No es la primera vez que te damos indicaciones para reforzar la seguridad en WordPress, pero queremos seguir ampliando poco a poco con nuevos consejos. Esta vez es el turno del fichero xmlrpc.php ¡Esperamos que te sean útiles!
El post de hoy trata sobre una vulnerabilidad específica, y es que últimamente hemos recibido correos de varios clientes, usuarios de WordPress, que están teniendo problemas con sus webs. El primero fue el caso de Antonio: te lo contamos en detalle por si utilizas WordPress y quieres blindarte contra este problema.
Antonio se puso en contacto con nosotros cuando vio que su web de WordPress no estaba funcionando. No podía acceder, no funcionaba el correo electrónico… Un cuadro, y encima en día laborable. Escribió un Ticket a Soporte pidiéndonos que lo ayudáramos cuanto antes, explicando el problema y adjuntando una captura.
Uno de nuestros técnicos de Soporte analizó el caso y vio que estaba sufriendo caídas periódicas por culpa de ataques de fuerza bruta desde direcciones IP de países como Holanda o Turquía. Para que nos entendamos: estos ataques implican peticiones numerosísimas a la web y finalmente impiden acceder a ella, porque el tráfico que generan de manera artificial es insostenible. En resumen, es un ataque DDoS contra tu web de WordPress.
En el caso de Antonio, Soporte técnico bloqueó las direcciones IP atacantes, levantó la web e informó a Antonio del problema y de la solución aplicada. Sin embargo, en los días siguientes recibimos más casos idénticos, por lo que nos dimos cuenta de que el archivo contra el que se realizaban todas esas peticiones era común en todos: el archivo xmlrpc.php.
Con esta nueva pista e investigando un poco por la red, vimos que este archivo sirve para poder postear de forma remota (es decir, para utilizar otra aplicación para publicar posts: Microsoft Word, Textmate, Thunderbird, tu smartphone…). En concreto, los ataques parecían tener como objetivo la obtención de la contraseña de administrador.
Como te puedes imaginar, ni a Antonio ni al resto de clientes que contactaron con nosotros les hacía ninguna gracia que alguien pudiera obtener esa contraseña contra su voluntad. Tampoco habían necesitado nunca utilizar su WordPress de forma remota, así que estuvieron de acuerdo en bloquear el acceso al archivo xmlrpc.php aunque a partir de ese momento quedara inservible (de todos modos, como decimos, no lo utilizaban).
Al quedar inaccesible el archivo xmlrpc.php atacado, y por muchas peticiones que se realicen constantemente, resulta imposible tirar la web utilizando este método. Y lo mejor es que es facilísimo bloquear el archivo. Desde Soporte técnico siempre intentamos explicar todo lo que hacemos en nuestras respuestas a los Tickets y, de hecho, algunos de estos clientes aplicaron la medida sin ayuda nuestra.
Solamente hay que modificar el fichero .htaccess añadiendo este trocito de código:
<Files xmlrpc.php> order allow,deny deny from all </Files>
Si trabajas con la versión de Apache 2.4, añade las siguientes líneas:
<Files xmlrpc.php> Require all denied </Files>
Una vez hecho esto, tu web de WordPress queda completamente protegida contra los ataques realizados contra el archivo xmlrpc.php. Si nos necesitas, puedes ponerte en contacto con nosotros y lo haremos por ti sin ningún problema. Sabemos que mejorar la seguridad en WordPress es muy importante y estaremos encantados de ayudarte a conseguirlo. ¿Tienes dudas? Deja un comentario e intentaremos responderlas.