一、author页面地址

author页面地址为 http://yoursite/?author=1 ID是自增的

请求这个地址会 301 到一个url,这个url里包含了作者的用户名。虽然不算漏洞,还是给了爆破者很大的便利。

301指向的url :  .../author/你的后台登录用户名

解决方案

1.在主题代码里实现,只要访问主页url后头有author参数就让他跳到主页

将下面的代码添加到当前主题的  functions.php  文件:

  1. function my_author_link() {
  2.     return home_url('/' );
  3. }
  4. add_filter('author_link','my_author_link');

2.通过.htaccess文件添加301重定向来隐藏后台用户名

在 .htaccess 文件里加入

  1. redirect  /(这里还有path的请自行添加)/author/你的后台登录用户名/ http://yoursite/

上面这段代码意思为:

将 http://yoursite/.../author/你的后台登录用户名/

跳转至

http://yoursite/

当我们输入http://yoursite/?author=1 时会先跳转至http://yoursite/.../author/你的后台登录用户名/,所以将跳转后的链接做301重定向即可。

此方法也可以在你的web服务器配置文件中实现

二.xmlrpc.php

xmlrpc 是 WordPress 中进行远程调用的接口,而使用 xmlrpc 调用接口进行账号爆破在很早之前就被提出并加以利用。xmlrpc登录接口默认没有验证码,最大错误尝试次数限制等。利用xmlrpc.php提供的接口尝试猜解用户的密码,可以绕过wordpress对暴力破解的限制。

1.攻击方式

攻击的方式直接POST以下数据到xmlrpc.php

  1. <?xml version="1.0" encoding="iso-8859-1"?>
  2. <methodCall>   <methodName>wp.getUsersBlogs</methodName>   <params>    <param><value>username</value></param>    <param><value>password</value></param>   </params>
  3. </methodCall>

其中username字段是预先收集的用户名。password是尝试的密码。关于getUsersBlogs接口的更多信息可以参考官方的指南  。如果密码正确,返回为:

  1. <?xml version="1.0" encoding="UTF-8"?>
  2. <methodResponse>
  3.     <params>
  4.         <param>
  5.             <value>
  6.                 <array>
  7.                     <data>
  8.                         <value>
  9.                             <struct>
  10.                                 <member>
  11.                                     <name>isAdmin</name>
  12.                                     <value>
  13.                                         <boolean>1</boolean>
  14.                                     </value>
  15.                                 </member>
  16.                                 <member>
  17.                                     <name>url</name>
  18.                                     <value>
  19.                                         <string>http://yoursite/</string>
  20.                                     </value>
  21.                                 </member>
  22.                                 <member>
  23.                                     <name>siteid</name>
  24.                                     <value>
  25.                                         <string>1</string>
  26.                                     </value>
  27.                                 </member>
  28.                                 <member>
  29.                                     <name>SiteName</name>
  30.                                     <value>
  31.                                         <string>Your Site</string>
  32.                                     </value>
  33.                                 </member>
  34.                                 <member>
  35.                                     <name>xmlrpc</name>
  36.                                     <value>
  37.                                         <string>http://yoursite/xmlrpc.php</string>
  38.                                     </value>
  39.                                 </member>
  40.                             </struct>
  41.                         </value>
  42.                     </data>
  43.                 </array>
  44.             </value>
  45.         </param>
  46.     </params>
  47. </methodResponse>

错误返回:

  1. <?xml version="1.0" encoding="UTF-8"?>
  2. <methodResponse>
  3.     <fault>
  4.         <value>
  5.             <struct>
  6.                 <member>
  7.                     <name>faultCode</name>
  8.                     <value>
  9.                         <int>403</int>
  10.                     </value>
  11.                 </member>
  12.                 <member>
  13.                     <name>faultString</name>
  14.                     <value>
  15.                         <string>用户名或密码不正确。</string>
  16.                     </value>
  17.                 </member>
  18.             </struct>
  19.         </value>
  20.     </fault>
  21. </methodResponse>

近日 SUCURI 发布文章介绍了如何利用 xmlrpc 调用接口中的 system.multicall 来提高爆破效率,使得成千上万次的帐号密码组合尝试能在一次请求完成,极大的压缩请求次数,在一定程度上能够躲避日志的检测。

2.原理分析

WordPress 中关于 xmlrpc 服务的定义代码主要位于 wp-includes/class-IXR.php 和 wp-includes/class-wp-xmlrpc-server.php 中。基类 IXR_Server 中定义了三个内置的调用方法,分别为 system.getCapabilities,system.listMethods 和 system.multicall,其调用映射位于 IXR_Server 基类定义中:

  1. <?php
  2. function setCallbacks()
  3. {
  4.     $this->callbacks['system.getCapabilities'] = 'this:getCapabilities';
  5.     $this->callbacks['system.listMethods'] = 'this:listMethods';
  6.     $this->callbacks['system.multicall'] = 'this:multiCall';
  7. }

而基类在初始化时,调用  setCallbacks()  绑定了调用映射关系:

  1. <?php
  2. function __construct( $callbacks = false, $data = false, $wait = false )
  3. {
  4.     $this->setCapabilities();
  5.     if ($callbacks) {
  6.         $this->callbacks = $callbacks;
  7.     }
  8.     $this->setCallbacks();  // 绑定默认的三个基本调用映射
  9.     if (!$wait) {
  10.         $this->serve($data);
  11.     }
  12. }

再来看看 system.multicall 对应的处理函数:

  1. <?php
  2. function multiCall($methodcalls)
  3. {
  4.     // See http://www.xmlrpc.com/discuss/msgReader$1208
  5.     $return = array();
  6.     foreach ($methodcalls as $call) {
  7.         $method = $call['methodName'];
  8.         $params = $call['params'];
  9.         if ($method == 'system.multicall') {
  10.             $result = new IXR_Error(-32600, 'Recursive calls to system.multicall are forbidden');
  11.         } else {
  12.             $result = $this->call($method, $params);
  13.         }
  14.         if (is_a($result, 'IXR_Error')) {
  15.             $return[] = array(
  16.                 'faultCode' => $result->code,
  17.                 'faultString' => $result->message
  18.             );
  19.         } else {
  20.             $return[] = array($result);
  21.         }
  22.     }
  23.     return $return;
  24. }

可以从代码中看出,程序会解析请求传递的 XML,遍历多重调用中的每一个接口调用请求,并会将最终有调用的结果合在一起返回给请求端。

这样一来,就可以将500种甚至是10000种帐号密码爆破尝试包含在一次请求中,服务端会很快处理完并返回结果,这样极大地提高了爆破的效率,利用多重调用接口压缩了请求次数,10000种帐号密码尝试只会在目标服务器上留下一条访问日志,一定程度上躲避了日志的安全检测。

通过阅读 WordPress 中 xmlrpc 相关处理的代码,能大量的 xmlrpc 调用都验证了用户名和密码:

  1. <?php
  2. if ( !$user = $this->login($username, $password) )
  3.     return $this->error;

通过搜索上述登录验证代码可以得到所有能够用来进行爆破的调用方法列表如下:

  1. wp.getUsersBlogs, wp.newPost, wp.editPost, wp.deletePost, wp.getPost, wp.getPosts, wp.newTerm, wp.editTerm, wp.deleteTerm, wp.getTerm, wp.getTerms, wp.getTaxonomy, wp.getTaxonomies, wp.getUser, wp.getUsers, wp.getProfile, wp.editProfile, wp.getPage, wp.getPages, wp.newPage, wp.deletePage, wp.editPage, wp.getPageList, wp.getAuthors, wp.getTags, wp.newCategory, wp.deleteCategory, wp.suggestCategories, wp.getComment, wp.getComments, wp.deleteComment, wp.editComment, wp.newComment, wp.getCommentStatusList, wp.getCommentCount, wp.getPostStatusList, wp.getPageStatusList, wp.getPageTemplates, wp.getOptions, wp.setOptions, wp.getMediaItem, wp.getMediaLibrary, wp.getPostFormats, wp.getPostType, wp.getPostTypes, wp.getRevisions, wp.restoreRevision, blogger.getUsersBlogs, blogger.getUserInfo, blogger.getPost, blogger.getRecentPosts, blogger.newPost, blogger.editPost, blogger.deletePost, mw.newPost, mw.editPost, mw.getPost, mw.getRecentPosts, mw.getCategories, mw.newMediaObject, mt.getRecentPostTitles, mt.getPostCategories, mt.setPostCategories

这里是用参数传递最少获取信息最直接的 wp.getUsersBlogs 进行测试,将两次帐号密码尝试包含在同一次请求里,构造 XML 请求内容为:

  1. <?xml version="1.0" encoding="UTF-8"?>
  2. <methodCall>
  3.   <methodName>system.multicall</methodName>
  4.   <params><param>
  5.     <value><array><data>
  6.       <value><struct>
  7.         <member><name>methodName</name><value><string>wp.getUsersBlogs</string></value></member>
  8.         <member><name>params</name><value><array><data>
  9.           <value><string>admin</string></value>
  10.           <value><string>admin888</string></value>
  11.         </data></array></value></member>
  12.       </struct></value>
  13.  
  14.       <value><struct>
  15.         <member><name>methodName</name><value><string>wp.getUsersBlogs</string></value></member>
  16.         <member><name>params</name><value><array><data>
  17.           <value><string>guest</string></value>
  18.           <value><string>test</string></value>
  19.         </data></array></value></member>
  20.       </struct></value>
  21.     </data></array></value>
  22.   </param></params>
  23. </methodCall>

将上面包含两个子调用的 XML 请求POST至 xmlrpc 服务端入口,若目标开启了 xmlrpc 服务会返回类似如下的信息:

  1. <?xml version="1.0" encoding="UTF-8"?>
  2. <methodResponse>
  3.   <params>
  4.     <param>
  5.       <value>
  6.       <array><data>
  7.   <value><array><data>
  8.   <value><array><data>
  9.   <value><struct>
  10.   <member><name>isAdmin</name><value><boolean>1</boolean></value></member>
  11.   <member><name>url</name><value><string>http://172.16.96.130/xampp/wordpress-4.3.1/</string></value></member>
  12.   <member><name>blogid</name><value><string>1</string></value></member>
  13.   <member><name>blogName</name><value><string>WordPress 4.3.1</string></value></member>
  14.   <member><name>xmlrpc</name><value><string>http://172.16.96.130/xampp/wordpress-4.3.1/xmlrpc.php</string></value></member>
  15. </struct></value>
  16. </data></array></value>
  17. </data></array></value>
  18.   <value><struct>
  19.   <member><name>faultCode</name><value><int>403</int></value></member>
  20.   <member><name>faultString</name><value><string>用户名或密码不正确。</string></value></member>
  21. </struct></value>
  22. </data></array>
  23.       </value>
  24.     </param>
  25.   </params>
  26. </methodResponse>

从结果中可以看到在同一次请求里面处理了两种帐号密码组合,并以集中形式将结果返回,通过该种方式可以极大地提高帐号爆破效率。

3.防护建议

1) 通过配置 Apache、Nginx 等 Web 服务器来限制 xmlrpc.php 文件的访问;

这里举例一个nginx的

  1. location =/xmlrpc.php {
  2.     deny all;
  3. }

2) 添加防护代码至WordPress配置文件

在wordpress的配置文件  wp-config.php  中添加如下代码

  1. add_filter('xmlrpc_enabled', '__return_false');

3) 从官方插件库中安装 Disable XML-RPC https://wordpress.org/plugins/disable-xml-rpc/ 并启用。

4) 在不影响站点运行的情况下可以直接删除 xmlrpc.php 文件。(不建议)

三. wordpress 后台默认地址

后台默认地址是 http://yoursite/wp-login.php 这个地址很容易让有意爆破者,或者爆破工具(比如:wpscan) 找到,我们需要修改掉这个默认地址。

网上找到的很多做法是这样。在主题的 functions.php 里添加以下代码

  1. function login_protection() {
  2.     if($_GET['word'] !='press')
  3.         header('Location: /');
  4. }
  5. add_action('login_enqueue_scripts','login_protection');

这样一来,后台登录的唯一地址就是 http://yoursite/wp-login.php?word=press,如果不是这个地址,就会自动跳转到 http://yoursite/

但是,这并不能完全解决爆破入口的问题,懂一些http的人可以通过post来爆破该入口。

解决方案:

这里推荐三个插件
WPS Hide Login: 修改登录路由,来达到隐藏wordpress登录入口暴露的问题
WPS Limit Login: 限制后台登录试错次数,阻止黑客的IP地址

Brute Force Login Protection :跟 WPS Limit Login 功能差不多

四.restAPI

wordpress的restAPI也是可以暴露用户名的

GET http://yoursite/wp-json/wp/v2/users

  1. [
  2.     {
  3.         "id": ,
  4.         "name": "nickname",
  5.         "url": "",
  6.         "description": "",
  7.         "link": "http://yoursite/author/username",
  8.         "slug": "username",
  9.         "avatar_urls": {
  10.             "": "https://secure.gravatar.com/avatar/hashNumber?s=24&d=retro&r=g",
  11.             "": "https://secure.gravatar.com/avatar/hashNumber?s=48&d=retro&r=g",
  12.             "": "https://secure.gravatar.com/avatar/hashNumber?s=96&d=retro&r=g"
  13.         },
  14.         "meta": [],
  15.         "_links": {
  16.             "self": [
  17.                 {
  18.                     "href": "http://yoursite/wp-json/wp/v2/users/1"
  19.                 }
  20.             ],
  21.             "collection": [
  22.                 {
  23.                     "href": "http://yoursite/wp-json/wp/v2/users"
  24.                 }
  25.             ]
  26.         }
  27.     }
  28. ]

"link": "http://yoursite/author/username"  中  username  就是后台用户名了

解决方案:

方法一: 代码中禁止

在wordpress的主题所在 functions.php 中添加如下代码

过滤users端点,使未登录用户不能访问

  1. add_filter( 'rest_endpoints', function( $endpoints ){
  2.     if(!is_user_logged_in()) {
  3.         if ( isset( $endpoints['/wp/v2/users'] ) ) {
  4.             unset( $endpoints['/wp/v2/users'] );
  5.         }
  6.         if ( isset( $endpoints['/wp/v2/users/(?P<id>[\d]+)'] ) ) {
  7.             unset( $endpoints['/wp/v2/users/(?P<id>[\d]+)'] );
  8.         }
  9.     }
  10.     return $endpoints;
  11. });

或者

完全禁用未登录用户获取api

  1. /*禁用未登录的用户*/
  2. function rest_only_for_authorized_users($wp_rest_server) {
  3.     if ( !is_user_logged_in() ) {
  4.         wp_die('非法操作!');
  5.     }
  6. }
  7. add_filter('rest_api_init', 'rest_only_for_authorized_users', 99);

两种方法,二选一

方法二:通过Web 服务器限制restAPI的访问

这里用nginx来举例子,其他服务器的设置请自行研究

全面禁用restAPI
  1. location ~* /wp/v2/(.*) {
  2.     deny all;
  3. }
只禁用users端点
  1. location ~* /wp-json/wp/v2/users(\/)?(.*)? {
  2.     deny all;
  3. }

方法三:WPS Bidouille插件

WPS Bidouille  中有个功能,可以直接在后台禁用掉restAPI的用户端点,所以,你只需要将用户端点在后台禁用即可。也可直接禁用REST API。
此外,该插件还支持禁用作者页面和作者链接,省掉了本文第一节的代码操作。其他功能详见这里

参考文章

  1. http://blog.knownsec.com/2015/10/wordpress-xmlrpc-brute-force-amplification-attack-analysis/
  2. https://blog.csdn.net/u013474104/article/details/78703122

wordpress 暴力破解防范的更多相关文章

  1. 防止WordPress利用xmlrpc.php进行暴力破解以及DDoS

    早在2012 年 12 月 17 日一些采用 PHP 的知名博客程序 WordPress被曝光存在严重的漏洞,该漏洞覆盖WordPress 全部已发布的版本(包括WordPress 3.8.1).该漏 ...

  2. WordPress防暴力破解:安全插件和用.htpasswd保护WordPress控制面板

    正在用Wordpress的博主们一定知道最近全球兴起的一波黑客锁定Wordpress暴力破解控制面板密码的风波了,据CloudFlare执行长Matthew Prince所说,所谓的暴力密码攻击是输入 ...

  3. 暴力破解FTP服务器技术探讨与防范措施

    暴力破解FTP服务器技术探讨与防范措施 随着Internet的发展出现了由于大量傻瓜化黑客工具任何一种黑客攻击手段的门槛都降低了很多但是暴力破解法的工具制作都已经非常容易大家通常会认为暴力破解攻击只是 ...

  4. DVWA 黑客攻防演练(二)暴力破解 Brute Froce

    暴力破解,简称"爆破".不要以为没人会对一些小站爆破.实现上我以前用 wordpress 搭建一个博客开始就有人对我的站点进行爆破.这是装了 WordfenceWAF 插件后的统计 ...

  5. ssh防止暴力破解之fail2ban

    1.利用sshd服务本身防止暴力破解 2.sshd服务防止暴力破解和fail2ban使用方法 先说说一般的防范措施: 方法1: 1.密码足够复杂: 密码的长度要大于8位最好大于14位.密码的复杂度是密 ...

  6. 利用ModSecurity防御暴力破解

    利用ModSecurity防御暴力破解 from:http://www.freebuf.com/articles/web/8749.html 2013-04-18 共553248人围观 ,发现 12 ...

  7. 拒绝ssh远程暴力破解

    拒绝ssh远程暴力破解 简介 在网络技术日益发展的今天,网络上的安全问题日益严重.当你在公网上使用Linux服务器时,很有可能你的服务器正在遭受ssh暴力破解. 曾经有一次我的同伴将给客户提供监控服务 ...

  8. ModSecurity防御暴力破解

    http://www.modsecurity.org/ ModSecurity防御暴力破解 在阅读本文前,先简单了解下什么是ModSecurity,ModSecurity是一个入侵探测与阻止的引擎.它 ...

  9. Linux CentOS 防止SSH暴力破解

    一. 问题的发现 昨晚苦逼加班完后,今早上班继续干活时,SSH连接服务器发现异常的提示,仔细看了一下吓一小跳,昨晚9点钟到现在,一夜之间被人尝试连接200+,慌~~~ 1. 速度查一下log [roo ...

随机推荐

  1. leetcode71

    这道题很简单,大约是词法分析器差不多的原理.但是我觉得看了别人简洁的代码后还是很有收获的.本人的冗余代码就不好意思放上来了,以下是别人的参考代码和值得借鉴的地方: class Solution { p ...

  2. 常见的HTTP状态码(HTTP Status Code)说明

    作为一个互联网开发人员对于一些服务器返回的HTTP状态的意思都必须是了如指掌的,只有将这些状态码一一弄清楚,工作中遇到的各种问题才能够处理的得心应手.好了,下面就让我们来了解一下比较常见的HTTP状态 ...

  3. gitlab安装随记

    gitlab安装 配置yum源 sudo vim /etc/yum.repos.d/gitlab-ce.repo 按照网上别人的例子,修改为清华的源 [gitlab-ce] name=Gitlab C ...

  4. linux常用命令 echo输出命令

    echo输出命令 'echo [选项] [输出内容]' 选项 '-e' 支持反斜线控制的字符转换 控制字符​ \a 输出警告音 \b 退格键,也就是向左删除键 \n 换行符 \r 回车键 \t 制表符 ...

  5. Linux c codeblock的使用(二):在工程中编译多个文件

    (一)前言 我们刚开始学习linux c的时候,一般都是在一个c文件里面写完所有程序,然后用gcc编译这个c文件就好了,十分简单. 但是你有没有想过,如果我们希望将不同模块的代码放到不同的c文件,然后 ...

  6. [树组BIT]训练两题重新理解ver.

    树状数组重(jiao)新(wo)理(zuo)解(ren) POJ-2352 加加加都给我加 输入是一行一行按照x从小到大给出的,所以对于每个点,要考虑的只是x比它小的点的个数.即记录各个x的情况,并且 ...

  7. asp.net IHttpHandler浅析

    在asp.net程序中,我们可以通过配置url的path路径的方式,将某个path路径下的请求交给指定的IHttpHandler去处理,这便是对request请求进行编程. 一.新建一个framewo ...

  8. Python 字典删除元素clear、pop、popitem

    同其它python内建数据类型一样,字典dict也是有一些实用的操作方法.这里我们要说的是字典删除方法:clear().pop()和popitem(),这三种方法的作用不同,操作方法及返回值都不相同. ...

  9. xcode10关于clang -lstdc++.6.0.9报错问题

    因为xcode10已经废弃了libstdc++.6.0.9这个库,所以只需要在你的工程中删除这个库,然后添加libc++这个库就可以了.别的没什么,如果xcode10报错mutable开头的,大部分是 ...

  10. 从0到1用eclipse用maven搭建web项目

    1,默认已经搭建了JDK1.5以上,以及eclipseEE版本,和maven. 2,修改maven的本地仓库和镜像,修改本地仓库是为了方便我们管理,maven的默认仓库是在C盘的USER文件夹下,我一 ...