceattacken sind sehr beliebt, weil mit einem einzigen Zugriff hunderte User/Passwortkombinationen durchgetestet werden können.

  Unsere Empfehlung lautet daher, die Schnittstelle zu deaktivieren.

Deaktivieren unter dem Apache-Webserver in der .htaccess-Datei:

<Files xmlrpc.php>
   Order allow,deny
   Deny from all
</Files>

und unter dem Nginx-Webserver:

server {  location = /xmlrpc.php { deny all; access_log off; log_not_found off; }  }

Es gibt noch andere Methoden wie die Verwendung von Abschalt-Plugins oder der Einsatz von Filtern. Aus Gründen der Performance sind allerdings die oben genannten Methoden vorzuziehen.