Tắt chức năng đăng nhập cùng lúc nhiều lần vào dịch vụ XML RPC của Wordpress

Nguy cơ bảo mật từ XML-RPC của WordPress và cách phòng chống

XML-RPC là một dịch vụ cho phép người dùng có thể truy xuất dữ liệu của blog như danh sách bài viết, xóa bài, duyệt comment từ các phần mềm của bên thứ ba, nhưng thật tiếc là dịch vụ này của WordPress lại cho phép đăng nhập nhiều tài khoản cùng lúc, đó là lý do tại sao các bạn hay bị hack mất mật khẩu nếu mật khẩu không đủ mạnh !

Hãy tưởng tượng thế này, để tìm ra Username của web thì cực dễ dàng, chỉ cần thử từng ID một trên địa chỉ như:

> http://domain.com/?author=1

Là tìm được Username, việc tiếp theo của hacker là làm sao đăng nhập được vào qua username đó, cách hay nhất và nhanh nhất so với Brute Force Attact là tấn công qua XML-RPC vì nó cho phép đăng nhập một lúc hàng loạt Mật khẩu khác nhau, thử với 500 mật khẩu/một lần hack, hacker sẽ nhanh chóng tìm ra mật khẩu đúng nếu bạn đặt nó không đủ mạnh !

VIệc hay ho nhất là các bạn có thể cài đặt các plugin như Itheme security để bảo toàn chúng, hãy vào cài đặt của plugin này và tắt chức năng XML RPC đi hoặc chọn như trong hình:

Tắt chức năng đăng nhập cùng lúc nhiều lần vào dịch vụ XML RPC của WordPress
Tắt chức năng đăng nhập cùng lúc nhiều lần vào dịch vụ XML RPC của WordPress

XML RPC là cổng kết nối giữa website và phần mềm ngoài như ứng dụng WordPress trên Iphone, phần mềm viết blog, tuy nhiên nếu các bạn không dùng thì có thể tắt luôn nó đi !

Chúc các bạn thành công !

TÁC GIẢ:

Tôi là Jam, thâm niên 7 năm thiết kế website và làm SEO. Hãy theo dõi blog của tôi để nhận được nhiều chia sẻ thú vị xung quanh chủ đề công nghệ.

Có 3 bình luận !

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *