wordpress xmlrpc.php sorozatos meghívás, 508 Resource Limit is Reached hibaüzenet

2015 szeptember – októberében szervereinken megemelkedett az xmlrpc.php támadások száma.

A WordPress oldal üzemeltetői általában annyit tapasztalnak, hogy 508 Resource Limit is Reached üzenetet látnak weboldalukon legtöbbször, az oldaluk csak néha-néha jelenik meg.
Amennyiben megnézik az access_logs mappában található apache kiszolgáló logjait vagy a cpanelen a Raw Access Logs (Nyers Hozzáférési Naplók) menüpontot, akkor egymás után ismétlődő xmlrpc.php -ra való hivatkozást találhatnak.

Amennyiben ez a helyzet, akkor célszerű az xmlrpc hívásokat korlátozni az oldal működés érdekében.

Példa a .htaccess fájlban az elérés korlátozására:

ErrorDocument 401 "Denied"
ErrorDocument 403 "Denied"

<Files xmlrpc.php>
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
allow from yyy.yyy.yyy.yyy
</Files>

Ahol az xxx.xxx.xxx.xxx és az yyy.yyy.yyy.yyy az általunk választott két különböző ip cím, amit engedélyezünk, ilyen lehet például a 127.0.0.1 vagy a szerver ip címe. Minden más ip tiltott. Ha semmilyen ip címről érkező kérést nem akarunk engedélyezni, akkor így adhatjuk meg:

ErrorDocument 401 "Denied"
ErrorDocument 403 "Denied"

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Az

ErrorDocument 401 "Denied"
ErrorDocument 403 "Denied"

sorokat azért írjuk a .htaccess fájlba, hogy lehetőség szerint elkerüljük a 404 -es hiba oldal újra generálását, ami erőforrást igényelne a webtárhelyen. Ha valaki saját statikus hibaoldalt használ, akkor erre a két sorra nincs szükség az eredményes tiltáshoz.

Mi az xmlrpc.php? A WordPress api -ja amin keresztül jó pár hozzá készített alkalmazás kommunikál a WordPresszel. Ilyen lehet például egy iphone app. , ami segítségével moderálni lehet a hozzászólásokat a WordPress felületének megnyitása és ott belépés nélkül. Vagy például a Jetpack, amit a WordPress készítői közül is fejlesztenek.

Az xmlrpc.php tejes letiltása ezeknek az apit használó plugineknek a működésképtelenségét hozza magával. Amennyiben oldalunk nem használ ilyen apit, letiltható az xmlrpc.
Ellenkező esetben célszerűbb valamilyen védelmi scriptet telepíteni és megfelelően beállítani, ami korlátozza a látogatások és bejelentkezések a maximális számát és tiltja a nagyon nagy számban oldalt lekérő felhasználót vagy akár webes robotot is. Ilyen lehet a Wordfence.

Forrás eredeti angol nyelven:
Should you disable xmlrpc on wordpress?

Kapcsolódó tudásbázis cikkek

WordPress login .htaccess védelem