Un sitio WordPress sufrió un ataque de fuerza bruta masivo a través de /xmlrpc.php, con 288.493 solicitudes en 24 horas desde una dirección IP de Singapur, utilizando el método system.multicall para intentar descifrar cientos de credenciales por solicitud. El incidente provocó una caída drástica en la tasa de aciertos de la caché de Cloudflare, de un 70-90% a solo 0.8%, lo que sirvió como una señal de alerta temprana más efectiva que el monitoreo del tiempo de actividad. El atacante buscaba explotar la vulnerabilidad de xmlrpc, que a menudo permanece habilitado por defecto. La solución implicó la implementación de una regla en el firewall de aplicaciones web (WAF) de Cloudflare para bloquear el acceso a /xmlrpc.php y la desactivación de xmlrpc a nivel de WordPress mediante el plugin WP Multitool. El autor recomienda monitorear semanalmente las rutas más solicitadas en Cloudflare y bloquear preventivamente xmlrpc en nuevos sitios. La desactivación completa de xmlrpc es aconsejable para la mayoría de los sitios, a menos que se utilice para funciones específicas como la aplicación móvil de Jetpack, en cuyo caso se recomienda restringir el acceso a rangos de IP específicos.
Noticias agregadas con IA