Publicado en , ,
6 minutos

Qué es el sistema XML-RPC de WordPress

Qué es el sistema XML-RPC de WordPress
Sobre qué es el sistema XML-RPC de WordPress y por qué puede ser un riesgo de seguridad para tu sitio web.
Picture of Carlos Soriano
Carlos Soriano

Diseñador Web en WordPress

Tabla de Contenidos

El aumento de la navegación por la red, el aumento de la confianza de los internautas hacia las compras online, sumado a la incentivación de la digitalización de la información, son signos de los tiempos en que vivimos. Pero, así como el aumento del movimiento de masas por el comercio, en la antigüedad, propició el aumento de robos y saqueos, así mismo, los ciberdelincuentes se están esmerando en sus oscuras artes del robo de datos. Por eso, hoy quiero hablarte de algo que te debe interesar, si tienes un sitio creado en WordPress. Sabes qué es el sistema XML-RPC DE WordPress.

El sistema XML-RPC

El sistema XML-RPC en WordPress permite la comunicación remota con tu sitio. Aunque proporciona funcionalidades útiles, también presenta varios riesgos de seguridad, especialmente cuando se trata del sistema de pings. Pero, ¿para qué usa exactamente WordPress, este sistema?

Esta funcionalidad permite realizar diversas acciones en WordPress, desde aplicaciones y servicios externos, sin necesidad de acceder directamente al panel de administración. A continuación, te describiré las principales aplicaciones del sistema XML-RPC en WordPress:

Funcionalidades del Sistema XML-RPC en WordPress

  1. Publicación Remota:
    • Permite a los usuarios publicar nuevas entradas, editar entradas existentes y eliminar entradas desde aplicaciones de terceros, como clientes de blogs de escritorio y aplicaciones móviles.
  2. Gestión de Contenidos:
    • Facilita la creación, edición y eliminación de páginas y otros tipos de contenido.
  3. Comentarios:
    • Permite la moderación de comentarios, incluyendo la aprobación, eliminación y respuesta a comentarios desde aplicaciones externas.
  4. Configuración del Sitio:
    • Permite actualizar configuraciones básicas del sitio y gestionar categorías y etiquetas.
  5. Aplicaciones Móviles:
    • Las aplicaciones móviles oficiales de WordPress para iOS y Android utilizan XML-RPC para comunicarse con el sitio, permitiendo a los usuarios gestionar sus sitios desde dispositivos móviles.
  6. Pingbacks y Trackbacks:
    • Utiliza XML-RPC para enviar notificaciones automáticas (pingbacks) cuando alguien enlaza a tu contenido desde otro sitio.

Si este sistema provee a WordPress de estas funcionalidades, ¿Dónde está el problema? A continuación, te explico por qué puede ser inseguro:

Riesgos de Seguridad del Sistema XML-RPC

  1. Ataques de Fuerza Bruta:
    • XML-RPC permite múltiples intentos de inicio de sesión en una sola solicitud, lo que puede ser explotado por los atacantes para realizar ataques de fuerza bruta. Esto significa que, los hackers pueden probar muchas combinaciones de nombres de usuario y contraseñas en poco tiempo.
  2. Ataques DDoS (Denegación de Servicio Distribuida):
    • Los atacantes pueden usar XML-RPC para enviar múltiples solicitudes pingback.ping a tu sitio, lo que puede sobrecargar el servidor y llevar a una denegación de servicio. Este tipo de ataque puede hacer que tu sitio sea inaccesible para los usuarios legítimos.
  3. Exploit de Pingbacks:
    • El sistema de pingbacks puede ser explotado para lanzar ataques DDoS hacia otros sitios. Los atacantes pueden enviar solicitudes de pingback desde tu sitio a otros sitios, utilizando tus recursos para atacar a terceros sin tu conocimiento.
  4. Ejecución Remota de Código:
    • En algunas versiones de WordPress, se han descubierto vulnerabilidades que permiten la ejecución remota de código a través de XML-RPC. Esto significa que un atacante podría potencialmente ejecutar comandos en tu servidor.

Ejemplos de Explotaciones

  • Ataque de Pingback Amplificado: Un atacante envía una solicitud XML-RPC con el método pingback.ping, apuntando a múltiples URLs. Si el sitio objetivo responde, el atacante puede usar la respuesta para amplificar el ataque DDoS.
  • Ataque de Multiplicación de Solicitudes: Usando el método system.multicall, un atacante puede enviar múltiples comandos en una sola solicitud, haciendo más eficiente el ataque de fuerza bruta.

Medidas de Seguridad

Llegados a este punto, la pregunta es obvia. Cómo protejo mi sitio web de estos posibles ataques. Aquí tienes unos consejos.

  1. Desactivar XML-RPC:
    • La forma más segura de proteger tu sitio es desactivar XML-RPC, si no lo necesitas. Esto se puede hacer utilizando plugins como Disable XML-RPC o añadiendo código al archivo .htaccess o al archivo functions.php de tu tema. Algo para lo que necesitarás conocimientos avanzados.
  2. Uso de Plugins de Seguridad:
    • Utiliza plugins de seguridad como Wordfence o All in One WordPress Security and Firewall para bloquear solicitudes XML-RPC maliciosas y monitorear actividad sospechosa en tu sitio. Estos son los dos plugins de seguridad para WordPress más populares y completos.
  3. Limitar Acceso:
    • Si necesitas XML-RPC para funciones específicas, considera limitar el acceso a ciertas direcciones IP de confianza utilizando reglas en tu servidor web o mediante plugins de seguridad. Algunos proveedores de alojamiento web, como Profesional Hosting o Raiola NetWorks, ofrecen un sistema de seguridad avanzado para proteger tu sitio en WordPress.

En mi experiencia

Todos mis proyectos web en WordPress, incluyen un sistema de seguridad, que suelo implementar con All In One WordPress Security. Aunque, siempre recomiendo proveedores de alojamiento web que ofrezcan planes de hosting especializados en WordPress. Este plugin, monitoriza los sistemas de acceso de WordPress, de forma que puede implementar medidas de seguridad como la limitación de intentos de acceso, bloqueo de acceso para nombres de usuario concretos o que no se encuentren en la base de datos.

En unas cuantas ocasiones, algunos de mis clientes me han reportado intentos de acceso bloqueados por el plugin de seguridad, que llegan a su cuenta de correo cada pocos minutos. En uno de los sitios web que administro, pude contabilizar casi un centenar de intentos de acceso por fuerza bruta, en menos de una semana. Esto no es casualidad. Se han tratado de sitios susceptibles de tener una base de datos de suscriptores y otros eran tiendas online.

Este tipo de ataques suelen realizarse con algún software o bot, que automatiza la creación de múltiples combinaciones de nombres de usuario y contraseñas, por minuto.

Pues bien, tras una intensa revisión del sitio web, la explicación más plausible viene de la mano del servicio XML-RPC de WordPress. Mediante AIOWPS, suelo bloquear parcialmente este sistema, por si el cliente hiciera uso de él. Pero, dada la situación, procedo a bloquearlo completamente. Lo que da como resultado, que el ataque por fuerza bruta cese.

En resumen, aunque XML-RPC de WordPress proporciona funcionalidades útiles, como la capacidad de publicar de forma remota y usar aplicaciones móviles, también presenta varios riesgos de seguridad. Desactivar o limitar el acceso a XML-RPC puede ayudar a proteger tu sitio contra estos tipos de ataques.

Si has sufrido o estas sufriendo uno de estos ataques en tu sitio web en WordPress, dame un toque, y te atenderé con gusto. Si necesitas más datos, deja tu comentario.

Este sitio funciona con Hostinger. ¿Quieres un Alojamiento Web para tu WordPress?
Facebook
Twitter
LinkedIn
WhatsApp
Telegram

Comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos requeridos están marcados *

Sobre tu privacidad

  • Responsable: Carlos Soriano ()
  • Finalidad: Gestionar y Moderar tus comentarios para evitar spam.
  • Legitimación: Tu legítimo consentimiento.
  • Comunicación de datos: No se cederán datos a terceros destinatarios, salvo por obligación legal.
  • Derechos: Acceder, rectificar, limitar y suprimir tus datos.

Publicar comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.