WordPress sempre teve características inbuilt que lhe permitem interagir remotamente com o seu site. Encare isso, às vezes você vai precisar acessar o seu site e seu computador não estará em nenhum lugar Próximo. Por um longo tempo, a solução foi um arquivo chamado xmlrpc.pai. Mas nos últimos anos, o arquivo tornou-se mais uma praga do que uma solução.
abaixo mergulhamos no que xmlrpc.php realmente é e por que foi criado. Nós também Visão Geral das questões de segurança comum que causa e como remendá-los em seu próprio site WordPress.
leve o seu site WordPress para o próximo nível e obter uma solução de hospedagem WordPress segura com Hostinger hoje!Começa Aqui.
O Que É Xmlrpc.php?
XML-RPC é uma característica do WordPress que permite a transmissão de dados, com HTTP atuando como o mecanismo de transporte e XML como o mecanismo de codificação. Uma vez que o WordPress não é um sistema Auto-Fechado e, ocasionalmente, precisa se comunicar com outros sistemas, isso foi procurado para lidar com esse trabalho.Por exemplo, digamos que você queria postar para o seu site a partir do seu dispositivo móvel, uma vez que o seu computador não estava em nenhum lugar Próximo. Poderá usar a funcionalidade de acesso remoto activada pelo xmlrpc.php para fazer isso.
the core features that xmlrpc.php habilitado estavam permitindo que você se conectar ao seu site através de smartphone, implementando trackbacks e pingbacks de outros sites, e algumas funções associadas com o Jetpack plugin.
Por Que Foi Xmlrpc.php criado e como foi usado?
a implementação do XML-RPC remonta aos primeiros dias do WordPress antes mesmo de se tornar WordPress.No início da internet, quando as conexões eram incrivelmente lentas, o processo de escrita e publicação para a web era muito mais difícil e demorado. Em vez de escrever dentro do próprio navegador, a maioria das pessoas escreveria offline, em seguida, copiou e colou seu conteúdo na web. Ainda assim, este processo estava longe de ser ideal.
a solução (na época), era criar um cliente de blogs offline, onde você poderia compor o seu conteúdo, em seguida, se conectar ao seu blog para publicá-lo. Esta ligação foi feita através do XML-RPC. Com o framework básico de XML-RPC no lugar, os primeiros aplicativos usaram esta mesma conexão para permitir que as pessoas se conectem aos seus sites WordPress a partir de outros dispositivos.
XML-RPC hoje em dia
em 2008, com a versão 2.6 do WordPress, havia uma opção para habilitar ou desativar XML-RPC. No entanto, com o lançamento do aplicativo WordPress iPhone, o suporte XML-RPC foi ativado por padrão, e não havia opção para desligar a configuração. Isto tem permanecido verdadeiro até os dias de hoje.
no entanto, a funcionalidade deste ficheiro diminuiu consideravelmente ao longo do tempo, e o tamanho total do ficheiro diminuiu de 83kb para 3kb, por isso não desempenha um papel tão grande como costumava desempenhar.
the Future of XML-RPC
With the new WordPress API, we can expect XML-RPC to be eliminated entirely. Hoje, esta nova API ainda está na fase de teste e só pode ser habilitado através do uso de um plugin.
no entanto, você pode esperar que a API seja codificada diretamente no núcleo WordPress no futuro, o que irá principalmente eliminar a necessidade para o xmlrpc.ficheiro php ao todo.
a nova API não é perfeita, mas fornece uma solução mais robusta e segura para o problema que xmlrpc.php endereçado.
Porque Deve Desactivar O Xmlrpc.php
os maiores problemas com XML-RPC são as preocupações de segurança que surgem. Os problemas não são com XML-RPC diretamente, mas em vez disso, como o arquivo pode ser usado para permitir um ataque de Força bruta em seu site.
claro, você pode se proteger com senhas incrivelmente fortes, e plugins de segurança WordPress. Mas, o melhor modo de proteção é simplesmente desativá-lo.
existem duas principais fraquezas do XML-RPC que foram exploradas no passado.
o primeiro é usar ataques de Força bruta para ganhar entrada no seu site. Um atacante tentará acessar seu site usando xmlrpc.php usando vários nomes de usuário e combinações de senha. Eles podem efetivamente usar um único comando para testar centenas de senhas diferentes. Isto permite-lhes contornar as ferramentas de segurança que tipicamente detectam e bloqueiam ataques de Força bruta.
a segunda foi desligar os sites através de um ataque DDoS. Os Hackers usariam o recurso de pingback no WordPress para enviar pingbacks para milhares de sites instantaneamente. Este recurso no xmlrpc.php dá aos hackers um fornecimento quase infinito de endereços IP para distribuir um ataque DDoS.
para verificar se o XML-RPC está em execução no seu site, então você pode executá-lo através de uma ferramenta chamada Validator XML-RPC. Execute o seu site através da ferramenta, e se você receber uma mensagem de erro, então isso significa que você não tem XML-RPC ativado.
se você receber uma mensagem de sucesso, então você pode parar xmlrpc.php com uma das duas abordagens abaixo.
Método 1: Desactivar A Xmlrpc.php com Plugins
desativando XML-RPC em seu site WordPress não poderia ser mais fácil.
simplesmente navegar para os Plugins ” Adicione nova seção de dentro de seu painel WordPress. Procure desactivar XML-RPC e instale o ‘plugin’ que se pareça com a imagem abaixo:
Active o ‘plugin’ e está tudo definido. Este plugin irá inserir automaticamente o código necessário para desligar XML-RPC.
no entanto, tenha em mente que alguns plugins existentes podem utilizar partes do XML-RPC, de modo que desativá-lo completamente poderia causar um conflito de plugin ou certos elementos do seu site para não mais funcionar.
se quiser desligar apenas alguns elementos do XML-RPC, mas ainda assim permitir que certos plugins e funcionalidades funcionem, então use os seguintes plugins em vez:
- parar o ataque XML-RPC. Este plugin irá parar todos os ataques XML-RPC, mas ele vai continuar a permitir plugins como Jetpack, e outras ferramentas automáticas e plugins para manter o acesso ao xmlrpc.ficheiro php.
- Control XML-RPC Publishing. Isto permite-lhe manter o controlo e usar sobre a opção de edição remota oferecida pelo xmlrpc.pai.
Método 2: Desactivação Da Xmlrpc.php manualmente
se você não quiser utilizar um plugin e preferir fazê-lo manualmente, em seguida, siga esta abordagem. Ele vai parar todos os xmlrpc de entrada.pedidos php antes de ser passado para WordPress.Abra a sua boca .ficheiro htaccess. Poderá ter de ligar o ‘mostrar os ficheiros escondidos’ no Gestor de ficheiros ou no seu cliente FTP para localizar este ficheiro.
no seu interior .ficheiro htaccess, colar o seguinte código:
# Block WordPress xmlrpc.php requests<Files xmlrpc.php>order deny,allowdeny from allallow from xxx.xxx.xxx.xxx</Files>
Nota: mude xxx. xxx. xxx. xxx para o endereço IP que deseja permitir o acesso xmlrpc.php ou remover esta linha completamente.
pensamentos de encerramento
no geral, XML-RPC foi uma solução sólida para alguns dos problemas que ocorreram devido à publicação remota para o seu site WordPress. No entanto, com este recurso veio alguns buracos de segurança que acabou sendo muito prejudicial para alguns proprietários do site WordPress.
para garantir a segurança do seu site, é uma boa ideia desactivar o xmlrpc.php totalmente. A menos que necessite de algumas das funções necessárias para a edição remota e o plugin Jetpack. Em seguida, você deve usar os plugins workaround que permitem estes recursos, enquanto ainda patching os buracos de segurança.
a tempo, podemos esperar que as características do XML-RPC para se tornar integrado na nova API WordPress, que irá manter o acesso remoto e afins, sem sacrificar a segurança. Mas, entretanto, é uma boa ideia proteger-se dos potenciais buracos de segurança XML-RPC.