XML-RPC هو بروتوكول اتصال، يسمح للتطبيقات الخارجية بالتفاعل مع موقعك الووردبريس وتنفيذ أوامر معينة فيه مثل إنشاء وتحرير المقالات.
مثال واحد لتعرف استخداماته:
في بداياتي مع ووردبريس، لم أكن أحب التعامل مع المحرر الكلاسيك القديم، ولذلك كنت اعتمد على برنامج اسمه [سجل الدخول لترى الرابط]، وهو برنامج يتم تثبيته على الويندوز. عبر هذا البرنامج كنت أتمكن من تحرير المقالات بأسلوب بسيط، وعندما أقرر نشر المقال، يتواصل برنامج Windows live writer مع موقعي الووردبريس عبر بروتوكول XML-RPC مستخدمًا بيانات تسجيل الدخول الخاصة بي. وبعد التأكد من صحة بيانات تسجيل الدخول، يتم نشر المقال.
خطورة تفعيل XML-RPC
بمرور الوقت، تمكن المخترقون من استغلال XML-RPC في شن هجمات متعددة ومختلفة، أشهرها هجمات الـ DDoS وهجمات الـ Brute Force لتخمين كلمات المرور.
مثال حقيقي على هجمات DDoS باستخدام XML-RPC
في أكتوبر 2014، تم استغلال عشرات الآلاف من مواقع الووردبريس التي تسمح بـ XML-RPC pingback، في تنفيذ هجوم DDoS على مواقع أخرى مستهدفة. حيث أرسل المخترقون طلبات XML-RPC pingback مزيفة إلى هذه المواقع المستغلة، والتي قيل في التقارير أن عددها زاد عن 162 ألف موقع ووردبريس، والتي بدورها أرسلت pingbacks للمواقع المستهدفة.
الضرر الناجم على المواقع المستهدفة
كل موقع ووردبريس مستغل استجاب للطلب، قام بإرسال pingbacks بأعداد كبيرة إلى الموقع المستهدف وبشكل تلقائي؛ مما أدى إلى إغراق المواقع المستهدفة بملايين الطلبات في وقت قصير، وتسبب ذلك في انهيارها وتعطلها.
الضرر الناجم على المواقع المستغلة
لم تسلم المواقع المستغلة هي الأخرى من الضرر، بل طالتها أضرار أعمق وأكثر استمرارية، مثل:
- بسبب إرسال موقع الووردبريس المستغل لآلاف الطلبات، تم استهلاك موارد السيرفر بشكل كبير ومفاجئ.
- الاستهلاك الكبير للموارد تسبب في توقف بعض المواقع عن العمل خصوصًا التي كانت على استضافات مشتركة، كما تسبب في ابطاء مواقع أخرى بشكل ملحوظ بسبب معالجة السيرفر لكمية ضخمة من الطلبات الوهمية.
- بعض المواقع تم حظرها من قبل مزودي الاستضافات.
- المواقع المزودة لخدمات الحماية مثل كلاودفلير وضعت عناوين IP هذه المواقع في القائمة السوداء، مما أدى إلى عدم تمكن الزوار من الوصول للموقع.
- انخفاض ملحوظ في ترتيب نتائج البحث، وبكل تأكيد تأثير سلبي كبير على سمعة هذه المواقع.
كان المثال السابق، مثال حقيقي واحد ضمن الهجمات الكثيرة المتنوعة التي تمت اعتمادًا على XML-RPC.
اعرف إن كان XML-RPC مفعل في موقعك أو لا
تسجيل الدخول لعرض الكود
فقط أضف xmlrpc.php بعد رابط موقعك، وإذا ظهر لك خطأ فهو غير مفعل، وإن ظهر لك XML-RPC server accepts POST requests only كما تلاحظ في الصورة التالية، فهذا يعني أنه مفعل لديك.
التصرف الصحيح مع XML-RPC
التصرف الصحيح هو التعطيل التام إن كنت لا تحتاج له، أو تعطيله جزئيًا إن كنت تحتاج له. علمًا أن المواقع التي تحتاج للـ XML-RPC هي صاحبة الحالات التالية:
- المواقع التي تستخدم تطبيق ووردبريس الرسمي للهواتف.
- المواقع التي تستخدم إضافة Jetpack أو أي إضافة أخرى تستخدمه.
- المواقع التي تعتمد على أدوات التحرير الخارجي كالأدوات المشابهة لبرنامج windows live writer وأدوات السيو.
الخلاصة: انظر في الأدوات والتطبيقات الخارجية التي يعتمد عليها موقعك الووردبريس، فإن كانت لا تحتاج له فعطله بالكامل، وإن كانت تحتاج له فعطله جزئيًا فقط.
كيفية تعطيل XML-RPC أو التحكم فيه جزئيًا
جميع إضافات الحماية يجب أن توفر خيارات لتعطيل XML-RPC كليًا أو جزئيًا.
مثلا في إضافة All in one security يوجد خيارين، إما أن تعطله بالكامل، أو تبقيه يعمل مع إيقاف خاصية الـ pingback.
توجد طرق أخرى للتحكم في XML-RPC، مثل:
- توجد إضافات أخرى متخصصة للتحكم في XML-RPC فقط، استخدمها فقط إن لم يكن لديك إضافات للحماية.
- طرق يدوية لتعطيل كلا من (system.multicall) لمنع هجمات تخمين كلمات المرور، وتعطيل (Pingback) لمنع هجمات الـ DDoS، لكني لا أفضلها كوني اعتمد دائمًا على إضافة حماية.
- استخدام (.htaccess) لتقييد الوصول للـ XML-RPC لعناوين IP موثوقة فقط، أغلب الإضافات الشهيرة توفر مجموعة Ips لهذا الغرض، jetpack أشهر مثال كما تلاحظ في الصورة التالية.
في عالم الإنترنت، كل ميزة قد تكون سلاحًا ذو حدين. XML-RPC أحد الأمثلة؛ فهو ميزة قوية تمكنك من إدارة موقعك عن بعد، ولكنه في نفس الوقت، قد يكون نقطة ضعف خطيرة إن لم يتم تأمينه بالشكل الصحيح. ومطلوب منك أن تتعرف على كل أداة تستخدمها وأن تفهم مخاطرها وأن تتخذ الخطوات اللازمة للحفاظ على موقعك آمن ومحمي.
