Файл xmlrpc.php в WordPress - это скрытая лазейка для хакеров. Данные мониторинга безопасности однозначно показывают: всплески активности у этого интерфейса (предназначенного для удаленного управления) - верный признак идущей брутфорс-атаки. Массивы POST-запросов к xmlrpc.php - это почти всегда предвестник или спутник попыток взлома.
Описание
Сетевые логи рисуют характерную картину атаки: запросы к xmlrpc.php идут лавинообразно, с неестественной регулярностью и в огромных объемах. Критический индикатор - специфическая структура запросов, эксплуатирующая функцию пакетной обработки протокола. Это не одиночные проверки, а организованный автоматизированный штурм.
Типичная атакующая попытка:
| 1 2 3 | POST /xmlrpc.php HTTP/1.1 Host: [target] Content-Type: text/xml |
Статистика неумолима: через xmlrpc.php осуществляется до 80% всех брутфорс-атак на WordPress. Виной тому - техническая особенность XML-RPC: выполнение множества операций в рамках одного запроса. Злоумышленники злоупотребляют этой функцией, чтобы с высокой скоростью перебирать тысячи комбинаций логин/пароль. Главная ошибка администраторов, ведущая к успеху атаки - оставление интерфейса xmlrpc.php доступным.
