¿Qué es XMLRPC y cómo esta reliquia amenaza la seguridad de tu web?

Que es XMLRPC y como esta reliquia amenaza la seguridad

En el directorio raíz de cada lugar de WP hay un fichero más viejo que el propio WordPress: xmlrpc.php, que a lo largo de los días b2 fue creado para dar a los sitios una forma de comunicarse entre sí y a fin de que otras aplicaciones se comuniquen con él.

Índice

    ¿Qué es XMLRPC?

    El nombre le afirma todo cuanto precisa saber sobre la funcionalidad.

    XML- Diseñado para admitir cargas útiles XML. JSON es un formato mucho más frecuente en la actualidad. XMLRPC es precedente a JSON.

    RPC: RPC significa llamada a procedimiento recóndito. Era un estándar por el que un sistema podía solicitar a otro sistema que hiciese algo. Ahora empleamos REST-API o bien Graph API, para hacer lo mismo, mas ya antes de que existiesen, RPC era una de las herramientas libres.

    ¿De qué manera marcha XMLRPC?

    Para que XMLRPC.php hiciese algo, debía publicar un mensaje. Si no está familiarizado con el funcionamiento de los navegadores, esencialmente es como hacer click en el botón "Enviar" de un formulario. Esto en general empieza una petición POST.

    Si efectúa una petición POST a yourdomain.tld / xmlrpc.php y entrega una carga útil XML formateada adecuadamente, puede hacer cosas como crear una publicación en su lugar.

    Una de las cosas que XMLRPC se empleó mucho en ese instante fueron los pingbacks. Esos comentarios que ves en las publicaciones que muestran el link de otra persona a tu weblog.

    Amenazas potenciales para la seguridad XMLRPC de WordPress

    Durante bastante tiempo, XMLRPC fue una herramienta útil. Ahora toda la funcionalidad para la que se empleó XMLRPC es manejada por la API REST incorporada. Aunque ya no está en empleo, prosigue siendo una función activa, y para aquellos que echan de menos estas cosas, provoca una sonrisa. Aquellos que están preocupados por la seguridad, no obstante, miran y fruncen el ceño.

    La presencia de XMLRPC plantea múltiples peligros de seguridad para los sitios de WP que pueden transformarse en ataques graves.

    • Ataques de fuerza salvaje XMLRPC
    Te puede Interesar  Cómo crear nuevos usuarios en WordPress para autores invitados

    El primer tipo de ataque XMLRPC de WP es un simple ataque de fuerza salvaje. Dado que parte de la carga útil XML que se pasa a WP es el nombre de usuario y la clave de acceso del usuario que quiere efectuar la acción, es una forma simple a fin de que los atacantes prueben combinaciones de nombre de usuario y clave de acceso hasta el momento en que hallen una que funcione. Muchos dueños de sitios preocupados por la seguridad limitarán la cantidad de intentos de comienzo de sesión que un usuario puede efectuar ya antes de bloquearlos, mas no van a estar preocupados por bloquear las peticiones XMLRPC, dejando una puerta trasera abierta a fin de que los atacantes procuren hallar una entrada.

    Una vez que un atacante halla las credenciales que marchan, puede procurar dañar su sitio inyectando contenido en la base de datos del sitio. Ya sean publicaciones, páginas o bien sencillamente comentarios, el resultado final es el mismo: su lugar ofrece contenido que no ha aprobado y que seguramente no desee. Sin embargo, en el peor de los casos, pueden ser publicaciones o bien comentarios inocuos con malware inyectado.

    • Ataques DDoS utilizando XMLRPC

    Otro beneficio de XMLRPC fue la habilitación de pingbacks. Los ciberdelincuentes pueden utilizarlo para bloquear su servidor, emitiendo demasiadas peticiones grandes a la vez.

    Un pingback escribe un registro en su base de datos y escribirlo es una labor que consume muchos recursos. Si bien un solo pingback no dañará el desempeño de su lugar, cientos o bien aun miles de ellos a la vez pueden poner de rodillas aun al servidor más robusto.

    Esto se llama DDos o bien ataque distribuido de denegación de servicio. Distribuido pues en general no es una sola máquina la que efectúa todas y cada una de las peticiones, acostumbra a haber un sinnúmero de máquinas repartidas en diferentes localizaciones.

    Artículos Relacionados

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada.

    Subir

    Utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestra web. Si sigues utilizando este sitio asumiremos que estás de acuerdo. Más Información