Suporte » Desenvolvendo com WordPress » Dúvida sobre o XML-RPC

  • umarizal

    (@umarizal)


    Amigos, lendo esta página aqui:
    http://wiki.locaweb.com.br/pt-br/Dicas_de_como_prevenir_a_lentid%C3%A3o_de_um_site%28WordPress%29

    Fiquei em dúvida quanto a este trecho:

    XML-RPC

    Se você foi informado sobre spam sendo enviado da sua conta(processo conhecido como Spoofing) [colocar nossa wiki] existe uma boa chance dos arquivos padrões do WP serem utilizados para esse fim.

    Por padrão o WP instala o arquivo xmlrpc.php, esse arquivo é usado algumas vezes para tarefas administrativas, então se você não sabe usá-lo ou não usa de maneria alguma recomendamos remover esse arquivo, caso use orientamos fortemente utilizá-lo sempre na última versão, que pode ser encontrada em http://phpxmlrpc.sourceforge.net

    O que vocês têm a dizer? O que recomendam? Usar ou não usar o XML-RPC, eis a questão…

    Ele realmente pode representar algum tipo de risco à segurança? E quanto a prática de Spoofing, ficamos sujeitos?

    Desde já, obrigado.

Visualizando 1 resposta (de um total de 1)
  • Ralden Di Souza

    (@raldendesouza)

    Boa tarde,

    Olha, na minha opinião, ou confia no código ou não confia. Uso DigitalOcean e não altero uma vírgula do código – o que faço é acrescentar algumas linhas para blindar o WordPress, elevar a segurança do código.

    Qualquer framework de site tem arquivos que manipulam o servidor, seja WordPress, Joomla, php, js. Até um form como o Contact Form 7 pode ser manipulado para uso malicioso de spam.

    O problema é o nível de segurança que você dá para seu site. Como você gerencia as permissões de arquivos? Como você previne roubo de senhas no computador que acessa o WordPress? Qual o nível se segurança de suas senhas de servidor, ftp e usuário no WordPress?

    Veja os artigos abaixo sobre isso,

    http://www.startabloglab.com/wordpress-security-checklist/
    http://www.labnol.org/internet/wordpress-optimization-guide/3931/

    Eles mostram ações adicionais para blindar a segurança e fortalecer todos os elos de ataque, o que envolve também seu computador. Eu, para tirar o máximo de performance e segurança, uso DigitalOcean com acesso SFTP e WP-CLI, em Ubuntu 14.04, tanto nas minhas máquinas (notebook e desktop com dual boot com Windows 8) como no servidor da DigitalOcean. Fora isso, para gestão de senhas tanto no Ubuntu como no Windows uso o Keeper Security no navegador Google Chrome, assim não preciso digital uma única senha após digitar a senha mestra, que é uma senha que só uso exclusivamente para ativar o Keeper.

    Para testar se seu site pode sofrer ataque devido o XML-RPC, veja o tutorial abaixo, tem uma ótima dica de testar chance de ataque,

    https://fooplugins.com/prevent-wordpress-pingback-ddos/

    O Wiki da Locaweb eu vejo mais para leigos, pois um usuário que apenas comprou um site que foi desenvolvido em WordPress ou está criando um “quebra-galho” não tá nem aí qual é a última versão do WordPress, brechas de segurança, atualização de temas e plugins, segurança de senha (qual o problema de ser 123abc ou outra senha ridícula?) e segurança do computador contra vírus e trojans (que não se limita a colocar um anti-vírus e firewall e ficar com comportamentos de risco, como acessar sites de pirataria, pornografia ou que tem anúncios maliciosos, especialmente com instalação de arquivo EXE, que é a coisa mais imbecil que alguém pode fazer contra sua própria segurança).

    Saudações,

Visualizando 1 resposta (de um total de 1)
  • O tópico ‘Dúvida sobre o XML-RPC’ está fechado para novas respostas.