Portada Wordpress Cómo Evitar Ataques al XMLRPC de WordPress
La seguridad se está convirtiendo en algo muy importantes para todos los usuarios de Internet.
No dejamos de recibir noticias de ataques que comprometen las credenciales de seguridad de millones de usuarios de las compañías más importantes de Internet.
Ataques phishing a cuentas de Gmail o el espectacular aumento de ataques de fuerza bruta a las instalaciones de WordPress, también han sido noticia últimamente y no parece que esta tendencia vaya a cambiar próximamente.
Por eso es necesarios que, tanto en la vida personal, como en nuestros proyectos en Internet, se tomen las mayores precauciones en materia de seguridad.
Si tenemos una web con WordPress instalado, no debemos pensar que nuestro pequeño sitio web no puede ser el objetivo de un ataque, debemos de pensar justo lo contrario, que somos un objetivo y debemos protegernos para que no puedan causarnos ningún problema.
En los ataques de fuerza bruta en WordPress, son ataques en los que se prueban multitud de contraseñas al azar con la intención de adivinar la correcta, el sitio al que todos miramos es el wp-login. Y tiene su lógica, ya que es aquí donde tenemos que poner nuestro nombre de usuario y contraseña.
Pero este no es el único objetivo de este tipo de ataques en WordPress, según el blog de Wordfence, en una muestra de dos semanas comprobaron que los ataques de fuerza bruta son más elevados en el archivo XMLRPC.php
*Hosting rápido y de calidad, tenemos lo que necesitas. CLICK AQUÍ
Si buscáis en vuestra instalación de WordPress, podéis encontrarlo entre el resto de archivos.
Si buscamos una definición técnica podemos recurrir a la Wikipedia:
XML-RPC es un protocolo de llamada a procedimiento remoto que usa XML para codificar los datos y HTTP como protocolo de transmisión de mensajes.1
En un lenguaje menos técnico podemos explicar que el archivo XMLRPC sirve para que una aplicación externa se pueda comunicar con nuestro WordPress.
El ejemplo más común quizás sean los pingbacks, el sistema para avisar a un blog que se está hablando de el en otro blog, y que conocen la mayoría de usuarios de WordPress.
También es muy usado por todos aquellos usuarios que usan una aplicación de escritorio para escribir sus entradas, como por ejemplo Word de Microsoft, o cualquier app móvil que tenga contacto con la administración de WordPress.
Cómo veis es una puerta de acceso, y cómo toda puerta, es especialmente vulnerable.
Este es un punto en el que el usuario debe decidir. Es posible anular/bloquear el archivo XMLRCP con sólo añadir un código en el archivo .htaccess:
<files xmlrpc.php> Order Allow,Deny Deny from all </files>
Si haces click aquí te explicamos donde localizar el archivo .htaccess.
También podemos usar un plugin como Disable XML-RPC, con el que con sólo activarlo podemos bloquear el archivo sin necesidad de tocar .htaccess.
El problema es que ya no disfrutaremos de las opciones que nos ofrece este tipo de conexión. Incluso es posible que deje de funcionar alguna API o plugin que ya se esté usando si bloqueamos el acceso al archivo XMLRPC.
Otra opción algo menos radical, es usar un plugin cómo Manage XML-RPC, con el que podemos, ademas de bloquear el archivo XMLRPC, crear una lista blanca de IP’s que si que tengan acceso así como una lista negra.
Esta puede ser una buena opción si conocemos las IP’s de las aplicaciones a las que queremos dar acceso.
También podemos usar las suites de seguridad para WordPress más avanzadas ya que todas protegen WordPress de cualquier ataque de fuerza bruta al archivo XMLRPC.
Estos plugins sólo bloquean una IP tras varios intentos erróneos, al igual que hacen con el archivo wp-login. Esta opción nos permite seguir usando el archivo XMLRPC.php añadiendo una capa de seguridad que evita los ataques de fuerza bruta.
Dos de los más populares y efectivos son:
– Wordfence
– iThemes Security
En Hostinet trabajamos desde hace más de 15 años con servidores ubicados en España (Madrid).
Te garantizamos una IP española para tu Hosting WordPress SSD.
Podrás conseguir que tu página web se posicione mucho mejor en los principales buscadores.
¡Contrata ahora tu Hosting WordPress SSD y disfruta de su ultra-velocidad! ¡No te arrepentiás!