WordPress, salah satu CMS terpopuler di dunia memang menjadi target serangan dunia maya. Tidak sedikit kasus dimana website berbasis WordPress bisa dirusak, dibajak atau dihapus. Tergantung dari celah keamanan yang ada pada situs berbasis WordPress itu, bisa dari core module WordPress sendiri, dari plugin, dari themes atau dari file upload.

Nah, salah satu serangan ke website berbasis WordPress yang cukup masif akhir-akhir ini, adalah XML-RPC Attack. Fitur yang diexploitasi oleh sejumlah orang usil. Karena kesederhanaan implementasi dari XML-RPC, model API yang dipakai WordPress ini rentan jadi lubang keamanan.

Beberapa akibat umum dari XLM-RPC Attack ini antara lain:

  • Out of Memory, mempengaruhi kinerja server karena memori habis dieksploitasi
  • Error log “Cannot open the file no such file/directory”
  • dan banyaknya log access tidak semestinya seperti “POST /xmlrpc.php HTTP/1.0”

Cara Memproteksi

lebih tepatnya, mematikan fitur XML-RPC. Cara ini bisa dilakukan jika sampeyan memang tidak membutuhkan fitur XML-RPC (kalau memang lagi makai ini, mbokyaho ndang pindah ke JSON API 😀 ).

caranya edit di file functions.php di theme atau bikin plugin khusus dengan isi:

add_filter( 'xmlrpc_enabled', '__return_false' );

lalu edit file .htaccess dan tambahkan entri:


<files xmlrpc.php>
order allow,deny
deny from all
</files>

OR

location ~* ^/xmlrpc.php$ {
return 403;
}

untuk testing, silakan akses situs anda dan tambahkan /xmlrpc.php, seharusnya dapat pesan forbidden