WordPress xmlrpc.php saldırısına çözüm için bu sayfada yazılanları uygulamanız yeterlidir. WordPress kullandığınız sitenizin içinde bulunan xmlrpc.php dosyasına bir süre sonra çok fazla istek gönderilmeye başlanır. Bu durum sitenin barındırıldığı sunucuda CPU ve RAM limitlerinin tüketimi artarak sitede sunucu hatası vermeye başlar.
Web sitenizde de xmlrpc.php dosyası kaynaklı açık olup olmadığını kontrol etmek için aşağıda yazılan linki tarayıcı da çalıştırınız.
http://kendisitenizinadınıyazın.com/xmlrpc.php
Ekranda “XML-RPC server accepts POST requests only ” yazısını görüyorsanız dosyada açık var olduğunu göstermektedir.
Saldırının WHM/cpanel içinde apache bölümünde görülen kısmı:
boduroglu.me:80 POST /xmlrpc.php HTTP/1.0
Bunu saldırıyı engellemek için xmlrpc.php dosyasını erişime kapatmak gerekiyor. Kapatma işlemi için yani xmlrpc.php dosyasını erişime engellemek için kesinlikle .htaccess dosyanıza kod eklemesi yapmayınız. Çünkü .htaccess dosyanıza kod eklemesi yaptığınızda bozulmasına neden olabilirsiniz.
Bu açığı kapatmak için önce ister FTP üzerinden ister sitenizin hosting paneli üzerinden xmlrpc.php dosyası açınız. Dosyanın içini tamamen silip boşaltın ve sadece alan adınızı yazarak kayıt ederek kapatın.
Daha sonra aşağıda ki eklentiyi indirerek sitenizin wp-admin bölümünde eklentiler kısmından indirdiğiniz eklentiyi yükleyerek aktifleştiriniz.
İndir => Stop XML-RPC Attack
Bu wordPress eklentisi, JetPack / Automattic’in alt ağları hariç her yerden xmlrpc.php’e erişimi engeller. Düzenli olarak, eklenti ARIN’i sorgular ve .htaccess dosyanızı AUTOM-93’e (Automattic, Inc.) ait olan alt ağlara izin verecek şekilde güncelleştirecektir.
Eklentinin çalışmasından sonra .htaccess dosyasında ki engellen IP adreslerinin görüntüsü aşağıda ki gibidir.
# BEGIN WORDPRESS PLUGIN stop_xmlrpc_attack
<Files “xmlrpc.php”>
order deny,allow
deny from all
allow from 10.0.0.0/8
allow from 64.34.206.0/24
allow from 66.155.105.128/26
allow from 69.90.253.0/24
allow from 76.74.248.128/25
allow from 76.74.255.0/25
allow from 127.0.0.0/8
allow from 172.16.0.0/12
allow from 192.0.64.0/18
allow from 192.168.0.0/16
allow from 198.181.116.0/22
</Files>
# END WORDPRESS PLUGIN stop_xmlrpc_attack
