Passer au contenu principal

Vulnérabilité Pingback: Comment protéger votre site WordPress

Les pingbacks peuvent vous avertir lorsque différentes personnes parlent de vos messages. Ils peuvent également présenter une augmentation de l'optimisation des moteurs de recherche (optimisation des moteurs de recherche) par des backlinks bénéfiques et améliorer l'expertise client de votre site Web. Cependant, les pingbacks peuvent également aider les pirates à lancer des attaques par déni de service distribué (DDoS) contre votre site Web.

Heureusement, lorsque vous déterminez que les dangers l'emportent de loin sur les avantages, il est possible de désactiver les pingbacks. En bloquant le processus XML-RPC qui alimente cette caractéristique WordPress controversée, vous pouvez protéger votre site Web contre les attaques DDoS et éviter les temps d'arrêt.

Dans ce texte, nous examinerons pourquoi les pingbacks pourraient également mettre votre site Web en danger, et comment on peut examiner si XML-RPC est activé sur votre site Web WordPress spécifique. Nous partagerons ensuite trois stratégies pour désactiver cette performance potentiellement dangereuse. Commençons!

Une introduction aux pingbacks WordPress

Les pingbacks sont des notifications qui apparaissent dans votre site Web section commentaires. Ils soulignent qu'un autre site Web a de nouveau un lien avec votre contenu:

Un exemple de pingback.

Dans WordPress, les pingbacks sont activés par défaut. Cela vous aide à surveiller les liens hypertexte entrants. Vous pouvez ensuite répondre à chaque pingback en conséquence. Par exemple, vous pouvez saisir cette occasion pour interagir avec la fourniture du backlink dans la partie commentaires de l'un de leurs messages. Cela peut aussi aider bâtissez votre réputation en tant que créateur de contenu agréable et accessible.

De plus, si un autre site Web mentionne votre contenu de manière positive, c'est votre décision à d'autres d'en savoir plus. Vous pouvez amplifier leur publication en la partageant avec votre personne les réseaux sociaux.

Malheureusement, rien ne garantit que tout le monde mentionne sera probablement constructif. Cependant, vous pouvez généralement améliorer votre profil public en répondre aux mentions négatives, plutôt que de simplement les ignorer.

Les pingbacks peuvent aussi générer du trafic vers votre site Web, car les gens se conforment à ces hyperliens entrants vers votre contenu. De plus, les backlinks sont un problème de notation pour de nombreux serps. Si vous gérez de nombreux pingbacks, cela pourrait augmenter votre classement et vos visiteurs naturels.

Malheureusement, les pingbacks ont un aspect sombre. WordPress utilise le Interface XML-RPC pour leur permettre, ce que les pirates peuvent, à leur tour, exploiter pour monter une attaque par déni de service distribué (DDoS) contre votre site Web.

Dans le cadre de cet assaut, un pirate informatique utilise XML-RPC pour envoyer de nombreux pingbacks à votre site Web dans un court laps de temps. Cela surcharge votre serveur et mettra votre site Web hors ligne. Les résultats pourraient incarner temps d'arrêt coûteux et diminuer taux de conversion.

Les pirates peuvent également utiliser des pingbacks pour divulguer le comportement IP grand public d'une configuration WordPress protégée et contourner toute sécurité au niveau du système de noms de domaine (DNS). Certains événements malveillants utilisent même des pingbacks pour rechercher des ports ouverts faibles. Avec tout cela à l'esprit, il est possible que vous souhaitiez prendre en compte la désactivation de cette caractéristique sur votre site WordPress.

Comment examiner XML-RPC dans votre site Web pour voir si les pingbacks sont activés

Depuis WordPress 3.5, l'interface XML-RPC est activée par défaut. Cependant, rien ne garantit que cela peut rester le cas dans les versions ultérieures de WordPress. Si vous partagez votre site Web WordPress avec autres collaborateurs, il est également possible qu'ils aient modifié vos paramètres XML-RPC sans vos données.

Avant de désactiver XML-RPC, il est toujours utile de vérifier que cette interface est activée sur votre site Web WordPress spécifique. Vous pouvez rapidement et simplement examiner sa position en utilisant le Outil de validation XML-RPC:

L'outil de validation XML-RPC.

Dans le Adresse zone, entrez l'URL de votre site Web. Cliquez ensuite sur Visite. Si le périphérique de validation affiche un message d'erreur, cela signifie que XML-RPC est désactivé. Si vous rencontrez un message de hit, il est possible que vous souhaitiez prendre en compte la désactivation des pingbacks avec l'intention de protéger votre site Web contre les agressions associées.

Comment protéger votre site Web contre la vulnérabilité de pingback de WordPress (3 méthodes)

WordPress facilite la désactivation des pingbacks sur les futurs articles. Naviguez simplement vers Paramètres> Discussion dans votre tableau de bord et désélectionnez les choix associés:

Le paramètre de discussion pingback.

Vous pouvez également désactiver les pingbacks pour des articles particuliers dans l'éditeur:

Le paramètre pingback post-niveau.

Cependant, avec l'intention de désactiver totalement les pingbacks sur l'ensemble de votre site Web, vous devrez prendre d'autres mesures. Il existe plusieurs autres façons de procéder en fonction de vos objectifs et de votre niveau de talent.

Méthode 1: désactiver XML-RPC manuellement

Vous pouvez bloquer toutes les demandes XML-RPC entrantes avant qu'elles ne soient transmises à WordPress. Cette technique vous oblige à modifier .htaccess, qui est un fichier de configuration qui indique à votre serveur comment traiter de nombreuses requêtes. Si vous n'êtes pas en mesure de modifier votre site Web à l'étape du code, nous vous suggérons d'essayer l'une des nombreuses stratégies ci-dessous.

Avant de modifier votre .htaccess fichier, c'est un concept judicieux de créer une sauvegarde complète. Même des erreurs simples similaires aux fautes de frappe seront désastreuses lors de la modification du code de votre site Web. En faisant une sauvegarde, vous aurez une chose à faire revivre, simplement au cas où vous rencontriez des points.

Vous pouvez entrer .htaccess en utilisant votre plus populaire Protocole de transfert de fichiers (FTP) consommateur. Nous utiliserons Filezilla, cependant, les étapes doivent être largement identiques pour différents instruments répandus. Une fois que votre consommateur est lié à votre serveur, recherchez .htaccess dans le dossier racine de votre site Web:

Accéder à .htaccess via FileZilla.

Si le dossier de base n'inclut pas de .htaccess fichier, il est possible que vous souhaitiez choisir celui de votre consommateur Forcer l'affichage d'informations cachées possibilité.

Ensuite, ouvrez .htaccess dans un éditeur de contenu textuel, similaire à Text Edit. Ajoutez le suivant:

<Files xmlrpc.php>
order deny,enable
deny from all
</Files>

Ensuite, enregistrez vos ajustements. Pour confirmer que XML-RPC est maintenant désactivé, essayez à nouveau de travailler votre tacle net par le périphérique XML-RPC Validator. Il devrait maintenant afficher un message d'erreur.

Méthode 2: désactivez les pingbacks avec un extrait de code

Vous pouvez également activer et désactiver l'interface XML-RPC en utilisant extraits de code. Les extraits de code sont une approche utile pour ajouter un éventail de fonctionnalités à votre site Web sans avoir à installer un certain nombre de plugins. Minimiser la variété de plugins de votre site Web peut faciliter la maintenance et peut en plus améliorer sa sécurité globale.

Les clients de ManageWP peuvent ajouter des extraits de code directement à partir de leurs tableaux de bord. Après se connecter à votre compte, aller vers Plus d'outils> Extraits de code:

Insertion d'un extrait de code pingback dans le tableau de bord ManageWP.

Vous pouvez maintenant coller le code suivant dans l'éditeur d'extraits de code de ManageWP:

<?php
//Disable XML-RPC
add_filter('xmlrpc_enabled', '__return_true');

Vous pouvez également ajouter cet extrait à votre site Web en utilisant le Plug-in d'extraits de code. Après l'avoir activé, accédez à Extrait> Ajouter nouveau:

Le plugin d'extrait de code WordPress.

Ensuite, copiez et collez l'extrait ci-dessus dans l'éditeur de code. Nous vous suggérons également d'inclure un aperçu qui explique clairement ce que fait cet extrait de code et pourquoi vous l'incluez sur votre site Web. Cela pourrait vous simplifier la vie lorsque vous devez revoir vos extraits de code. Cela favorise également la transparence lorsque vous partagez votre site Web WordPress avec différentes personnes.

Lorsque vous êtes complètement satisfait de votre extrait de code, cliquez sur Activer et vérifiez que XML-RPC est désactivé à l'aide du validateur XML-RPC.

Méthode 3: utiliser un plugin pour désactiver XML-RPC

Enfin, vous pouvez également désactiver l'interface XML-RPC à l'aide d'un plugin. Nous utiliserons Désactiver XML-RPC-API.

Après l'avoir mis et activé, Désactiver XML-RPC-API annulera les pingbacks sans aucun mouvement supplémentaire requis de votre part. Vous obtiendrez un message d'affirmation sur le Extensions écran d'affichage:

Le message de confirmation Désactiver le plug-in XML-RPC-API.

Si vous décidez que vous souhaitez simplement activer à nouveau XML-RPC, il vous suffit de désactiver le plugin.

Conclusion

Bien que les pingbacks présentent certains avantages, ils exposeront également votre site Web à des attaques de déni de service distribué (DDoS) nuisibles. Une attaque DDoS rentable peut entraîner des temps d'arrêt, des visiteurs égarés et des conversions manquées ainsi que des ventes brutes.

Face à ces pénalités, il est possible que vous décidiez de désactiver les pingbacks. Récapitulons vos choix:

  1. Désactivez manuellement XML-RPC.
  2. Désactivez XML-RPC avec un extrait de code.
  3. Utilisez un plugin similaire à Désactiver XML-RPC-API.

Avez-vous des questions sur la défense de votre site Web contre la vulnérabilité de pingback de WordPress? Demandez dans la partie commentaires ci-dessous!

Pointage de crédit de l'image en vedette: Unsplash.

Ce poste 0 Publier les commentaires

Laissez un commentaire

Votre adresse email n'apparaitra pas. Les champs obligatoires sont marqués *

Retour au sommet