Как отключить Pingback в WordPress для спамеров

Сегодня заметил, что личный блог выдает 504 ошибку, как и другие сайты на этом VPS. Блог хостится на fastvps.ru, которым я давно пользуюсь и очень доволен.

Написал в техподдержку. Сотрудники быстро определили причину.

Оказалось, что мой VPS использовался для атаки на другие сайты при помощи небезопасного механизма Pingback на сайтах с WordPress. Приведу часть лога:

174.хх.ххх.хх — — [25/Aug:14:21:18 +0300] «POST /xmlrpc.php HTTP/1.0» 499 0 «-» «Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)»
174.хх.ххх.хх — — [25/Aug:14:21:18 +0300] «POST /xmlrpc.php HTTP/1.0» 499 0 «-» «Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)»
174.хх.ххх.хх — — [25/Aug:14:21:18 +0300] «POST /xmlrpc.php HTTP/1.0» 499 0 «-» «Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)»

Сотрудники заблокировали запросы к этому файлу и посоветовали установить полезный плагин, отключающий дальнейшую возможность использования функционала злоумышленниками:

https://wordpress.org/plugins/disable-xml-rpc-pingback/

wordpress-disable-xml-rpc-pingback

Благодарю сотрудников fastvps.ru. Пойду поставлю этот плагин на все свои WordPress сайты.

При этом весь нужный функционал XML-RPC будет продолжать работать. Он будет отключен частично, чтобы им не могли воспользоваться спамеры.

Эту заметку я сделал для того, чтобы запомнить этот совет и поделиться им со всеми желающими.

Update: оказалось, не у меня одного такая проблема. В этом посте предлагают еще несколько решений:

И опять атака на сайты WordPress — перебор + XMLRPC

Запись опубликована в рубрике Разное с метками , , . Добавьте в закладки постоянную ссылку.
  • Здравствуйте, Михаил! Благодарю вас за полезнейшую информацию. Скажите, пожалуйста, достаточно ли будет установить рекомендованный вами плагин или есть смысл воспользоваться советами хабра?

    • Пожалуйста, Евгений! Лучше воспользоваться и другими советами, в частности, изменить название файла для логина wp-login.php на другой.

      • Еще раз огромное спасибо. Попробую переназвать страницу самостоятельно.

  • Так, спасибо. Беру на вооружение.