常見的WordPress攻擊
WordPress暴力破解通常使用兩種檔案:xmlrpc.php及wp-login.php。本文會詳細說明如何尋找攻擊的證據。
攻擊xmlrpc.php
什麼是XML-RPC?XML-RPC(xmlrpc.php)允許使用其他應用程式遠端更新WordPress。目前版本的WordPress不再需要停用此功能,而啟用該功能則會讓您的網站容易受到攻擊。使用此檔案常會發現暴力攻擊。
我該如何得知我是否遭到攻擊?如果您在很短的時間內發現相同IP的多次存取嘗試,可能表示是攻擊。
在以下範例中,IP 12.34.56.789曾嘗試一次存取xmlrpc.php頁面多次( 10 / Sep / 2022:05:12:02 ):
acoolexample.com-ssl_log:12.34.56.789--[10 / Sep / 2022:05:12:02 -0700]“ POST //xmlrpc.php HTTP / 1.1” 200 438“-”“ Mozilla / 5.0(Windows NT 10.0 ; Win64; x64)AppleWebKit / 537.36(KHTML,Gecko一樣)Chrome / 80.0.3987.149 Safari / 537.36“ acoolexample.com-ssl_log:12.34.56.789--[10 / Sep / 2022:05:12:02 -0700]” POST //xmlrpc.php HTTP / 1.1“ 200 438”-“” Mozilla / 5.0(Windows NT 10.0; Win64; x64)AppleWebKit / 537.36(KHTML,Gecko)Chrome / 80.0.3987.149 Safari / 537.36“ acoolexample.com- ssl_log:12.34.56.789--[10 / Sep / 2022:05:12:02 -0700]“ POST //xmlrpc.php HTTP / 1.1” 200 438“-”“ Mozilla / 5.0(Windows NT 10.0; Win64; x64 )AppleWebKit / 537.36(KHTML,Gecko一樣)Chrome / 80.0.3987.149 Safari / 537.36“ acoolexample.com-ssl_log:12.34.56.789--[10 / Sep / 2022:05:12:02 -0700]” POST // xmlrpc .php HTTP / 1.1“ 200 438”-“” Mozilla / 5.0(Windows NT 10.0; Win64; x64)AppleWebKit / 537.36(KHTML,Gecko)Chrome / 80.0.3987.149 Safari / 537.36“
攻擊wp-login.php(wp-admin)。
攻擊者經常會使用會在嘗試進行數十次(數百次)連線後嘗試取得連線的bot才能存取您的wp-admin面板。
我該如何得知我是否遭到攻擊?如果您在很短的時間內發現相同IP的多次存取嘗試,可能表示是攻擊。如果授權用戶記不清密碼,則每次嘗試之間可能需要幾分鐘的時間。
在以下範例中,IP 12.34.56.789曾嘗試一次存取wp-login.php頁面數次( 10 / Sep / 2022:08:39:15 ):
acoolexample.com-ssl_log:12.34.56.789--[10 / Sep / 2022:08:39:15 -0700]“ POST /wp-login.php HTTP / 1.1” 200 70760“https://www.acoolexample.com/wp-login.php ,「Mozilla / 5.0(Windows NT 6.3; Win64; x64)AppleWebKit / 537.36(KHTML,Gecko)Chrome / 103.0.0.0 Safari / 537.36」acoolexample.com-ssl_log:12.34.56.789--[[10 / Sep / 2022: 08:39:15 -0700]“ POST /wp-login.php HTTP / 1.1” 200 70760“https://www.acoolexample.com/wp-login.php ,「Mozilla / 5.0(Windows NT 6.3; Win64; x64)AppleWebKit / 537.36(KHTML,Gecko)Chrome / 103.0.0.0 Safari / 537.36」acoolexample.com-ssl_log:12.34.56.789--[[10 / Sep / 2022: 08:39:15 -0700]“ POST /wp-login.php HTTP / 1.1” 200 70760“https://www.acoolexample.com/wp-login.php “”“ Mozilla / 5.0(Windows NT 6.3; Win64; x64)AppleWebKit / 537.36(KHTML,Gecko)Chrome / 103.0.0.0 Safari / 537.36
後續步驟
- 使用WHOIS搜尋檢查IP擁有權。如果此IP來自中國,且您沒有中國的客戶/訪客,那可能是惡意的。如果IP屬於(例如)Cloudflare,就不太可能是惡意的。
- 封鎖攻擊。