{"id":20615,"date":"2017-02-01T17:42:25","date_gmt":"2017-02-01T15:42:25","guid":{"rendered":"https:\/\/www.hostinet.com\/formacion\/?p=20615"},"modified":"2017-07-28T13:51:05","modified_gmt":"2017-07-28T11:51:05","slug":"evitar-ataques-al-xmlrpc-wordpress","status":"publish","type":"post","link":"https:\/\/www.hostinet.com\/formacion\/wordpress\/evitar-ataques-al-xmlrpc-wordpress\/","title":{"rendered":"C\u00f3mo Evitar Ataques al XMLRPC de WordPress"},"content":{"rendered":"
<\/div>

\n\t\"Evirtar\n<\/p>\n

\n\tLa seguridad<\/strong> se está convirtiendo en algo muy importantes para todos los usuarios de Internet.\n<\/p>\n

\n\tNo dejamos de recibir noticias de ataques que comprometen las credenciales de seguridad de millones de usuarios<\/strong> de las compañías más importantes de Internet.\n<\/p>\n

\n\tAtaques phishing a cuentas de Gmail<\/a><\/strong> o el espectacular aumento de ataques de fuerza bruta a las instalaciones de WordPress<\/a><\/strong>, también han sido noticia últimamente y no parece que esta tendencia vaya a cambiar próximamente.\n<\/p>\n

\n\tPor eso es necesarios que, tanto en la vida personal, como en nuestros proyectos en Internet, se tomen las mayores precauciones en materia de seguridad.<\/strong>\n<\/p>\n

\n\tSi tenemos una web con WordPress instalado, no debemos pensar que nuestro pequeño sitio web no puede ser el objetivo de un ataque<\/strong>, debemos de pensar justo lo contrario, que somos un objetivo y debemos protegernos para que no puedan causarnos ningún problema.\n<\/p>\n

\n\tEn los ataques de fuerza bruta<\/strong> en WordPress, son ataques en los que se prueban multitud de contraseñas al azar con la intención de adivinar<\/em> la correcta, el sitio al que todos miramos es el wp-login<\/strong>. Y tiene su lógica, ya que es aquí donde tenemos que poner nuestro nombre de usuario y contraseña.\n<\/p>\n

\n\t\"wp-login\n<\/p>\n

\n\tPero este no es el único objetivo de este tipo de ataques en WordPress, según el blog de Wordfence, en una muestra de dos semanas comprobaron que los ataques de fuerza bruta son más elevados en el archivo XMLRPC.php<\/strong>\n<\/p>\n

\n\t\"ataques
\n\t*Hosting rápido y de calidad, tenemos lo que necesitas. CLICK AQUÍ <\/span><\/a><\/span><\/strong>\n<\/p>\n

\n\t¿Qué es el Archivo XMLRPC?
\n<\/h2>\n

\n\tSi buscáis en vuestra instalación de WordPress, podéis encontrarlo entre el resto de archivos.\n<\/p>\n

\n\t\"archivo\n<\/p>\n

\n\tSi buscamos una definición técnica podemos recurrir a la Wikipedia:\n<\/p>\n

\n

\n\t\tXML-RPC es un protocolo de llamada a procedimiento remoto que usa XML para codificar los datos y HTTP como protocolo de transmisión de mensajes.1\n\t<\/p>\n<\/blockquote>\n

\n\t
\n\tEn un lenguaje menos técnico podemos explicar que el archivo XMLRPC sirve para que una aplicación externa se pueda comunicar con nuestro WordPress.<\/strong>\n<\/p>\n

\n\tEl ejemplo más común quizás sean los pingbacks<\/strong>, el sistema para avisar a un blog que se está hablando de el en otro blog, y que conocen la mayoría de usuarios de WordPress.\n<\/p>\n

\n\tTambién es muy usado por todos aquellos usuarios que usan una aplicación de escritorio para escribir sus entradas<\/strong>, como por ejemplo Word de Microsoft,<\/strong> o cualquier app móvil<\/strong> que tenga contacto con la administración de WordPress.\n<\/p>\n

\n\tCómo veis es una puerta de acceso<\/strong>, y cómo toda puerta, es especialmente vulnerable.\n<\/p>\n

\n\t
\n\tCómo Proteger en Archivo XMLRPC
\n<\/h2>\n

\n\tEste es un punto en el que el usuario debe decidir. Es posible anular\/bloquear el archivo XMLRCP<\/strong> con sólo añadir un código en el archivo .htaccess<\/strong>:\n<\/p>\n

\r\n<files xmlrpc.php>\r\nOrder Allow,Deny\r\nDeny from all\r\n<\/files>\r\n<\/code><\/pre>\n
\n\tSi haces click aquí<\/a><\/strong> te explicamos donde localizar el archivo .htaccess.\n<\/p>\n
\n\tTambién podemos usar un plugin como Disable XML-RPC<\/a><\/strong>, con el que con sólo activarlo podemos bloquear el archivo sin necesidad de tocar .htaccess.\n<\/p>\n
\n\tEl problema es que ya no disfrutaremos de las opciones que nos ofrece este tipo de conexión. Incluso es posible que deje de funcionar alguna API o plugin<\/strong> que ya se esté usando si bloqueamos el acceso al archivo XMLRPC.\n<\/p>\n
\n\tOtra opción algo menos radical, es usar un plugin cómo Manage XML-RPC<\/a><\/strong>, con el que podemos, ademas de bloquear el archivo XMLRPC<\/strong>, crear una lista blanca<\/em> de IP’s que si que tengan acceso así como una lista negra<\/em>.\n<\/p>\n
\n\t\"Manage\n<\/p>\n
\n\tEsta puede ser una buena opción si conocemos las IP’s<\/strong> de las aplicaciones a las que queremos dar acceso.\n<\/p>\n
\n\tTambién podemos usar las suites<\/em> de seguridad para WordPress más avanzadas ya que todas protegen WordPress de cualquier ataque de fuerza bruta al archivo XMLRPC<\/strong>.\n<\/p>\n
\n\tEstos plugins sólo bloquean una IP tras varios intentos erróneos, al igual que hacen con el archivo wp-login<\/strong>. Esta opción nos permite seguir usando el archivo XMLRPC.php añadiendo una capa de seguridad que evita los ataques de fuerza bruta.\n<\/p>\n
\n\tDos de los más populares y efectivos son:\n<\/p>\n