La idea detrás del XML-RPC era darnos la posibilidad de escribir y publicar un Post en WordPress, ya sea desde un correo electrónico o cualquier otra conexión externa.
XML-RPC se encuentra en WordPress casi desde sus inicios, y lo acompañó a lo largo de todas sus actualizaciones, es más si nos remontamos al pasado podríamos recordar fallos relacionados a XML-RPC que comprometieron de forma directa el CMS:
- WordPress 1.5.1.2 xmlrpc Interface SQL Injection Exploit
- WordPress 2.1.2 (xmlrpc) Remote SQL Injection Exploit
- WordPress 2.2 (xmlrpc.php) Remote SQL Injection Exploit
- WordPress 3.0.2 XML-RPC Interface Access Restriction Bypass
Hoy por hoy todos fallos conocidos y solucionados por la comunidad del CMS pero que en algún momento fueron una alarma de seguridad para el proyecto.
Pese a todo XML-RPC sobrevivió a todas las actualizaciones y ahora en su última versión publicada hace unos días WordPress 3.5 se encuentra la opción habilitada por defecto aunque no se esté usando.
Sería interesante que desde ahora comencemos a aplicar uno de los principios de Hardening en sistemas y Servidores llamado Mínimo Punto de Exposición y que consiste básicamente en eliminar y sacar todo aquello que no es necesario para el perfecto funcionamiento de un sistema ya que no va a ser utilizado.
¿Es necesario realmente tener activado XML-RPC?
¿Con qué frecuencia publicas en forma remota?
¿Es indispensable tener y utilizar XML-RPC para el funcionamiento de mi site?
Estos y más interrogantes nos podemos plantear con los integrantes del proyecto y llegar a establecer políticas y procedimientos de publicación sería un documento excelente para trabajar con todos.
Si te interesa aprender más sobre algunos aspectos de Seguridad, apuntate ahora mismo al Taller de Seguridad en WordPress que estamos impartiendo constantemente a entusiastas, empresas, emprendedores y estudiantes.
Saludos!
No hay comentarios.:
Publicar un comentario