Une nouvelle méthode d’attaque par force brute (tests rapides de milliers de mots de passe) a été révélée par la société Sucuri. Elle utilise une simple requête HTTP et est donc facile à mettre en place par un attaquant, il peut tester des milliers de mots de passe en une seule requête.
Ces tentatives sont difficile à identifier avec les “journaux” (logs) traditionnels. Il est conseiller de désactiver l’utilisation de XML-RPC pour le moment, avant qu’une mise à jour de sécurité ne soit publiée par WordPress.
Pour les clients WP Trust, l’accès à la méthode system.multicall a été bloqué, afin de se prémunir de ces attaques.
Vous pouvez utiliser ce script dans votre fichier function.php pour désactiver l’accès à la méthode system.multicall:
function mmx_remove_xmlrpc_methods( $methods ) {
unset( $methods['system.multicall'] );
return $methods;
}
add_filter( 'xmlrpc_methods', 'mmx_remove_xmlrpc_methods');
