WordPress xmlrpc.php, WordPress, dünyadaki en popüler web barındırma platformudur. Dolayısıyla, internetteki tüm web sitelerinin %40’ından biraz fazlasının güçlendirilmesinden sorumludur. Dolayısıyla WordPress’i bu kadar popüler yapan şeyin büyük bir kısmı, platformun sunduğu tüm farklı özelliklerdir.
Ancak, her WordPress özelliği kullanılmaya değer değildir ve bazıları aslında faydadan çok risk sunar. Örnek olarak: WordPress xmlrpc.php dosyası.
Bu dosya, XML kullanarak uzaktan prosedür çağrılarına (RPC’ler) izin vermek için tasarlanmıştır. Ne yazık ki, bilgisayar korsanlarının hedef aldığı yaygın bir WordPress güvenlik açığı haline geldi . Bu riskli WordPress özelliği hakkında bilmeniz gereken her şeyi ve WordPress web sitenizi güvende tutmak için xmlrpc.php’yi neden devre dışı bırakmak isteyebileceğinizi ele alalım.
Aşağıdaki resimde gördüğünüz üzere, islami sohbet hizmeti verdiğini iddia eden mircte sohbet, mircte.org ve sohbetislam.com sahibi, sanal rumuzu eFe, gerçek ismi Ali Rıza ALABAŞ tarafından dinisohbeti.com sitesine yapılan bir Xmlrpc.Php saldırısının görüntülerini sizinle paylaşmak istedim. Kendisini çok akıllı zanneden bu meczup hakkında elbette yasal girişimlerimiz başlamıştır. Sanal sunucu (VDS) bh-1.bilintel.com üzerinden yaptığı bu saldırılara kendisi operasyon ismi vermektedir. Fakat çok yakında operasyonun ne olduğunu, nasıl yapıldığını kendi yöntemlerimle ona anlatacağım.
Aşağıdaki kod betiğini .htaccess dosyasına ekleyerek xmlrpc.php dosyasına erişimi kapatabilirsiniz.
<Files xmlrpc.php>
Order allow,deny
Deny from all
</Files>
WordPress sitenizin kodunu düzenlemek konusunda rahat değil misiniz? Kodu manuel olarak değiştirmenize gerek kalmadan xmlrpc.php’yi devre dışı bırakmanıza yardımcı olabilecek birkaç güvenlik eklentisi vardır.
Bu eklentilerden herhangi biriyle xmlrpc.php dosyasını birkaç tıklamayla devre dışı bırakabilirsiniz; hiçbir kodlama yapmanıza gerek yok.
FTP veya CPanel kullanarak xmlrpc.php’yi dosyayı kaldırarak veya yeniden adlandırarak ve isteklere erişilemez hale getirerek devre dışı bırakabilirsiniz. Bunu yapmak için, FTP veya cPanel kullanarak kök dizininizi açın ve xmlrpc.php dosyasını bulun. Yeniden adlandırmak veya silmek için dosyaya sağ tıklayın. Bunlardan birini yapmak onu devre dışı bırakacaktır.
xmlrpc.php’yi devre dışı bırakmanın son yöntemi temanızın functions.php dosyasına bir kod parçası eklemektir. Bir FTP istemcisi veya web barındırıcınızın dosya yöneticisini kullanarak temanızın dizinine gidin, genellikle /wp-content/themes/kullandığınız-tema/ konumunda bulunur. functions.php dosyasını bulduğunuzda, bir metin düzenleyicide açın ve şu kod satırını ekleyin:
add_filter(‘xmlrpc_enabled’, ‘__return_false’);
Daha sonra değişiklikleri kaydedip dosyayı sunucunuza geri yükleyebilirsiniz, xmlrpc.php devre dışı kalacaktır.
Xmlrpc.php’yi devre dışı bırakmak bazı riskli güvenlik açıklarını ortadan kaldırabilir, ancak bir WordPress web sitesini güvence altına almak için gerekli olan tek uygulama bu değildir. Xmlrpc.php dosyasını devre dışı bırakmanın yanı sıra, dikkate alınması gereken bazı ek güvenlik önlemleri şunlardır:
Bir web uygulama güvenlik duvarı (WAF), ağ trafiğini izlemek ve şüpheli istekleri engellemek için tasarlanmıştır. Bu güvenlik duvarları, SQL enjeksiyonu, siteler arası betik çalıştırma, DDoS saldırıları ve daha fazlası dahil olmak üzere çok çeşitli siber tehditlere karşı mükemmel koruma sağlar.
xmlrpc.php’yi devre dışı bırakmak istemiyorsanız, dosyaya erişimi IP adresine göre kısıtlayarak oluşturduğu birçok güvenlik açığını giderebilirsiniz. Bu, yalnızca yetkili kullanıcıların dosyaya erişebilmesini sağlar.
xmlrpc.php’ye erişimi kısıtlamak için, bir FTP istemcisi veya web barındırıcınızın dosya yöneticisini kullanarak WordPress kurulumunuzun kök dizinine gidin. .htaccess dosyasını bir metin düzenleyicide açın ve aşağıdaki kodu ekleyin:
<Files xmlrpc.php>
Order deny,allow
Deny from all
Allow from <ERİŞİME İZİN VERMEK İSTEDİĞİNİZ IP ADRESİNİ GİRİN>
Allow from <EK İZİN VERİLEN IP ADRESİNİ EKLE>
</Files>
Canlarsohbet.net chat sitesi olarak özetlemek istiyorum. XML-RPC bir zamanlar WordPress ile harici uygulamalar arasındaki iletişim için hayati bir bileşendi. Fakat daha güvenli ve çok yönlü WordPress REST API’sinin tanıtılmasıyla kullanışlılığı azaldı. Xmlrpc.php geriye dönük uyumluluk nedeniyle WordPress kurulumlarında hala mevcuttur. Fakat, onu aktif tutmanın kaba kuvvet ve DDoS saldırıları gibi güvenlik riskleri getirebileceğini kabul etmek önemlidir.
Bu nedenle, WordPress sitenizde XML-RPC’nin etkin olup olmadığını kontrol etmek için bir dakikanızı ayırın. Site adres satırına dinisohbeti.com.tr/xmlrpc.php yazıp arattırdığınızda aşağıdaki gibi bir uyarı görüyorsanız, saldırıya açıksınız demektir. Buradan dinisohbeti.com.tr sahibi eFe yani Ali Rıza SALLABAŞ’ı uyarıyorum. Açığını kapat, yoksa açık yaraya sinek konar diyorum.
Fakat aşağıdaki gibi bir görüntüyle karşılaşıyorsanız, sitenizde xmlrpc.php açığı yok demektir.
İlk yorum yazan siz olun.