Ik kreeg enkele weken geleden een bericht dat de server ( reseller-hosting ) overbelast was door mijn wordpress site.
De logs bekijken leverde mij de informatie op dat er misbruik werd gemaakt ( geprobeerd ) van het xmlrpc.php bestand.

Dit dacht ik te voorkomen door dit toe te voegen aan mijn htaccess bestand :

Code:

<FilesMatch "^(xmlrpc\.php|wp-trackback\.php|wp-login\.php)">
Order Deny,Allow
Deny from all
Allow from mijnip

</FilesMatch>

Dit gaf echter een 404 error page aan de ontvanger waardoor de load van de server nog steeds hoog bleef.
Het volgende RewriteRule regeltje bovenaan leek een oplossing :

Code:

RewriteEngine On
RewriteRule ^xmlrpc\.php$ "http\:\/\/0\.0\.0\.0\/" [R=301,L]


<FilesMatch "^(xmlrpc\.php|wp-trackback\.php|wp-login\.php)">
Order Deny,Allow
Deny from all
Allow from mijnip
</FilesMatch>


# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>


# END WordPress

Nu geeft de error log aan :

Code:

[Tue Dec 16 20:13:37.860203 2014] [access_compat:error] [pid 16639:tid 47917604460864] [client 94.102.49.241:60210] AH01797: client denied by server configuration: /public_html/xmlrpc.php
[Tue Dec 16 20:13:40.467806 2014] [access_compat:error] [pid 16639:tid 47917646420288] [client 89.248.172.106:39036] AH01797: client denied by server configuration: /public_html/xmlrpc.php

En de usage log :

Code:

94.102.49.241 - - [16/Dec/2014:20:13:37 +0100] "POST /xmlrpc.php HTTP/1.0" 404 6325 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
89.248.172.106 - - [16/Dec/2014:20:13:40 +0100] "POST /xmlrpc.php HTTP/1.0" 404 6325 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"

Ben ik er nou vanaf aangezien er staat client denied in de error log ?
Wordt er nou nog load veroorzaakt ? ( kan als reseller helaas de load van de server niet controleren )

Een

<Files "xmlrpc.php">
Order Allow,Deny
deny from all
</Files>

is voldoende, maar als ik het goed heb is dat security issue in xmlrpc door WordPress in versies 3.5.1 en later al gefixed.

Draai de laatste versie van wordpress ( 4.0.1 ), ik denk dat het beveiliging technisch wel in orde is.
Alleen wordt/werd er veel load op de server veroorzaakt doordat telkens ( 120 a 160 x per uur ) het xmlrpc bestand aangeroepen werd.

Ik dacht dat de deny nog steeds onnodige load veroorzaakte ( ivm 404 Error page ) , vandaar dat ik ze wilde redirecten naar het 0.0.0.0 adres.
Vraag me wel af of de deny voor het xmlrpc weg kan uit mijn htaccess bestand als ik een redirect heb zoals nu ?

160 x per uur.... en daar krijg je een hoge load van? Dan zit je toch op een erg brakke kist als ie niet eens 1 hit per 20 seconden aan kan :(