Hiện nay các chuyên gia đã phát hiện ra một phương thức mới để tấn công các website WordPress thông qua XML-RPC. Phương thức này tỏ ra hiệu quả khi kết hợp với cách truyền thống là Brute Force. Nó sẽ cố gắng vét cạn tất cả username/password để đăng nhập vào website và thực thi các lệnh được điều khiển tữ xa của hacker.

XML-RPC là gì?
Nó thực chất là 1 API được Wordress phát triển với ý tưởng ban đầu là cho phép kết nối các ứng dụng từ xa đến website của bạn. Ví dụ bạn có thể phát triển một mobile app để xem xét và phê duyệt các comment mới nhất mà không cần đăng nhập trên trang web. Ý tưởng thì tôt đẹp nhưng nó chứa rất nhiều yếu tố rủi ro về bảo mật.

Tấn công Brute Force kiểu mới
Với cách thức tấn công kiểu mới này các hackers có thể dò tìm hàng ngàn username/password chỉ trong 2 hoặc 3 requests. Để dễ hình dung các bạn hãy xem hình minh họa dưới đây

Cách phòng chống

Cách 1: Vô hiệu hóa chức năng XML-RPC trên theme bằng cách chèn code vào file functions.php như sau

add_filter('xmlrpc_enabled', '__return_false');

Cách 2: Sử dụng file .htaccess để thiết lập cách tiếp cận file xmlrpc.php

## block any attempted XML-RPC requests
<Files xmlrpc.php>
    Order deny,allow
    Deny from all
</Files>

Nếu bạn sử dụng Nginx thay vì Apache thì hãy dùng cách này

## block any attempted XML-RPC requests
location = /xmlrpc.php {
    deny all;
}

Chúc quý khách thành công.