Tavallisesti WordPressiin kohdistuva hyökkäys on niin kutsuttu brute force-attack eli salasanasuojaus murretaan väkisin. Tehokkaat tietokoneet kykenevät kokeilemaan salasanavaihtoehtoja tuhansia kertoja minuutissa. Tällainen hyökkäys on helppo torjua, koska kirjautumisten määrää voidaan rajoittaa. Siihen tarkoitukseen löytyy useita plugineja.
Aina ei hyökkäys kohdistu tiedostoon login.php, jolloin tilanne on haasteellisempi. Viime vuoden puolella varoitettiin XML-RPC -hyökkäyksistä. XML-RPC on rajapinta, jonka kautta erilaiset sovellukset kuten esim. LiveWriter voivat kommunikoida WordPressin kanssa. Alun perin tämä oli hyvä juttu, mutta nyt kyseinen rajapinta on turvallisuusriski.
XML-RPC mahdollistaa system.multicall toiminnon eli kerralla voidaan suorittaa monta käskyä. Tämä mahdollistaa, että tätä reittiä käyttäen hakkeri voi testata satoja tai jopa tuhansia salasanoja yhdellä kertaa. Ja tarpeeksi, kun kokeilee niin murtuuhan se salsana. Logeissa tämäntapainen toiminta näkyy seuraavasti.
“POST /xmlrpc.php HTTP/1.1”
Koska kyseessä on iso tietoturvariski, kannattaa XML-RPC disabloida. Sen voi tehdä kätevästi kirjoittamalla .htacces tiedostoon seuraavast.
# Estä yhteys kohteeseen xmlrpc.php
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
Mikäli tämä menettelytapa ei mahdollista tai se on liian haastava, kannattaa asentaa plugin Disable XML-RPC.
Lisää aiheesta löytyy Sucurin blogista.