via API’s door middel van RPC’s (Remote Procedure Calls over HTTP). Enkele onderdelen die gebruik maken van xmlrpc.php zijn:
- Trackbacks en Pingbacks vanuit andere websites
- JetPack plugin
- WordPress app om via de smartphone de website te onderhouden
XML-RPC functionaliteit is sinds het prille begin van WordPress reeds aanwezig, echter was deze functionaliteit standaard uitgeschakeld tot versie 3.5 en kon men kiezen om deze functie in te schakelen. Tegenwoordig staat deze functie standaard aan.
Het mechanisme van XML-RPC kan misbruikt worden om een enorme brute force aanval op uw website te doen. Bij ‘standaard’ brute force aanvallen kan men slechts 1 wachtwoord aanbieden per keer. Echter door misbruik van een functie, genaamd system.multicall, binnen XML-RPC kan een aanvaller een enorme boost aan deze brute force aanval geven. Hierdoor kan de aanvaller probleemloos honderden tot wel duizend wachtwoorden per keer (per aanroep) proberen!!
Hieronder een screenshot van een aanval welke wij succesvol hebben kunnen onderscheppen voor een bekende Nederlandse Blog website. Tijdens deze aanval werden per aanroep 350 wachtwoorden aangeboden.