Skip to main content

WordPress: Starke Angriffswellen auf XML-RPC Schnittstelle

Leute, es nervt mich, wenn ich immer wieder lesen muss, dass mal wieder WordPress unter Beschuss steht. Dann nageln wir das System eben zu. Ein wirklicher Austausch, wie er unter Bloggern üblich und gewünscht ist, findet dann zwar nicht mehr statt. Aber wenn Blogger eh nicht auf andere Blogger verlinken, ist es doch eh nicht weiter schlimm. Dann machen wir die XML-RPC Schnittstelle für die Pingbacks dicht, und dann ist Frieden.

Jetzt sollen Attacken auf WordPress so laufen, dass Angreifer hunderte Passwörter in einem einzigen Login-Versuch über die XML-RPC verwenden, um sich Zutritt zur WordPress-Installation zu verschaffen. Die nutzen tatsächlich dieses alte Protokoll für Ihre Spielchen? Das glauben Sie nicht? Ich eigentlich auch nicht, aber es muss so sein. Es gibt in XML-RPC eine MEthode namens „system.multicall“, mit der innerhalb eines Aufrufs mehrere Methoden aufgerufen werden können. Damit können mehrere Befehle mit einer HTTP-Anforderung abgesetzt werden.

Und der Theorie zufolge ist es wohl gar möglich, hunderte Passwörter mit einem solchen „Request“ abzurufen. Das machen dann die Angreifer, indem sie die „system.multicall“ missbrauchen. Und hier wurde beobachtet, dass solche Attacken in den letzten Tagen enorm zugenommen haben. Alle gingen über die XML-RPC. Jetzt könnte man hergehen und diese Schnittstelle stilllegen. Das wurde mir auch schon mal empfohlen. Aber was gewinnt man dadurch? Einen Großteil der Funktionalitäten wie Pingbacks oder die ganzen Sachen, die JetPack mitbringt oder von anderen Plugins genutzt werden, können wir dann einstampfen.

In der Endkonsequenz wäre das dann, dass wir alle WordPress-Blogs eigentlich schließen können. Wäre den Angreifern dann geholfen? Natürlich wird empfohlen, einen kostenpflichtigen Cloud-Dienst zu nutzen, um WordPress effektiv und wirksam zu schützen. Aber wäre das denn wirklich im Sinne des Erfinders? Noch einmal die Frage: Was gewinnen wir damit? Ich meine: Außer dass wir unsere Blogs zunageln und eigentlich das Bloggen sein lassen können? Es muss doch auch anders funktionieren. Das Zusperren der XML-RPS Schnittstelle ist es jedenfalls nicht.

Verteilen Sie diese Erkenntnis doch einfach wie 0 andere auch

Henning Uhle

Henning Uhle ist gelernter Fachinformatiker für System Integration und zertifizierter System Engineer. Meine Sachgebiete sind Messaging & Collaboration sowie High Availability und Domain-Verwaltung. Ich schreibe über verschiedenste Dinge, die mich bewegen. Und es handelt sich immer um meine Sicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.