WordPress on aina ollut sisäänrakennettu ominaisuuksia, joiden avulla voit etänä vuorovaikutuksessa sivuston. Kohtaa se, joskus sinun täytyy käyttää sivustosi ja tietokoneesi ei ole missään lähellä. Pitkään ratkaisuna oli tiedosto nimeltä xmlrpc.php. Viime vuosina tiedosto on kuitenkin muuttunut enemmän tuholaiseksi kuin ratkaisuksi.
alla sukelletaan mihin xmlrpc.php todella on ja miksi se luotiin. Olemme myös yleiskatsaus yhteisiä tietoturvaongelmia se aiheuttaa ja miten paikata ne omalla WordPress-sivustolla.
ota WordPress-sivustosi seuraavalle tasolle ja hanki turvallinen WordPress-hostausratkaisu Hostingerilla tänään!
Aloita Tästä
Mikä On Xmlrpc.php?
XML-RPC on WordPressin ominaisuus, joka mahdollistaa tiedon välittämisen HTTP: n toimiessa siirtomekanismina ja XML: n koodausmekanismina. Koska WordPress ei ole itsestään suljettu järjestelmä ja joskus täytyy kommunikoida muiden järjestelmien, tämä pyrittiin käsittelemään tätä työtä.
esimerkiksi, sanotaan, että halusit lähettää sivustollesi mobiililaitteestasi, koska tietokoneesi ei ollut missään lähellä. Voit käyttää xmlrpc: n etäkäyttöominaisuutta.php tehdä juuri niin.
xmlrpc: n ydinominaisuudet.php käytössä mahdollistivat yhteyden sivuston kautta älypuhelin, täytäntöönpano trackbacks ja pingbacks muilta sivustoilta, ja joitakin toimintoja, jotka liittyvät Jetpack plugin.
Miksi Xmlrpc: Tä Käytettiin.php luotu ja miten sitä käytettiin?
XML-RPC: n toteutus juontaa juurensa WordPressin alkuaikoihin ennen kuin siitä edes tuli WordPress.
Internetin alkuaikoina, jolloin yhteydet olivat uskomattoman hitaita, kirjoittaminen ja julkaiseminen verkkoon oli paljon vaikeampaa ja aikaa vievää. Sen sijaan, että kirjoittaisi itse selaimessa, useimmat ihmiset kirjoittaisivat offline-tilassa, sitten kopioisivat ja liittäisivät sisältönsä verkkoon. Tämä prosessi oli kuitenkin kaikkea muuta kuin ihanteellinen.
ratkaisu (tuolloin) oli luoda offline blogging client, jossa voit säveltää sisältöä, sitten yhteyden blogiisi julkaista sen. Tämä yhteys tehtiin XML-RPC: n kautta. XML-RPC: n peruskehyksen ollessa käytössä varhaiset Sovellukset käyttivät tätä samaa yhteyttä, jotta ihmiset voivat kirjautua WordPress-sivustoilleen muista laitteista.
XML-RPC nykyään
vuonna 2008 WordPressin versiossa 2.6 oli mahdollisuus ottaa XML-RPC käyttöön tai poistaa se käytöstä. WordPress iPhone-sovelluksen julkaisun myötä XML-RPC-tuki oli kuitenkin oletusarvoisesti käytössä, eikä asetusta voinut kytkeä pois päältä. Tämä on pitänyt paikkansa nykypäivään asti.
tämän tiedoston toiminnallisuus on kuitenkin vähentynyt huomattavasti ajan myötä, ja tiedoston kokonaiskoko on pienentynyt 83 kilosta 3 kiloon, joten sillä ei ole niin suurta roolia kuin ennen.
XML-RPC: n tulevaisuus
uuden WordPress API: n myötä voidaan odottaa XML-RPC: n poistuvan kokonaan. Tänään, tämä uusi API on vielä kokeiluvaiheessa ja voidaan ottaa käyttöön vain käyttämällä plugin.
voi kuitenkin odottaa, että API koodataan tulevaisuudessa suoraan WordPress-ytimeen, mikä lähinnä poistaa xmlrpc: n tarpeen.php tiedosto kokonaan.
Uusi API ei ole täydellinen, mutta se tarjoaa vankemman ja varmemman ratkaisun xmlrpc: n ongelmaan.php addressed.
Miksi Xmlrpc Pitäisi Poistaa Käytöstä.php
suurimmat ongelmat XML-RPC: n kanssa liittyvät tietoturvahuoliin. Ongelmat eivät ole XML-RPC suoraan, vaan miten tiedosto voidaan käyttää mahdollistamaan brute force hyökkäys sivustoosi.
Toki voit suojautua uskomattoman vahvoilla salasanoilla ja WordPress-tietoturvaliitännäisillä. Mutta, paras suojaustapa on yksinkertaisesti poistaa se.
XML-RPC: ssä on kaksi pääasiallista heikkoutta, joita on aiemmin hyödynnetty.
ensimmäinen käyttää brute force-hyökkäyksiä päästäkseen sivustoosi. Hyökkääjä yrittää käyttää sivustoasi xmlrpc: n avulla.php käyttämällä erilaisia käyttäjätunnus ja salasana yhdistelmiä. He voivat tehokkaasti käyttää yhtä komentoa satojen eri salasanojen testaamiseen. Näin ne voivat ohittaa tietoturvatyökalut, jotka tyypillisesti tunnistavat ja estävät brute force-hyökkäykset.
toinen oli sivustojen ottaminen pois verkosta palvelunestohyökkäyksen kautta. Hakkerit käyttäisivät pingback ominaisuus WordPress lähettää pingbacks tuhansia sivustoja välittömästi. Tämä ominaisuus xmlrpc: ssä.php antaa hakkereille lähes loputon tarjonta IP-osoitteita jakaa DDoS hyökkäys yli.
jos haluat tarkistaa, onko sivustossasi käynnissä XML-RPC, voit suorittaa sen XML-RPC Validator-nimisen työkalun avulla. Suorita sivuston kautta työkalun, ja jos saat virheilmoituksen, niin se tarkoittaa, että sinulla ei ole XML-RPC käytössä.
jos saat menestysviestin, voit pysäyttää xmlrpc: n.php jommallakummalla seuraavista lähestymistavoista.
Menetelmä 1: Xmlrpc: N Poistaminen Käytöstä.php Plugins
käytöstä XML-RPC WordPress sivuston ei voisi olla helpompaa.
yksinkertaisesti Siirry Plugins ” Lisää uusi osio sisällä WordPress kojelauta. Etsi Poista XML-RPC käytöstä ja asenna liitännäinen, joka näyttää alla olevalta levyltä:
aktivoi liitännäinen ja olet valmis. Tämä plugin lisää automaattisesti tarvittavat koodi sammuttaa XML-RPC.
muista kuitenkin, että jotkin olemassa olevat liitännäiset saattavat käyttää osia XML-RPC: stä, joten sen poistaminen kokonaan voi aiheuttaa liitännäisen konfliktin tai tietyt sivustosi osat eivät enää toimi.
jos haluat ottaa vain tietyt XML-RPC: n elementit pois päältä, mutta antaa silti tiettyjen liitännäisten ja ominaisuuksien toimia, käytä sen sijaan seuraavia liitännäisiä:
- Pysäytä XML-RPC-hyökkäys. Tämä plugin lopettaa kaikki XML-RPC hyökkäykset, mutta se jatkaa sallia plugins kuten Jetpack, ja muut automaattiset työkalut ja plugins säilyttää pääsyn xmlrpc.php-tiedosto.
- Control XML-RPC Publishing. Näin voit säilyttää hallinnan ja käytön xmlrpc: n tarjoaman etäjulkaisuvaihtoehdon yli.php.
Menetelmä 2: Xmlrpc: N Poistaminen Käytöstä.PHP manuaalisesti
jos et halua käyttää plugin ja mieluummin tehdä sen manuaalisesti, noudata tätä lähestymistapaa. Se pysäyttää kaikki saapuvat xmlrpc: t.php pyytää ennen kuin se siirtyy WordPress.
avaa omasi .htaccess-tiedosto. Sinun on ehkä otettava käyttöön ’Näytä piilotetut tiedostot’ tiedostonhallinnassa tai FTP-asiakasohjelmassasi etsiäksesi tämän tiedoston.
Inside your .htaccess-tiedosto, liitä seuraava koodi:
# Block WordPress xmlrpc.php requests<Files xmlrpc.php>order deny,allowdeny from allallow from xxx.xxx.xxx.xxx</Files>
Huomautus: Vaihda xxx. xxx. xxx. xxx IP-osoitteeseen, jonka haluat sallia xmlrpc: n käytön.php tai poista tämä rivi kokonaan.
Closing Thoughts
kaiken kaikkiaan XML-RPC oli vankka ratkaisu joihinkin ongelmiin, jotka johtuivat WordPress-sivuston etäjulkaisemisesta. Kuitenkin, tämä ominaisuus tuli joitakin tietoturva-aukkoja, jotka päätyivät melko vahingollista joillekin WordPress sivuston omistajille.
jotta sivustosi pysyy turvallisena, on hyvä idea poistaa xmlrpc käytöstä.php kokonaan. Ellet vaadi joitakin toimintoja tarvitaan etäjulkaisu ja Jetpack plugin. Sitten, kannattaa käyttää workaround plugins, jotka mahdollistavat nämä ominaisuudet, mutta silti paikata tietoturva-aukkoja.
aikanaan voidaan odottaa XML-RPC: n ominaisuuksien integroituvan uuteen WordPress-sovellusliittymään, joka säilyttää etäkäytön ja vastaavat tietoturvasta tinkimättä. Sitä odotellessa kannattaa kuitenkin suojautua mahdollisilta XML-RPC-tietoturva-aukoilta.