最近，Sucuri发现了一种新的针对WordPress实例的暴力攻击方法。这一最新技术允许攻击者在单个HTTP请求中尝试大量WordPress用户名和密码登录组合。该漏洞很容易被一个简单的脚本滥用，以尝试大量用户名和密码组合以及相对较少的HTTP请求。下图显示了对HTTP请求的登录尝试增加了4倍，但这可以简单地扩展到1000次登录。这种形式的暴力攻击很难被发现，因为你不一定会看到大量的请求。幸运的是，所有CloudFlare付费客户都可以选择启用Web应用程序防火墙规则集来阻止这种新的攻击方法。什么是XML-RPC？要了解此漏洞，必须了解XML远程过程协议（XML-RPC）的基本知识。XML-RPC使用HTTP上的XML编码来提供远程过程调用协议。它通常用于在WordPress实例中为api和其他自动化任务执行各种功能。使用XML-RPC修改、操作或查看数据的请求需要具有足够权限的用户凭据。下面是一个请求用户博客列表的示例：wp.getUsersBlogs管理员密码123服务器用包含所请求信息的XML消息进行响应。isAdmin name-value对告诉我们我们的凭据是正确的：isAdmin1网址blogid1博客名测试xmlrpc如此请求中所示，必须提供正确的身份验证才能获得成功的响应。理论上，您可以创建一个脚本来尝试用户名和密码的不同组合，但这是一个噪音很大的选项，效率不高，而且很容易被检测到（服务器日志将显示大量失败的登录尝试）。这就是系统.多调用功能发挥作用。您可以使用单个HTTP请求运行多个方法。这对于大量编辑博客或删除大量评论等都很有用。任何需要身份验证的方法都可能被滥用来强制认证。这是一个XML示例多功能系统有效载荷如下：系统.多调用方法名wp.getUsersBlogs参数管理密码方法名wp.getUsersBlogs参数管理密码如你所见，这可能导致非常明显的虐待。剥削在测试期间，我可以调用该方法wp.getUserBlogs在单个HTTP请求中执行1000次（仅限于PHP内存问题）。如果用户创建一个简单的shell循环，该循环执行一千次，并运行一个PHP脚本，该脚本编写一个包含一千个方法调用的HTTP请求，所有这些都需要身份验证，那么该用户将能够在非常短的时间内尝试一百万次唯一的登录。这使得brute强制登录非常快，并且可以在短时间内运行一个相当大的单词表。还要注意wp.getUserBlogs方法不是唯一需要身份验证的RPC调用。可以使用任何需要身份验证的RPC方法来尝试登录并强制使用Wordpress凭据。CloudFlare客户受到保护在专业级或更高级别的计划中使用CloudFlare时，您可以打开Web Application Firewall（WAF）并利用我创建的新WordPress规则集来减轻此攻击，而无需任何主要的交互或监督。我们的WAF通过检查HTTP请求与已知攻击和恶意活动的一致性来工作。如果一个请求看起来确实是恶意的，我们会把它放在边缘，这样它就永远不会到达客户的原始服务器。要启用该规则，请导航到CloudFlare防火墙仪表板，并引用名为"Blocks amplified brute force attempts Toxmlrpc.php文件"规则ID为WP0018。就这些了。现在您可以免受新的WordPressXML-RPC暴力放大攻击。手动解决方案另一种减轻此攻击的方法是禁用调用系统.多调用方法通过编辑函数.php文件。添加函数mmx_remove_xmlrpc_methods（）将缓解此问题，如下所示：函数mmx_remove xmlrpc_methods（$methods）{未设置（$methods['系统.多调用'] );返回$methods；}add_filter（'xmlrpc_methods'，'mmx_remove_xmlrpc_methods'）；最后的想法XML-RPC是对WordPress和其他web应用程序进行更改的有用工具；但是，某些功能的不当实现可能会导致意外的后果。默认方法如下系统.多调用以及pingback.ping（我们也有WAF规则）这只是一些可能的漏洞利用的例子。为面向Internet的属性正确配置CloudFlare Web Application Firewall可以在不更改服务器配置的情况下保护您免受此类攻击。