WordPressには、サイトとリモートで対話できる組み込み機能が常にありました。 それに直面して、時にはあなたのウェブサイトにアクセスする必要がありますし、お使いのコンピ 長い間、解決策はxmlrpcという名前のファイルでした。php。 しかし、近年では、ファイルは解決策よりも害虫の多くとなっています。
以下、xmlrpcとは何かについて説明します。phpは実際にあり、なぜそれが作成されたのですか。 また、それが引き起こす一般的なセキュリティ上の問題と、自分のWordPressサイトでそれらをパッチする方法についても概説します。
次のレベルにあなたのWordPressのサイトを取り、今日Hostingerで安全なWordPressのホスティングソリューションを取得!
ここから始める
Xmlrpcとは何ですか。php?
XML-RPCは、Httpがトランスポートメカニズム、XMLがエンコードメカニズムとして機能し、データを送信できるWordPressの機能です。 WordPressは自己完結型のシステムではなく、時には他のシステムと通信する必要があるため、これはその仕事を処理するために求められていました。
たとえば、コンピュータが近くにないため、モバイルデバイスからサイトに投稿したいとしましょう。 Xmlrpcで有効になっているリモートアクセス機能を使用できます。phpはちょうどそれを行うには。
xmlrpcのコア機能。phpを有効にすると、他のサイトからのトラックバックやピングバックを実装し、スマートフォンを介してあなたのサイトに接続することができ、Jetpackのプ
なぜXmlrpcだったのですか。phpが作成され、どのように使用されましたか?
XML-RPCの実装は、WordPressがWordPressになる前のWordPressの初期の頃にさかのぼります。
インターネットの初期の頃、接続が信じられないほど遅かった頃、ウェブへの書き込みと公開のプロセスははるかに困難で時間がかかりました。 ほとんどの人は、ブラウザ自体の中で書くのではなく、オフラインで書いてから、コンテンツをコピーしてウェブに貼り付けました。 それでも、このプロセスは理想的ではありませんでした。
(当時)解決策は、オフラインのブログクライアントを作成し、コンテンツを作成し、ブログに接続して公開することでした。 この接続はXML-RPCを介して行われました。 XML-RPCの基本的なフレームワークが導入された初期のアプリでは、この同じ接続を使用して、他のデバイスからWordPressサイトにログインできるようにしました。
XML-RPC最近では
2008年、WordPressのバージョン2.6では、XML-RPCを有効または無効にするオプションがありました。 しかし、WordPress iPhoneアプリのリリースに伴い、XML-RPCサポートはデフォルトで有効になり、設定をオフにするオプションはありませんでした。 これは現在に至るまで真実である。
しかし、このファイルの機能は時間の経過とともに大幅に低下し、ファイル全体のサイズは83kbから3kbに減少したため、以前ほど大きな役割を果
XML-RPCの未来
新しいWordPress APIでは、XML-RPCが完全に排除されることが期待できます。 今日では、この新しいAPIはまだ試用段階にあり、プラグインを使用してのみ有効にすることができます。
しかし、将来的にはApiがWordPressコアに直接コード化されることが期待でき、xmlrpcの必要性はほとんどなくなります。phpファイルを完全に。
新しいAPIは完璧ではありませんが、xmlrpcという問題に対するより堅牢で安全なソリューションを提供します。phpアドレス指定。
なぜXmlrpcを無効にする必要があるのですか。php
XML-RPCの最大の問題は、発生するセキュリティ上の懸念です。 問題はXML-RPCに直接関係するのではなく、ファイルを使用してサイト上でブルートフォース攻撃を有効にする方法です。
確かに、あなたは信じられないほど強力なパスワード、およびWordPressのセキュリティプラグインで自分自身を守ることができます。 しかし、保護の最良のモードは、単にそれを無効にすることです。
XML-RPCには、過去に悪用されてきた主な弱点が2つあります。
最初は、あなたのサイトへのエントリを得るためにブルートフォース攻撃を使用しています。 攻撃者はxmlrpcを使用してサイトにアクセスしようとします。様々なユーザー名とパスワードの組み合わせを使用してphp。 彼らは効果的に異なるパスワードの数百をテストするために、単一のコマンドを使用することができます。 これにより、一般的にブルートフォース攻撃を検出してブロックするセキュリティツールをバイパスすることができます。
2つ目はDDoS攻撃でサイトをオフラインにしていた。 ハッカーは瞬時に何千ものサイトにピングバックを送信するためにWordPressのピングバック機能を使用します。 Xmlrpcのこの機能。phpは、ハッカーにDDoS攻撃を分散させるためのIPアドレスのほぼ無限の供給を与えます。
サイトでXML-RPCが実行されているかどうかを確認するには、XML-RPC Validatorと呼ばれるツールを使用して実行できます。 ツールを使用してサイトを実行し、エラーメッセージが表示された場合は、XML-RPCが有効になっていないことを意味します。
成功メッセージが表示された場合は、xmlrpcを停止できます。以下の2つのアプローチのいずれかを使用したphp。
方法1:Xmlrpcを無効にします。プラグインを使用したphp
WordPressサイトでXML-RPCを無効にするのは簡単ではありませんでした。
WordPressのダッシュボードからプラグイン”新しいセクションを追加”に移動するだけです。 Xml-RPCを無効にするを検索し、以下の画像のようなプラグインをインストールします。
プラグインを有効にすると、すべて設定されます。 このプラグインは、XML-RPCをオフにするために必要なコードを自動的に挿入します。
ただし、一部の既存のプラグインはXML-RPCの一部を利用する可能性があるため、完全に無効にすると、プラグインの競合やサイトの特定の要素が機能しなくなる可能性があることに注意してください。
XML-RPCの特定の要素のみをオフにしたいが、特定のプラグインや機能を動作させたい場合は、代わりに次のプラグインを使用してください:
- XML-RPC攻撃を停止します。 このプラグインはすべてのXML-RPC攻撃を停止しますが、Jetpackなどのプラグインやその他の自動ツールやプラグインがxmlrpcへのアクセスを保持できるようにphpファイル。
- XML-RPC公開を制御します。 これにより、xmlrpcによって提供されるリモート公開オプションを制御して使用することができます。php。
方法2:Xmlrpcを無効にします。php Manually
プラグインを利用したくなく、手動で行うことを好む場合は、このアプローチに従ってください。 すべての受信xmlrpcを停止します。PhpはWordPressに渡される前に要求します。
あなたを開けろ。htaccessファイル。 このファイルを見つけるには、ファイルマネージャまたはFTPクライアント内の”隠しファイルを表示”をオンにする必要があります。
あなたの中に。htaccessファイル、次のコードを貼り付けます:
# Block WordPress xmlrpc.php requests<Files xmlrpc.php>order deny,allowdeny from allallow from xxx.xxx.xxx.xxx</Files>
注:xxx.xxx.xxx.xxxをxmlrpcへのアクセスを許可するIPアドレスに変更します。phpまたはこの行を完全に削除します。
閉会の考え
全体的に、XML-RPCはWordPressサイトへのリモート公開によって発生した問題のいくつかに対する強固な解決策でした。 しかし、この機能では、いくつかのWordPressサイトの所有者にとってかなり有害になったいくつかのセキュリティホールが来ました。
サイトの安全性を確保するには、xmlrpcを無効にすることをお勧めします。php完全に。 リモートパブリッシングとJetpackプラグインに必要な機能の一部が必要な場合を除きます。 次に、セキュリティホールにパッチを適用しながら、これらの機能を可能にする回避策プラグインを使用する必要があります。
やがて、XML-RPCの機能が新しいWordPress APIに統合され、セキュリティを犠牲にすることなくリモートアクセスなどを維持することが期待できます。 しかし、その間に、潜在的なXML-RPCセキュリティホールから身を守ることは良い考えです。