WordPress měl vždy vestavěné funkce, které vám umožňují vzdáleně komunikovat s vaším webem. Přiznejte si to, někdy budete muset přistupovat na svůj web a váš počítač nebude nikde poblíž. Po dlouhou dobu byl řešením soubor s názvem xmlrpc.Linux. V posledních letech se však soubor stal spíše škůdcem než řešením.
níže se ponoříme do toho, co xmlrpc.php ve skutečnosti je a proč byl vytvořen. Máme také přehled o běžných bezpečnostních problémech, které způsobuje, a jak je opravit na vašem vlastním webu WordPress.
vezměte své stránky WordPress na další úroveň a získejte bezpečné hostingové řešení WordPress s Hostinger ještě dnes!
Začínáme Zde
Co Je Xmlrpc.php?
XML-RPC je funkce WordPress, která umožňuje přenos dat, přičemž HTTP působí jako transportní mechanismus a XML jako kódovací mechanismus. Vzhledem k tomu, WordPress není self-uzavřený systém a občas potřebuje komunikovat s jinými systémy, to bylo hledáno zvládnout tuto práci.
řekněme například, že jste chtěli zveřejnit svůj web z mobilního zařízení, protože váš počítač nebyl nikde poblíž. Můžete použít funkci vzdáleného přístupu povolenou xmlrpc.php dělat jen to.
základní funkce, které xmlrpc.php enabled vám umožnilo připojit se k vašemu webu pomocí smartphonu, implementovat zpětné odkazy a pingbacky z jiných webů a některé funkce spojené s pluginem Jetpack.
Proč Byl Xmlrpc.php vytvořeno a jak bylo použito?
implementace XML-RPC sahá až do prvních dnů WordPress, než se dokonce stal WordPress.
v počátcích internetu, kdy byla připojení neuvěřitelně pomalá, byl proces psaní a publikování na webu mnohem obtížnější a časově náročnější. Místo psaní v samotném prohlížeči by většina lidí psala offline, poté zkopírovala a vložila svůj obsah na web. Přesto tento proces nebyl zdaleka ideální.
řešením (v té době) bylo vytvořit offline blogovacího klienta, kde byste mohli skládat svůj obsah a poté se připojit k blogu a publikovat jej. Toto připojení bylo provedeno pomocí XML-RPC. Se základním rámcem XML-RPC, rané aplikace používaly stejné připojení, aby lidem umožnily přihlásit se na své weby WordPress z jiných zařízení.
XML-RPC v současné době
v roce 2008, s verzí 2.6 WordPress, byla možnost povolit nebo zakázat XML-RPC. S vydáním aplikace WordPress pro iPhone však byla ve výchozím nastavení povolena podpora XML-RPC a nebylo možné nastavení vypnout. To zůstalo pravdivé dodnes.
funkčnost tohoto souboru se však v průběhu času výrazně snížila a celková velikost souboru se snížila z 83kb na 3kb, takže nehraje tak velkou roli jako dříve.
budoucnost XML-RPC
s novým WordPress API můžeme očekávat, že XML-RPC bude zcela eliminován. Dnes je toto nové API stále ve zkušební fázi a lze jej povolit pouze pomocí pluginu.
můžete však očekávat, že API bude v budoucnu kódováno přímo do jádra WordPress, což většinou eliminuje potřebu xmlrpc.php soubor celkem.
nové API není dokonalé, ale poskytuje robustnější a bezpečnější řešení problému, který xmlrpc.php adresováno.
Proč Byste Měli Zakázat Xmlrpc.php
největší problémy s XML-RPC jsou bezpečnostní obavy, které vznikají. Problémy nejsou s XML-RPC přímo, ale místo toho, jak lze soubor použít k povolení útoku hrubou silou na vašem webu.
jistě, můžete se chránit neuvěřitelně silnými hesly a bezpečnostními pluginy WordPress. Ale nejlepší způsob ochrany je jednoduše zakázat.
existují dvě hlavní slabiny XML-RPC, které byly v minulosti využívány.
první z nich používá útoky hrubou silou k získání vstupu na váš web. Útočník se pokusí získat přístup na váš web pomocí xmlrpc.php pomocí různých kombinací uživatelského jména a hesla. Mohou efektivně použít jediný příkaz k testování stovek různých hesel. To jim umožňuje obejít bezpečnostní nástroje, které obvykle detekují a blokují útoky hrubou silou.
druhý byl přechod stránek offline prostřednictvím útoku DDoS. Hackeři by pomocí funkce Pingback ve WordPressu okamžitě odeslali pingbacky na tisíce webů. Tato funkce v xmlrpc.php dává hackerům téměř nekonečnou zásobu IP adres k distribuci DDoS útoku.
Chcete-li zkontrolovat, zda je na vašem webu spuštěn XML-RPC, můžete jej spustit pomocí nástroje s názvem XML-RPC Validator. Spusťte svůj web pomocí nástroje a pokud se zobrazí chybová zpráva, znamená to, že nemáte povolen XML-RPC.
pokud se zobrazí zpráva o úspěchu, můžete zastavit xmlrpc.php s jedním ze dvou níže uvedených přístupů.
Metoda 1: Zakázání Xmlrpc.php s pluginy
zakázání XML-RPC na vašem webu WordPress nemůže být snazší.
jednoduše přejděte do sekce pluginy “ Přidat novou sekci z řídicího panelu WordPress. Vyhledejte zakázat XML-RPC a nainstalujte plugin, který vypadá jako obrázek níže:
aktivujte plugin a máte vše nastaveno. Tento plugin automaticky vloží potřebný kód pro vypnutí XML-RPC.
Nicméně, mějte na paměti, že některé stávající pluginy mohou využívat části XML-RPC, tak je vypnout úplně, mohl by způsobit plugin konfliktu nebo některé prvky webu se nebudou fungovat.
pokud chcete vypnout pouze určité prvky XML-RPC, ale přesto povolit určité pluginy a funkce, použijte místo toho následující pluginy:
- zastavit XML-RPC útok. Tento plugin zastaví všechny útoky XML-RPC, ale bude i nadále umožňovat pluginy jako Jetpack a další automatické nástroje a pluginy pro zachování přístupu k xmlrpc.php soubor.
- Control XML-RPC Publishing. To vám umožní udržet kontrolu a používat přes možnost vzdáleného publikování poskytované xmlrpc.Linux.
Metoda 2: Zakázání Xmlrpc.php ručně
pokud nechcete používat plugin a raději to udělat ručně, postupujte podle tohoto přístupu. Zastaví všechny příchozí xmlrpc.php požaduje, než se dostane předán na WordPress.
otevřete svůj .soubor htaccess. Možná budete muset zapnout „zobrazit skryté soubory“ ve Správci souborů nebo FTP klient najít tento soubor.
uvnitř vašeho .htaccess soubor, vložte následující kód:
# Block WordPress xmlrpc.php requests<Files xmlrpc.php>order deny,allowdeny from allallow from xxx.xxx.xxx.xxx</Files>
Poznámka: Změnit xxx.xxx.xxx.xxx IP adresu, kterou chcete povolit přístup xmlrpc.php nebo tento řádek úplně odstraňte.
Závěrečné myšlenky
celkově byl XML-RPC solidním řešením některých problémů, ke kterým došlo v důsledku vzdáleného publikování na vašem webu WordPress. S touto funkcí však přišly některé bezpečnostní díry, které skončily docela škodlivými pro některé majitele stránek WordPress.
Chcete-li zajistit, aby vaše stránky zůstaly v bezpečí, je vhodné zakázat xmlrpc.php zcela. Pokud nepotřebujete některé funkce potřebné pro vzdálené publikování a plugin Jetpack. Pak byste měli použít pluginy řešení, které umožňují tyto funkce, a přitom stále opravovat bezpečnostní díry.
v čase můžeme očekávat, že funkce XML-RPC budou integrovány do nového WordPress API, které bude udržovat vzdálený přístup a podobně, aniž by byla obětována bezpečnost. Ale mezitím je dobré se chránit před potenciálními bezpečnostními otvory XML-RPC.