XML-RPC là một dịch vụ cho phép người dùng có thể truy xuất dữ liệu của blog như danh sách bài viết, xóa bài, duyệt comment từ các phần mềm của bên thứ ba, nhưng thật tiếc là dịch vụ này của WordPress lại cho phép đăng nhập nhiều tài khoản cùng lúc, đó là lý do tại sao các bạn hay bị hack mất mật khẩu nếu mật khẩu không đủ mạnh !
> http://domain.com/?author=1
Là tìm được Username, việc tiếp theo của hacker là làm sao đăng nhập được vào qua username đó, cách hay nhất và nhanh nhất so với Brute Force Attact là tấn công qua XML-RPC vì nó cho phép đăng nhập một lúc hàng loạt Mật khẩu khác nhau, thử với 500 mật khẩu/một lần hack, hacker sẽ nhanh chóng tìm ra mật khẩu đúng nếu bạn đặt nó không đủ mạnh !
VIệc hay ho nhất là các bạn có thể cài đặt các plugin như Itheme security để bảo toàn chúng, hãy vào cài đặt của plugin này và tắt chức năng XML RPC đi hoặc chọn như trong hình:
Tắt chức năng đăng nhập cùng lúc nhiều lần vào dịch vụ XML RPC của WordPress
XML RPC là cổng kết nối giữa website và phần mềm ngoài như ứng dụng WordPress trên Iphone, phần mềm viết blog, tuy nhiên nếu các bạn không dùng thì có thể tắt luôn nó đi !
Chúc các bạn thành công !
Không có nhận xét nào:
Đăng nhận xét