Zabezpečení Wordressu před útokem Brutal Force skrze xmlrpc.php

Roman Hrabal

9 roky ago

Častým problémem WordPressu je tzv. „Útok hrubou silou“ (anglicky brute force attack). Útok je obvykle prováděn skrze soubor xmlrpc.php, obrana proti tomuto útoku je relativně jednoduchá. Asi nejúčinější variantou je instalace nějakého bezpečnostního pluginu, který dokáže rozpoznat pokusy o zneužití tohoto souboru a tyto útoky blokovat. Ohledně toho doporučujeme instalaci pluginu Wordfence v kombinaci s antispamovým pluginem Akismet.

Dalšími varintami jsou různé pluginy, které ale obvykle fungují tak, že využívání xmlrpc.php zcela zakáží, díky čemuž Vám nemusí správně fungovat jiné pluginy, které xmlrpc přímo vyžadují (např. JetPack). Příkladem takového pluginu je např. Disable XML-RPC.

Poslední varinatou je úprava souboru .htaccess, uloženém na FTP. Je třeba vložit za text “#END WordPress text” následující kód a soubor .htaccess uložit:

<Files xmlrpc.php> order allow,deny deny from all </Files>

Poznámky

Řešením může být rovněž vymazání souboru xmlrpc.php na FTP, nicméně při aktualizaci WordPressu bude soubor automaticky znovu nahrán.
Tento kus kódu v souboru .htaccess nesmí být vložen mezi řádky # BEGIN WordPress a #END WordPress, jinak dojde při aktualizaci webu ke smazání kódu.
Pokud byste naopak potřebovali z nějaké IP adresy práci se souborem xmlrpc.php povolit, vložte ještě řádek allow from xx.xx.xx.xx, kde xx jsou hodnoty IP adresy, kterou potřebujete povolit. Pokud IP adres potřebujete vložit více, vložte těchto řádků více.
Stejně tak je možné, že některý modul/plugin, který využíváte, rovněž potřebuje s tímto souborem pracovat. V takovém případě je třeba i IP adresu serveru, na kterém Vaše doména běží, povolit. Přesnou hodnotu IP naleznete v administraci v sekci FTP. V této sekci kliknete na „Zobrazit údaje pro přihlášení k FTP“ a IP adresa, kterou uvidíte v tabulce v řádku „Náhradní server FTP (hostitel)“ je ta, kterou musíte zadat do DNS záznamu.
Celý kód i s povolenými IP adresami pak může vypadat následovně:

<Files xmlrpc.php> order allow,deny deny from all allow from xx.xx.xx.xx allow from yy.yy.yy.yy </Files>

TIP: Nevidíte na FTP soubor .htaccess? Pravděpodobně bude nutné jej povolit ve svém FTP klientovi. Návod naleznete zde.