Woocommerce mobile app

  • Avatar di Sconosciuto
    taccook · Membro ·

    Non riesco a fare il log in su woocommerce mobile app… Mi da errore perché non riesce ad accedere al file xmlrpc

    Site: https://taccook.it.
    WP.com: Unknown
    Jetpack: Yes
    Correct account: Yes

  • Avatar di Sconosciuto
    fabioimk · Membro ·

    N.B. E’ quasi sempre sconsigliato abilitare xmlrpc.php

    Il motivo principale per cui si dovrebbe disabilitare xmlrpc.php sul proprio sito WordPress è perché questo introduce vulnerabilità nella sicurezza e può essere bersaglio di attacchi.

    Ora che XML-RPC non è più necessario per comunicare al di fuori di WordPress, non c’è più motivo di tenerlo attivo. Ecco perché è saggio rendere il sito più sicuro disabilitandolo!!

    Possibili attacchi con xmlrpc.php abilitato

    – Attacchi DDoS tramite Pingback XML-RPC
    – Attacchi Brute Force via XML-RPC

    Ogni volta che xmlrpc.php fa una richiesta, invia il nome utente e la password per l’autenticazione. Questo presenta una significativa vulnerabilità nella sicurezza ed è qualcosa che l’API REST non fa. Infatti invia token per l’autenticazione al posto di nome utente o password.

    Dato che xmlrpc.php invia informazioni di autenticazione ad ogni richiesta, gli hacker potrebbero utilizzarle per provare ad accedere al sito. Un attacco di forza bruta come questo potrebbe permettere loro di inserire contenuti, cancellare codice o danneggiare il database.


    Metodi utilizzati:
    Wordpress Shell Uploader + WordPress All in One Bruteforce v2.12
    Ad Aprile 2021 è stato aggiornato il codice, in particolare questo baypassa uno dei migliori plugin di sicurezza Wordfence https://it.wordpress.org/plugins/wordfence/

    Fai sempre un backup del sito e database prima di qualsiasi modifica. In questo caso, non cancellare il file xmlrpc.php perché questo danneggerà il sito.

    Per verificare se xmlrpc.php è abilitato usa questo servizio di validazione XML-RPC di WordPress. https://xmlrpc.eritreo.it/ Questo controllerà il tuo sito e ti dirà se xmlrpc.php è abilitato.

    L’unico motivo per cui è ancora in WordPress è per la retro-compatibilità e personalmente andrebbe abilitato solo per sistemi obsoleti. Per siti aggiornati con le ultime tecnologie, la strada da percorrere è disabilitare xmlrpc.php.

  • L'argomento ‘Woocommerce mobile app’ è chiuso a nuove risposte.