Recibo decenas de miles de visitas (probablemente maliciosas) a Apache que están provocando que el servidor caiga. Todos los resultados se ven así en el registro de Apache:
[30/Jan/2022:21:57:41 +0000] "POST //xmlrpc.php HTTP/1.1" 200 630 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4240.193 Safari/537.36"
(Tenga en cuenta la doble barra. No sé lo que significa.)
Agregué la siguiente regla en .htaccess para intentar mitigar la carga del servidor:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} ^//xmlrpc.php
RewriteRule .* - [F,L]
</IfModule>
Cuando ejecuto curl -kIL -X POST -H 'Host: [REDACTED]' https://127.0.0.1:443/xmlrpc.php, aparece el código de error 403.
Sin embargo, aparentemente no es suficiente: según el registro, Apache sigue devolviendo 200 para las solicitudes con dos barras. ¿Cómo puedo bloquear estas solicitudes (devolver 403)? ¿Cómo puedo usar curl/wget/etc para comprobar si el bloque está activo?
Necesito una regla para evitar que "POST //xmlrpc.php HTTP/1.1" devuelva 200 (HTTP OK) y devuelva 403 en su lugar.
Respuesta1
Deshabilite XML-RPC en su instalación de WordPress lo más rápido posible. Es un gran riesgo para la seguridad y el problema que está viendo ahora es sólo el comienzo. ver por ejemplohttps://www.getastra.com/blog/cms/wordpress-security/wordpress-xml-rpc-exploit-everything-you-need-to-know/para detalles. (No afiliado de ninguna manera).