J'ai plusieurs blogs wordpress hébergés, et j'ai essayé de les visiter et ils sont vraiment lents. J'ai regardé les journaux de mon serveur et j'ai trouvé ça
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:28 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:28 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:28 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:28 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:29 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:29 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:29 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:29 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:31 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:31 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:31 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
J'obtiens ~ 10 accès par seconde au fichier /xmlrpc.php du GoogleBot vers plusieurs sites, et cela semble ralentir le serveur. je cours
tail -f
sur le fichier journal, et peut simplement voir ces demandes se poursuivre. Est-ce que quelqu'un sait pourquoi cela pourrait se produire ou ce que vous pourriez faire pour l'arrêter?
server-load
jkeesh
la source
la source
Réponses:
Je bloquerais l'adresse IP
iptables
si c'était moi et si vous avez ce type d'accès au niveau du serveur.Vous pouvez également désactiver xmlrpc. Malheureusement, depuis la version 3.5, l'option d'écran administrateur pour désactiver cette fonctionnalité a été supprimée. Une seule ligne de code devrait cependant le désactiver:
add_filter( 'xmlrpc_enabled', '__return_false' );
cela pourrait économiser une partie de la charge des demandes, mais cela ne l'éliminera pas entièrement.la source
"Googlebot" n'a aucune raison d'accéder à xmlrpc.php Vous pouvez l'ajouter en haut de votre xmlrpc.php
Je suppose que c'est un fichier WordPress de base. Il peut donc être ennuyeux de garder cela à jour. Ce serait bien si Automattic utilisait Akismet pour blacklister ces IP de tous les scripts WP, partout.
Mise à jour: j'ai fini par supprimer l'autorisation avec
chmod 0 xmlrpc.php
(voir mes commentaires) après qu'un DDoS a commencé à taxer mon serveur. En d'autres termes, ce code PHP conditionnel pourrait ne pas empêcher un attaquant agressif de désactiver temporairement votre blog. En tout cas, ils abandonnent généralement assez vite.la source
exit()
en haut du fichier car nous utilisons toujours wp-admin pour éditer les pages. J'ai trouvé cela une faiblesse relative sur Wordpress qui me fait craindre d'implémenter WP pour une grande organisation. Avec le xmlrpc désactivé, je n'aurais pas à m'inquiéter, non?bloquer l'IP avec iptables:
la source
Si cela s'était produit récemment et que cela tuait le serveur, nous utilisons maintenant fail2ban pour atténuer le problème.
Ajout de cette configuration à jail.local :
Et créez le filtre dans filter.d / apache-xmlrpc.conf :
Dans mon cas, les attaques ne provenaient pas toujours de googlebot, ce qui a rendu la regex un peu plus large, mais pour moi, il n'y a guère de bonne raison pour qu'une IP frappe xmlrpc 30+ fois en 5 minutes.
la source