a WordPress mindig beépített funkciókkal rendelkezik, amelyek lehetővé teszik, hogy távolról kommunikáljon webhelyével. Nézz szembe vele, néha el kell érned a webhelyedet, és a számítógéped nem lesz a közelben. Hosszú ideig a megoldás egy xmlrpc nevű fájl volt.php. De az utóbbi években a fájl inkább kártevővé vált, mint megoldássá.
az alábbiakban belevetik magukat, amit xmlrpc.a php valójában és miért jött létre. Áttekintjük az általa okozott általános biztonsági problémákat és azt is, hogyan javíthatjuk őket a saját WordPress webhelyén.
vidd a WordPress oldaladat a következő szintre, és szerezz egy biztonságos WordPress hosting megoldást a Hostingerrel még ma!
Kezdje Itt
Mi Az Xmlrpc.php?
az XML-RPC a WordPress egyik jellemzője, amely lehetővé teszi az adatok továbbítását, a HTTP szállítási mechanizmusként, az XML pedig kódolási mechanizmusként működik. Mivel a WordPress nem önálló rendszer, és alkalmanként kommunikálnia kell más rendszerekkel, ezt a munkát próbálták kezelni.
tegyük fel például, hogy mobileszközéről akart posztolni a webhelyére, mivel a számítógépe sehol sem volt a közelben. Használhatja az xmlrpc által engedélyezett távoli hozzáférési funkciót.php, hogy nem csak ezt.
az alapvető jellemzői, hogy xmlrpc.php engedélyezve volt, amely lehetővé teszi, hogy csatlakozzon a webhely okostelefonon keresztül, végrehajtási trackbacks és pingbacks más oldalakon, és néhány kapcsolódó funkciók a Jetpack plugin.
Miért Volt Xmlrpc.php létrehozva és hogyan használták?
az XML-RPC megvalósítása a WordPress korai napjaira nyúlik vissza, mielőtt még WordPress lett volna.
az internet korai napjaiban, amikor a kapcsolatok hihetetlenül lassúak voltak, a webes írás és közzététel folyamata sokkal nehezebb és időigényes volt. Ahelyett, hogy a böngészőn belül írna, a legtöbb ember offline módon írna, majd átmásolná és beillesztené tartalmát az internetre. Ennek ellenére ez a folyamat messze nem volt ideális.
a megoldás (abban az időben) egy offline blogkliens létrehozása volt, ahol összeállíthatja a tartalmát, majd csatlakozhat a blogjához, hogy közzétegye. Ez a kapcsolat XML-RPC-n keresztül történt. Az XML-RPC alapvető keretrendszerével a korai alkalmazások ugyanazt a kapcsolatot használták, hogy az emberek más eszközökről bejelentkezhessenek WordPress-webhelyeikre.
XML-RPC manapság
2008-ban a WordPress 2.6-os verziójával lehetőség volt az XML-RPC engedélyezésére vagy letiltására. A WordPress iPhone alkalmazás megjelenésével azonban az XML-RPC támogatás alapértelmezés szerint engedélyezve volt, és nem volt lehetőség a Beállítás kikapcsolására. Ez a mai napig igaz maradt.
ennek a fájlnak a funkcionalitása azonban az idő múlásával jelentősen csökkent, és a fájl teljes mérete 83kb-ról 3KB-ra csökkent, tehát nem játszik olyan nagy szerepet, mint korábban.
az XML-RPC jövője
az új WordPress API-val arra számíthatunk, hogy az XML-RPC teljesen megszűnik. Ma ez az új API még mindig a próbafázisban van, és csak egy plugin használatával engedélyezhető.
azonban számíthat arra, hogy az API-t a jövőben közvetlenül a WordPress magjába kódolják, ami többnyire kiküszöböli az xmlrpc szükségességét.php fájl összesen.
az új API nem tökéletes, de robusztusabb és biztonságosabb megoldást nyújt az xmlrpc problémájára.php címzett.
Miért Kell Letiltani Xmlrpc.php
az XML-RPC legnagyobb problémái a felmerülő biztonsági aggályok. A problémák nem közvetlenül az XML-RPC-vel vannak, hanem azzal, hogy a fájl hogyan használható brutális erőszakos támadás engedélyezésére a webhelyén.
persze, hihetetlenül erős jelszavakkal és WordPress biztonsági bővítményekkel védheti meg magát. De a legjobb védelmi mód az, ha egyszerűen letiltja.
az XML-RPC-nek két fő gyengesége van, amelyeket a múltban kihasználtak.
az első a brute force támadások használata, hogy belépjen a webhelyére. A támadó megpróbálja elérni a webhelyét az xmlrpc használatával.php különböző felhasználónév és jelszó kombinációk használatával. Hatékonyan használhatnak egyetlen parancsot több száz különböző jelszó tesztelésére. Ez lehetővé teszi számukra, hogy megkerüljék a biztonsági eszközöket, amelyek általában észlelik és blokkolják a brute force támadásokat.
a második az volt, hogy a webhelyeket DDoS támadás útján offline állapotba hozták. A hackerek a WordPress pingback funkcióját használják, hogy azonnal pingbackeket küldjenek több ezer webhelyre. Ez a funkció az xmlrpc – ben.a php szinte végtelen mennyiségű IP-címet ad a hackereknek a DDoS támadás terjesztéséhez.
annak ellenőrzéséhez, hogy az XML-RPC fut-e a webhelyén, futtathatja azt az XML-RPC Validator nevű eszközön keresztül. Futtassa webhelyét az eszközön keresztül, és ha hibaüzenetet kap, akkor az azt jelenti, hogy nincs engedélyezve az XML-RPC.
ha sikerüzenetet kap, akkor leállíthatja az xmlrpc-t.php az alábbi két megközelítés egyikével.
1. Módszer: Az Xmlrpc Letiltása.php pluginekkel
az XML-RPC letiltása a WordPress webhelyén nem lehet egyszerűbb.
egyszerűen keresse meg a Plugins ” új szakasz hozzáadása a WordPress irányítópultján belül. Keresse meg az XML-RPC letiltását, és telepítse az alábbi képhez hasonló plugint:
aktiválja a plugint, és minden készen áll. Ez a bővítmény automatikusan beilleszti a szükséges kódot az XML-RPC kikapcsolásához.
ne feledje azonban, hogy egyes meglévő bővítmények felhasználhatják az XML-RPC egyes részeit, így annak teljes letiltása plugin-konfliktust okozhat, vagy a webhely bizonyos elemei már nem működnek.
ha csak az XML-RPC bizonyos elemeit szeretné kikapcsolni, de bizonyos bővítmények és funkciók működését mégis engedélyezi, akkor használja a következő bővítményeket:
- állítsa le az XML-RPC támadást. Ez a plugin leállítja az összes XML-RPC támadást, de továbbra is lehetővé teszi a pluginek, például a Jetpack és más automatikus eszközök és bővítmények számára, hogy megtartsák a hozzáférést az xmlrpc-hez.php fájl.
- vezérlő XML-RPC közzététel. Ez lehetővé teszi az xmlrpc által biztosított távoli közzétételi lehetőség feletti ellenőrzés megtartását és használatát.php.
2.Módszer: Az Xmlrpc Letiltása.php manuálisan
ha nem akarja használni a plugint, és inkább manuálisan szeretné megtenni, akkor kövesse ezt a megközelítést. Ez leállítja az összes bejövő xmlrpc.php kérések, mielőtt átadják a WordPress-nek.
nyissa meg .htaccess fájl. Lehet, hogy be kell kapcsolnia a ‘rejtett fájlok megjelenítése’ a fájlkezelőben vagy az FTP kliensben a fájl megkereséséhez.
belül a .htaccess fájlt, illessze be a következő kódot:
# Block WordPress xmlrpc.php requests<Files xmlrpc.php>order deny,allowdeny from allallow from xxx.xxx.xxx.xxx</Files>
Megjegyzés: változás xxx. xxx.xxx.xxx IP-címet szeretne hozzáférést xmlrpc.php vagy távolítsa el ezt a sort teljesen.
záró gondolatok
összességében az XML-RPC szilárd megoldást jelentett a WordPress webhelyén történő távoli közzététel miatt felmerült problémákra. Ezzel a funkcióval azonban néhány biztonsági lyuk jött létre, amelyek végül nagyon károsak voltak néhány WordPress webhelytulajdonos számára.
annak érdekében, hogy webhelye biztonságos maradjon, érdemes letiltani az xmlrpc-t.php teljesen. Hacsak nincs szüksége a távoli közzétételhez és a Jetpack bővítményhez szükséges funkciókra. Ezután használja a megkerülő beépülő modulokat, amelyek lehetővé teszik ezeket a funkciókat, miközben továbbra is javítja a biztonsági lyukakat.
idővel elvárhatjuk, hogy az XML-RPC funkciói beépüljenek az új WordPress API-ba, amely megőrzi a távoli hozzáférést és hasonlókat, a biztonság feláldozása nélkül. De időközben érdemes megvédeni magát a lehetséges XML-RPC biztonsági lyukaktól.