wordpress xmlrpc.php sorozatos meghívás, 508 Resource Limit is Reached hibaüzenet
2015 szeptember – októberében szervereinken megemelkedett az xmlrpc.php támadások száma.
A WordPress oldal üzemeltetői általában annyit tapasztalnak, hogy 508 Resource Limit is Reached üzenetet látnak weboldalukon legtöbbször, az oldaluk csak néha-néha jelenik meg.
Amennyiben megnézik az access_logs mappában található apache kiszolgáló logjait vagy a cpanelen a Raw Access Logs (Nyers Hozzáférési Naplók) menüpontot, akkor egymás után ismétlődő xmlrpc.php -ra való hivatkozást találhatnak.
Amennyiben ez a helyzet, akkor célszerű az xmlrpc hívásokat korlátozni az oldal működés érdekében.
Példa a .htaccess fájlban az elérés korlátozására:
ErrorDocument 401 "Denied" ErrorDocument 403 "Denied"
<Files xmlrpc.php> order deny,allow deny from all allow from xxx.xxx.xxx.xxx allow from yyy.yyy.yyy.yyy </Files>
Ahol az xxx.xxx.xxx.xxx és az yyy.yyy.yyy.yyy az általunk választott két különböző ip cím, amit engedélyezünk, ilyen lehet például a 127.0.0.1 vagy a szerver ip címe. Minden más ip tiltott. Ha semmilyen ip címről érkező kérést nem akarunk engedélyezni, akkor így adhatjuk meg:
ErrorDocument 401 "Denied" ErrorDocument 403 "Denied"
<Files xmlrpc.php> order deny,allow deny from all </Files>
Az
ErrorDocument 401 "Denied" ErrorDocument 403 "Denied"
sorokat azért írjuk a .htaccess fájlba, hogy lehetőség szerint elkerüljük a 404 -es hiba oldal újra generálását, ami erőforrást igényelne a webtárhelyen. Ha valaki saját statikus hibaoldalt használ, akkor erre a két sorra nincs szükség az eredményes tiltáshoz.
Mi az xmlrpc.php? A WordPress api -ja amin keresztül jó pár hozzá készített alkalmazás kommunikál a WordPresszel. Ilyen lehet például egy iphone app. , ami segítségével moderálni lehet a hozzászólásokat a WordPress felületének megnyitása és ott belépés nélkül. Vagy például a Jetpack, amit a WordPress készítői közül is fejlesztenek.
Az xmlrpc.php tejes letiltása ezeknek az apit használó plugineknek a működésképtelenségét hozza magával. Amennyiben oldalunk nem használ ilyen apit, letiltható az xmlrpc.
Ellenkező esetben célszerűbb valamilyen védelmi scriptet telepíteni és megfelelően beállítani, ami korlátozza a látogatások és bejelentkezések a maximális számát és tiltja a nagyon nagy számban oldalt lekérő felhasználót vagy akár webes robotot is. Ilyen lehet a Wordfence.
Forrás eredeti angol nyelven:
Should you disable xmlrpc on wordpress?