Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

WordPress – Comment vous protéger de cette nouvelle méthode d’attaque par bruteforce ?

Si vous utilisez WordPress pour votre site web, sachez qu’une nouvelle méthode d’attaque par bruteforce découverte au début du mois par la société Sucuri permet à un attaquant de tester de très nombreux identifiants et mots de passe avec une simple requête HTTP.

Avec une attaque classique, 1 requête = 1 tentative de login. Mais avec cette attaque qui exploite une faiblesse dans XML-RPC, 1 requête = x tentatives de login.

WordPress XML-RPC Brute Force Amplification Attack

Évidemment, comme vous ne verrez plus des tonnes de tentatives débouler dans vos logs, cette attaque est plus difficile à détecter. Comme XML-RPC permet de faire passer du XML via HTTP vers WordPress pour déclencher des actions (cron, api, manipulation de données…etc), il est très simple d’encapsuler non pas une mais un grand nombre de demandes de logins dans la même requête XML grâce à la méthode system.multicall.

Ce nombre de demandes est limité uniquement par la mémoire accordée à PHP. Autant dire que plus votre PHP a de mémoire, plus l’attaquant va pouvoir tester en même temps des centaines, voire des milliers d’identifiants en même temps.

Alors, comment se protéger ? Et bien si vous utilisez Cloudflare et que vous avez accès au WAF (Firewall applicatif présent dans la version payante de CF), pensez à activer les règles liées à WordPress.

 f1

Cliquez sur le jeu de règles et bloquez la WP0018.

af2

Autrement, il vous reste l’option « code » qui consiste à désactiver les appels à la méthode system.multicall en ajoutant ceci dans votre fichier functions.php, en attendant que WordPress publie un patch.

function mmx_remove_xmlrpc_methods( $methods ) {
unset( $methods[‘system.multicall’] );
return $methods;
}
add_filter( ‘xmlrpc_methods’, ‘mmx_remove_xmlrpc_methods’);

Ainsi vous serez protégé des scripts kiddies qui seraient tentés de s’en prendre à votre site. Pensez aussi à mettre un mot de passe un peu plus complexe qui sera difficile de casser avec un simple dictionnaire.


Pack débutant WWDC 2018

Devenez programmeur iPhone pour la sortie de iOS 12

! Dernier jour de promo !

Ce pack spécial WWDC 2018 contient tout le nécessaire pour apprendre à programmer, vous spécialiser en programmation iPhone/iPad et vous préparer pour la sortie de iOS 12 à l’automne.

Il rassemble 5 cours et l’accès à plusieurs services d’aide et d’accompagnement pour vous aider à devenir un programmeur.

9 modules sont inclus dans ce pack pour vous fournir le meilleur dispositif éducatif pour vous apprendre à coder, suivre votre progression et vous aider à tout moment dans votre apprentissage.

Au prix habituel de 330 € ce pack vous est proposé en accés limité au prix de 59 €

Pour découvrir l’offre c’est ici


Réponses notables

  1. Je suis en train de mettre en place deux blogs professionnels plutôt stratégiques et auto-hébergés (actuellement en phase de test), et j’ai envie, une fois installé, de passer plus de temps à poster les articles qu’à mettre la main dans le cambouis.

    Avec fréquence de ce genre d’information et la maintenance quasi-permanente que représente un site sous Wordpress, je commence à me demander s’il ne vaut pas mieux regarder du côté de solutions plus légères (genre BlogoText, Pluxml, etc.). Je perdrai l’accès via une app (l’appli Android de Wordpress est vraiment pas mal) mais bon, il faut bien sacrifier quelque chose…

    PS : oui, je reconnais, c’était de l’hors-sujet :wink:

  2. Yoav says:

    Ouais, pareil. Du coup, j’ai tout lâché niveau CMS et je code direct mon site sous Bootstrap. Il y a des avantages et des inconvénients mais bon…

Continuer la discussion sur Korben Communauté

7 commentaires supplémentaires dans les réponses

Participants