Archivo de la etiqueta: Wordpress

Micropíldora 5 – Deshabilitar función xmlrpc.php de WordPress

Según podemos leer en la Wikipedia, XML-RPC es un protocolo de llamada a procedimiento remoto (Remote Procedure Call) que usa el formato XML para codificar los datos y utiliza el protocolo web (HTTP) para la transmisión de los datos.

Logo de XML-RPC WordPress

XML-RPC WordPress logo. Fuente imagen: JJW Design

Dentro de la plataforma WordPress podríamos traducir esta frase como el sistema que permite la ejecución de instrucciones en nuestro blog de forma remota.

Gracias a este sistema podemos publicar de forma remota o gestionar nuestro blog con la aplicación móvil de WordPress, pero claro se trata de una herramienta de gestión que es muy probable que la gran mayoría de usuarios no utilicemos (y muchos ni siquiera conozcan).

A partir de WordPress 3.5 se habilitó esta posibilidad de gestión remota por defecto (antes era opcional), llegando incluso a quitar la opción de activar o desactivarlo desde los ajustes del panel de control. Por el principio de mínima exposición si no vamos a utilizarlo es preferible bloquearlo.

Cómo bloquear el acceso al sistema XML-RPC

Ya que no existe la posibilidad de deshabilitar el sistema XML-RPC en los ajustes de WordPress, tenemos dos opciones:

  1. Utilizar un plugin específico como puede ser Disable XML-RPC.
  2. Utilizar el fichero .htaccess de nuestro blog para bloquear el acceso. Esta es la opción que veremos a continuación

Bloquear acceso al fichero xmlrpc.php desde .htaccess

XMLRPC habilitado

Ejemplo de acceso habilitado al sistema xmlrpc.php

Utilizaremos las opciones de gestión de ficheros del archivo .htaccess para bloquear cualquier acceso al fichero xmlrpc.php, deshabilitando así esta funcionalidad de control remoto.

En la primera captura podéis ver cómo se ve un acceso al fichero xmlrpc.php desde un navegador normal: nos avisa de que el formato recibido no es el esperado pero el mero hecho de que responda demuestra que el servicio está activo.

Para bloquear el acceso a este fichero bastará con añadir al fichero .htaccess las siguientes líneas:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Bloqueo del sistema xmlrpc

Ejemplo de bloqueo de acceso al sistema xmlrpc

Con esto indicamos al servidor que cualquier acceso al fichero xmlrpc.php debe ser bloqueado. Si intentamos acceder al fichero con nuestro navegador veremos un mensaje del servidor indicando que no estamos autorizados a acceder. Así eliminamos la posibilidad de que nadie acceda a la gestión de nuestro WordPress desde este entorno.

Micropíldora 1 – Qué usuario administrador no usar en tu WordPress

Este artículo comienza una nueva categoría: las micropíldoras de seguridad.

En estos artículos pretendo dar alguna pinceladas de pequeñas configuraciones que permiten mejorar la seguridad de diferentes entornos. No se trata de exámenes exhaustivos ni grandes configuraciones sino de pequeños detalles que ayudan a securizar algo los entornos.
_________________________________

Micropíldora 1: ¿Qué usuario administrador no usar en tu WordPress?

Acceso WordPress

Acceso a WordPress. Fuente imagen: Ayuda WordPress

Revisando los intentos de acceso a la consola de administración de este blog (que como ya habrás averiguado utiliza WordPress) podemos ver que los usuarios que más intentos de acceso (todos fallidos) son:

  • admin
  • test
  • securizando

Se puede observar que se intenta acceder con el usuario de administración genérico de la plataforma WordPress (admin) y el nombre de dominio de la web (securizando). Este mismo patrón aparecen en mi otro blog sobre aviones militares de tal forma que los usuarios más probados son admin, test y avionesmilitares.

Intentos conexión blog AvionesMilitares

Intentos conexión blog AvionesMilitares

Sabiendo que hay muchos robots por el mundo que intentan acceder a nuestro sistema WordPress utilizando estas combinaciones lo mejor es evitar utilizarlos. Una vez instalado WordPress una de las primeras cosas debería ser cambiar el usuario administrador y dejar de utilizar admin. Si el acceso a nuestro sistemas se basa en una pareja usuario/contraseña evitemos que el usuario sea demasiado fácil de averiguar 😉

Hay que decir que también hay intentos de acceso con usuarios que serían combinaciones de mi nombre tales como andresadrover, aadrover, andresaadroverandres y similares, si bien estas combinaciones son mucho menos utilizada y parecen más intentos manuales que sistemas automatizados.

P.D. No. Ninguno de los usuarios aquí mencionados existe 😉