Vous exécutez une application PHP qui utilise XML-RPC ? Découvrez comment arrêter les attaques XML-RPC et améliorer la réactivité, les performances et l'utilisation des ressources de votre site Web.
Si vous exécutez une application PHP qui utilise XML-RPC, envisagez de bloquer ces requêtes ou au moins de limiter les requêtes à une liste d'adresses IP pré-approuvées.
Cela renforce non seulement la sécurité de votre site Web, mais améliore également la réactivité, les performances et l'utilisation des ressources de votre site Web.
Mais qu'est-ce que XML-RPC et qu'est-ce que cela a à voir avec votre site Web ou votre blog ?
Le protocole XML-RPC a été créé par Dave Winer , Mohsen Agsen, Bob Atkinson et Chris Aldrich en 1998.
Les trois premiers travaillaient chez Microsoft et Chris Aldrich chez UserLand.
XML-RPC donne aux systèmes externes un moyen de communiquer avec un site avec HTTP agissant comme mécanisme de transport et XML comme mécanisme de codage.
Il est devenu populaire parce qu'il était si simple et précoce.
Il y avait des implémentations dans tous les principaux langages et environnements.
Par exemple, il a été intégré à Python et au système d'exploitation Macintosh. Les principales API de blogs ont été réalisées en XML-RPC.
En PHP, le XMLRPC est l'extension qui a apporté les fonctionnalités du serveur et du client XML RPC à PHP.
L'extension a cependant été dégroupée dans PHP 8.0 car la bibliothèque et ses dépendances n'ont pas été mises à jour depuis plusieurs années.
De nombreux systèmes de gestion de contenu utilisent XML-RPC, y compris WordPress.
Dans WordPress, la prise en charge XML-RPC vous permet de publier sur votre blog WordPress à l'aide de nombreux clients de blog populaires.
Vous pouvez voir l'URL complète en visitant https://webcomm.dev/xmlrpc.php (où "webcomm.dev" est le nom de votre domaine WordPress).
Il permet également à d'autres sites Web d'interagir avec votre site Web WordPress.
Mais souvent, vous n'en avez pas besoin ou vous ne savez peut-être même pas qu'il existe en option.
Au-delà du fait que l'extension a été abandonnée à partir de PHP 8.0, les requêtes XML-RPC peuvent également être utilisées pour ralentir votre site Web ou même ne pas le faire du tout.
Cela se fait souvent en forçant brutalement le fichier pour ralentir le site Web alors qu'il tente de répondre à tous les pingbacks et trackbacks.
L'une des méthodes simples pour éviter que cela ne vous blesse est de s'assurer que le serveur Web hébergeant l'application utilise Mod Security.
ModSecurity est un pare-feu d'application Web (WAF) qui aide à lutter contre les attaques Web courantes telles que les injections SQL, DOS et d'autres types d'attaques HTTP courantes.
Clients hébergeant leurs sites Web/applications sur Web Hosting Magic peut utiliser ModSecurity pour atténuer de telles attaques.
Mais pendant que vous êtes protégé, la sécurité a toujours été un effort collectif.
C'est le seul moyen pour que cela fonctionne comme prévu.
Le moyen le plus simple de mieux protéger votre site/application est de désactiver les requêtes via votre .htaccess.
Vous pouvez le faire en éditant le fichier via le gestionnaire de fichiers de cPanel ou un terminal SSH.
- Tout d'abord, connectez-vous à votre compte cPanel.
- Recherchez les fichiers section et cliquez sur Gestionnaire de fichiers .
- Cela vous amènera au public_html de votre compte (ou à la racine du document du contenu de votre site Web).
- Modifiez .htaccess ou créez un nouveau fichier appelé .htaccess et collez le code suivant dans le fichier :
# Block xmlrpc.php requests using the files directive <Files xmlrpc.php> Require all denied # Require ip $xxx.xxx.xxx.xxx </Files> ======== OR ======== # Block xmlrpc.php requests using the filesmatch directive (preferred) <FilesMatch "^xmlrpc\.php$"> Require all denied # Require ip $xxx.xxx.xxx.xxx </FilesMatch>
Vous pouvez visiter https://cdn.webhostingmagic.com/knowledgebase/disallow_xmlrpc.txt pour le télécharger en texte brut.
Si vous souhaitez autoriser les requêtes XML-RPC à partir d'une adresse IP particulière, remplacez $xxx.xxx.xxx.xxx par l'adresse IP.
Enregistrez et fermez le fichier.
Si vous ne savez pas comment modifier ou créer un fichier .htaccess, vous pouvez ouvrir un ticket d'assistance auprès de notre équipe pour vous aider à le faire.
Si vous utilisez WordPress, vous pouvez utiliser un plugin pour obtenir le même résultat.
Cependant, nous encourageons toujours les clients à utiliser moins de plugins au lieu de plus.
Pour ce faire :
- Connectez-vous à votre wp-admin
- Visiter les plugins>> Ajouter nouveau section.
- Rechercher Désactiver XML-RPC .
- Installez le plug-in.
Nos serveurs dédiés, nos machines virtuelles privées ou nos clients VPS peuvent visiter le portail d'assistance et demander que "xmlrpc.php" soit désactivé sur l'ensemble du serveur.
Nous espérons que ce court tutoriel vous aidera à mieux protéger votre site Web contre les attaques et les exploits XML-RPC.
Pour plus d'informations sur PHP XML-RPC, visitez http://www.xmlrpc.com/