WordPress heeft altijd ingebouwde functies die u op afstand interactie met uw site. Zie het onder ogen, soms moet je toegang tot uw website en uw computer zal niet ergens in de buurt. Lange tijd was de oplossing een bestand met de naam xmlrpc.php. Maar in de afgelopen jaren is het bestand meer een plaag dan een oplossing geworden.
hieronder duiken we in wat xmlrpc.php eigenlijk is en waarom het is gemaakt. We hebben ook een overzicht van de gemeenschappelijke veiligheidsproblemen veroorzaakt en hoe ze te patchen op uw eigen WordPress site.
til uw WordPress site naar een hoger niveau en krijg vandaag nog een veilige WordPress hosting oplossing met Hostinger!
Hier Beginnen
Wat Is Xmlrpc.php?
XML-RPC is een functie van WordPress die het mogelijk maakt gegevens te verzenden, met HTTP als het transportmechanisme en XML als het coderingsmechanisme. Aangezien WordPress is niet een self-ingesloten systeem en af en toe moet communiceren met andere systemen, werd dit geprobeerd om die taak af te handelen.
bijvoorbeeld, laten we zeggen dat u vanaf uw mobiele apparaat naar uw site wilde posten omdat uw computer nergens in de buurt was. U kunt de functie Externe toegang gebruiken die is ingeschakeld door xmlrpc.php om precies dat te doen.
de Kernfuncties van xmlrpc.php ingeschakeld waren zodat u verbinding maken met uw site via smartphone, de uitvoering van trackbacks en pingbacks van andere sites, en een aantal functies in verband met de Jetpack plugin.
Waarom Was Xmlrpc.php gemaakt en hoe werd het gebruikt?
de implementatie van XML-RPC gaat terug tot de begindagen van WordPress voordat het zelfs WordPress werd.
in de begintijd van het internet, toen de verbindingen ongelooflijk traag waren, was het proces van schrijven en publiceren op het web veel moeilijker en tijdrovend. In plaats van te schrijven binnen de browser zelf, zouden de meeste mensen offline schrijven, dan gekopieerd en geplakt hun inhoud op het web. Toch was dit proces verre van ideaal.
de oplossing (op dat moment) was om een offline blogging client te maken, waar u uw inhoud kon samenstellen en vervolgens Verbinding kon maken met uw blog om het te publiceren. Deze verbinding werd gedaan via XML-RPC. Met het basiskader van XML-RPC in plaats, vroege apps gebruikt dezelfde verbinding om mensen in te loggen op hun WordPress sites vanaf andere apparaten.
XML-RPC tegenwoordig
in 2008, met Versie 2.6 van WordPress, was er een optie om XML-RPC in-of uit te schakelen. Echter, met de release van de WordPress iPhone app, XML-RPC ondersteuning werd standaard ingeschakeld, en er was geen optie om de instelling uit te schakelen. Dat is tot op de dag van vandaag zo gebleven.
echter, de functionaliteit van dit bestand is in de loop van de tijd sterk afgenomen, en de totale grootte van het bestand is afgenomen van 83kb naar 3kb, dus het speelt niet zo ‘ n grote rol als vroeger.
de toekomst van XML-RPC
met de nieuwe WordPress API kunnen we verwachten dat XML-RPC volledig wordt geëlimineerd. Vandaag, Deze nieuwe API is nog in de proeffase en kan alleen worden ingeschakeld door het gebruik van een plugin.
u kunt echter verwachten dat de API in de toekomst direct in de WordPress-kern wordt gecodeerd, waardoor de xmlrpc meestal niet meer nodig is.php-bestand helemaal.
de nieuwe API is niet perfect, maar het biedt een robuuster en veiliger oplossing voor het probleem dat xmlrpc.php geadresseerd.
Waarom U Xmlrpc Moet Uitschakelen.php
de grootste problemen met XML-RPC zijn de beveiligingsproblemen die zich voordoen. De problemen zijn niet met XML-RPC direct, maar in plaats daarvan hoe het bestand kan worden gebruikt om een brute force aanval op uw site in te schakelen.
zeker, je kunt jezelf beschermen met ongelooflijk sterke wachtwoorden, en WordPress security plugins. Maar, de beste wijze van bescherming is om het gewoon uit te schakelen.
er zijn twee belangrijke zwakke punten in XML-RPC die in het verleden zijn benut.
de eerste is het gebruik van brute force aanvallen om toegang te krijgen tot uw site. Een aanvaller zal proberen om toegang te krijgen tot uw site met behulp van xmlrpc.php met behulp van verschillende gebruikersnaam en wachtwoord combinaties. Ze kunnen effectief gebruik maken van een enkele opdracht om honderden verschillende wachtwoorden te testen. Dit stelt hen in staat om beveiligingshulpmiddelen te omzeilen die gewoonlijk brute force-aanvallen detecteren en blokkeren.
de tweede was het offline halen van sites door middel van een DDOS-aanval. Hackers zou de pingback functie in WordPress gebruiken om pingbacks te sturen naar duizenden sites onmiddellijk. Deze functie in xmlrpc.php geeft hackers een bijna eindeloze voorraad van IP-adressen om een DDOS-aanval te verspreiden.
om te controleren of XML-RPC draait op uw site, kunt u het uitvoeren via een tool genaamd XML-RPC Validator. Voer uw site door de tool, en als je een foutmelding krijgt, dan betekent dit dat je geen XML-RPC ingeschakeld hebt.
als u een succesbericht krijgt, kunt u xmlrpc stoppen.php met een van de twee benaderingen hieronder.
Methode 1: Xmlrpc Uitschakelenphp met Plugins
XML-RPC uitschakelen op uw WordPress site kan niet eenvoudiger.
navigeer gewoon naar de Plugins ” Voeg nieuwe sectie toe vanuit uw WordPress dashboard. Zoek naar XML-RPC uitschakelen en installeer de plugin die eruit ziet als de afbeelding hieronder:
Activeer de plugin en je bent helemaal klaar. Deze plugin zal automatisch de benodigde code invoegen om XML-RPC uit te schakelen.
houd er echter rekening mee dat sommige bestaande plugins delen van XML-RPC kunnen gebruiken, zodat het volledig uitschakelen ervan kan leiden tot een plugin conflict of bepaalde elementen van uw site niet meer functioneren.
als u alleen bepaalde elementen van XML-RPC wilt uitschakelen, maar toch bepaalde plugins en functies wilt laten werken, gebruik dan de volgende plugins in plaats daarvan:
- Stop XML-RPC aanval. Deze plugin zal stoppen met alle XML-RPC aanvallen,maar het zal blijven plugins zoals Jetpack, en andere automatische tools en plugins om de toegang tot de xmlrpc behouden.php bestand.
- Beheer XML-RPC Publishing. Dit stelt u in staat om controle te behouden en te gebruiken over de remote publishing optie geboden door xmlrpc.php.
Methode 2: Xmlrpc.php handmatig
als u geen plugin wilt gebruiken en het liever handmatig wilt doen, volg dan deze aanpak. Het zal alle inkomende xmlrpc stoppen.php verzoeken voordat het wordt doorgegeven aan WordPress.
Open uw .htaccess-bestand. Het kan zijn dat u de ‘show hidden files’ in file manager of uw FTP-client moet inschakelen om dit bestand te lokaliseren.
binnen uw .htaccess bestand, plak de volgende code:
# Block WordPress xmlrpc.php requests<Files xmlrpc.php>order deny,allowdeny from allallow from xxx.xxx.xxx.xxx</Files>
opmerking: Wijzig xxx. xxx.xxx.xxx naar IP-adres dat u toegang wilt verlenen tot xmlrpc.php of verwijder deze regel volledig.
Closing Thoughts
over het algemeen was XML-RPC een solide oplossing voor enkele van de problemen die zich voordeden als gevolg van Remote publishing naar uw WordPress site. Echter, met deze functie kwam een aantal gaten in de beveiliging die uiteindelijk vrij schadelijk voor sommige WordPress site-eigenaren.
om ervoor te zorgen dat uw site veilig blijft, is het een goed idee om xmlrpc uit te schakelen.php volledig. Tenzij u een aantal van de functies die nodig zijn voor remote publishing en de Jetpack plugin. Dan, moet u de tijdelijke plugins die het mogelijk maken voor deze functies te gebruiken, terwijl nog steeds het patchen van de gaten in de beveiliging.
na verloop van tijd kunnen we verwachten dat de functies van XML-RPC worden geïntegreerd in de nieuwe WordPress API, die toegang op afstand en dergelijke zal behouden, zonder in te boeten aan veiligheid. Maar, in de tussentijd, het is een goed idee om jezelf te beschermen tegen de potentiële xml-RPC beveiligingslekken.