In der heutigen Zeit ist es leider normal geworden dass Webseiten unter einer ständigen Flut von Angriffen stehen. Bisher dachte ich dass der Schutz des wp-admin Bereichs durch einen .htpasswd Schutz sowie einem BruteForce Plugin (z.b. Sucuri Security) ausreichend ist um meine WordPress Instanzen zu schützen. Leider ist dies nicht so wie ich vor einigen Tagen feststellen musste…

Website down!

Durch Zufall bermerkte ich, dass mein Blog nicht mehr erreichbar war:

Durch eine über Tage anhaltende hohe Serverlast war mein Hoster gezwungen meine Seite vom Netz zu nehmen. Doch was war genau passiert? Ich war mir sicher dass es kein Bot geschafft hatte den .htpasswd Schutz zu überwinden…

xmlrpc.php?

Nach einem Blick in meine über 500MB angewachsene Access Log wurde schnell klar was passiert war:

Im Millisekundentakt versuchte ein „Googlebot“ auf die xmlrpc.php Datei zuzugreifen und per POST Befehl Daten zu übermitteln. Die Datei xmlrpc.php ist in WordPress für die Kommunikation mit externen Blogs und Anwendungen zuständig. Die Pingback-API ermöglicht Art Vernetzung zwischen verschiedenen Blogs und dient gleichzeitig als Schnittstelle, um WordPress über externe Programmen verwalten zu können.

Gegenmaßnahmen einleiten

Wenn man sich sicher ist dass man die Funktionen der xmlrpc.php nicht benötigt, kann man den Zugriff per .htaccess Datei schützen. Ein löschen der Datei ist leider keine Option, da die Datei nach einem WordPress Update automatisch wieder angelegt wird. Ich habe meine .htaccess Datei im root Verzeichnis folgendermaßen abgeändert:

<FilesMatch „(.htaccess|.htpasswd|wp-config.php|liesmich.html|readme.html|xmlrpc.php)“>
order deny,allow
deny from all
</FilesMatch>

Weitere Informationen auf anderen Blogs zum Thema könnt ihr bei Excel Ticker oder dem Kilobyte Blog finden.