WordPress infección xmlrpc.php

Se ha descubierto una nueva infección en WordPress asociada al archivo xmlrpc.php. Se trata de un ataque de fuerza bruta hacia el archivo xmlrpc.php, provocando la saturación del servidor, además el atacante se hace pasar por el robot de indexación de Google (Googlebot).

Si eres el administrador del servidor lo más recomendable es que procedas a bloquear la IP desde donde se realiza el ataque. Podrás descubrir la IP del atacante visualizando tu archivo de registros de acceso (access_log).

Recuerda que en un servidor CentOS el bloqueo de IP se realiza a través del comando:

/sbin/iptables -D INPUT -s [IP a bloquear] -j DROP

Ejemplo:

/sbin/iptables -D INPUT -s 132.35.52.32 -j DROP

Si tu servidor cuenta con cPanel, puedes realizar el bloqueo a través del plugin ConfigServer Security & Firewall como se muestra en la siguiente imagen.

WordPress infección xmlrpc.php

Si no eres el administrador del servidor, pero si que eres el webmaster puedes realizar las siguientes acciones para intentar bloquear los accesos.

Añadir la siguiente línea en tu archivo .htaccess

<files xmlrpc.php>
Order Allow,Deny
Deny from all
</files>

Y también se puede añadir la siguiente línea en el archivo xmlrpc.php, habría que ponerlo encima de todo lo que ya se encuentra en el archivo.

if ( strpos($_SERVER[‘HTTP_USER_AGENT’], “Googlebot”) === true ) { exit(); }

 

¿Le resultó útil este artículo?

Artículos relacionados

1 Comentario

  1. Pingback: Bloquear intrusos con Fail2ban | nerion networks

¿Deja un comentario?

Time limit is exhausted. Please reload CAPTCHA.