WordPress a avut întotdeauna funcții încorporate care vă permit să interacționați de la distanță cu site-ul dvs. Recunoașteți, uneori va trebui să accesați site-ul dvs. web și computerul dvs. nu va fi nicăieri în apropiere. Pentru o lungă perioadă de timp, soluția a fost un fișier numit xmlrpc.php. Dar, în ultimii ani, fișierul a devenit mai mult un dăunător decât o soluție.
mai jos ne scufundăm în ceea ce xmlrpc.php este de fapt și de ce a fost creat. De asemenea, trecem în revistă problemele comune de securitate pe care le provoacă și cum să le corectăm pe propriul dvs. site WordPress.
duceți site-ul dvs. WordPress la nivelul următor și obțineți astăzi o soluție sigură de găzduire WordPress cu Hostinger!
Începeți Aici
Ce Este Xmlrpc.php?
XML-RPC este o caracteristică a WordPress care permite transmiterea datelor, HTTP acționând ca mecanism de transport și XML ca mecanism de codificare. Deoarece WordPress nu este un sistem Auto-închis și, ocazional, trebuie să comunice cu alte sisteme, acest lucru a fost căutat să se ocupe de acest loc de muncă.
de exemplu, să presupunem că doriți să postați pe site-ul dvs. de pe dispozitivul dvs. mobil, deoarece computerul nu se afla nicăieri în apropiere. Puteți utiliza funcția de acces la distanță activată de xmlrpc.php pentru a face doar asta.
caracteristicile de bază care xmlrpc.php activat vă permitea să vă conectați la site – ul dvs. prin intermediul smartphone-ului, implementând trackback-uri și pingback-uri de pe alte site-uri și unele funcții asociate pluginului Jetpack.
De Ce A Fost Xmlrpc.php creat și cum a fost folosit?
implementarea XML-RPC se întoarce la primele zile ale WordPress înainte de a deveni chiar WordPress.
în primele zile ale Internetului, când conexiunile erau incredibil de lente, procesul de scriere și publicare pe web a fost mult mai dificil și consumator de timp. În loc să scrie în browserul propriu-zis, majoritatea oamenilor ar scrie offline, apoi și-ar copia și lipi conținutul pe web. Totuși, acest proces a fost departe de a fi ideal.
soluția (la acea vreme) era să creezi un client de blogging offline, unde să-ți poți compune conținutul, apoi să te conectezi la blogul tău pentru a-l publica. Această conexiune a fost realizată prin XML-RPC. Cu Cadrul de bază al XML-RPC în vigoare, aplicațiile timpurii au folosit aceeași conexiune pentru a permite oamenilor să se conecteze la site-urile lor WordPress de pe alte dispozitive.
XML-RPC în zilele noastre
în 2008, cu versiunea 2.6 a WordPress, a existat o opțiune pentru a activa sau dezactiva XML-RPC. Cu toate acestea, odată cu lansarea aplicației WordPress pentru iPhone, suportul XML-RPC a fost activat în mod implicit și nu a existat nicio opțiune pentru a dezactiva setarea. Acest lucru a rămas adevărat până în prezent.
cu toate acestea, funcționalitatea acestui fișier a scăzut foarte mult în timp, iar dimensiunea totală a fișierului a scăzut de la 83kb la 3KB, deci nu joacă un rol atât de mare ca înainte.
viitorul XML-RPC
cu noul API WordPress, ne putem aștepta ca XML-RPC să fie eliminat în întregime. Astăzi, acest nou API este încă în faza de încercare și poate fi activat numai prin utilizarea unui plugin.
cu toate acestea, vă puteți aștepta ca API-ul să fie codificat direct în nucleul WordPress în viitor, ceea ce va elimina în mare parte necesitatea xmlrpc.fișier php cu totul.
noul API nu este perfect, dar oferă o soluție mai robustă și mai sigură la problema xmlrpc.php adresat.
De Ce Ar Trebui Să Dezactivați Xmlrpc.php
cele mai mari probleme cu XML-RPC sunt preocupările de securitate care apar. Problemele nu sunt legate direct de XML-RPC, ci de modul în care fișierul poate fi utilizat pentru a permite un atac de forță brută pe site-ul dvs.
sigur, vă puteți proteja cu parole incredibil de puternice și pluginuri de securitate WordPress. Dar, cel mai bun mod de protecție este să îl dezactivați pur și simplu.
există două puncte slabe principale ale XML-RPC care au fost exploatate în trecut.
primul este utilizarea atacurilor de forță brută pentru a obține intrarea pe site-ul dvs. Un atacator va încerca să vă acceseze site-ul folosind xmlrpc.php folosind diverse combinații de nume de utilizator și parolă. Ei pot folosi în mod eficient o singură comandă pentru a testa sute de parole diferite. Acest lucru le permite să ocolească instrumentele de securitate care de obicei detectează și blochează atacurile cu forță brută.
al doilea a fost de a lua site-uri off-line printr-un atac DDoS. Hackerii ar folosi funcția pingback din WordPress pentru a trimite pingback-uri către mii de site-uri instantaneu. Această caracteristică în xmlrpc.php oferă hackerilor o ofertă aproape nesfârșită de adrese IP pentru a distribui un atac DDoS.
pentru a verifica dacă XML-RPC rulează pe site-ul dvs., atunci îl puteți rula printr-un instrument numit Validator XML-RPC. Rulați site-ul dvs. prin instrument și, dacă primiți un mesaj de eroare, înseamnă că nu aveți activat XML-RPC.
dacă primiți un mesaj de succes, atunci puteți opri xmlrpc.php cu una dintre cele două abordări de mai jos.
Metoda 1: Dezactivarea Xmlrpc.php cu plugin-uri
dezactivarea XML-RPC pe site-ul dvs.
pur și simplu navigați la pluginuri ” adăugați o nouă secțiune din tabloul de bord WordPress. Căutați Disable XML-RPC și instalați pluginul care arată ca imaginea de mai jos:
activați pluginul și sunteți gata. Acest plugin va introduce automat codul necesar pentru a dezactiva XML-RPC.
cu toate acestea, rețineți că unele pluginuri existente pot utiliza părți ale XML-RPC, astfel încât dezactivarea completă a acestuia ar putea provoca un conflict de pluginuri sau anumite elemente ale site-ului dvs. să nu mai funcționeze.
dacă doriți să dezactivați doar anumite elemente ale XML-RPC, dar permiteți totuși să funcționeze anumite pluginuri și caracteristici, utilizați în schimb următoarele pluginuri:
- opri atac XML-RPC. Acest plugin va opri toate atacurile XML-RPC, dar va continua să permită pluginurilor precum Jetpack și altor instrumente și pluginuri automate să păstreze accesul la xmlrpc.fișier php.
- controlul XML-RPC Publishing. Acest lucru vă permite să păstrați controlul și să utilizați opțiunea de publicare la distanță oferită de xmlrpc.php.
Metoda 2: Dezactivarea Xmlrpc.php manual
dacă nu doriți să utilizați un plugin și preferați să îl faceți manual, urmați această abordare. Se va opri toate xmlrpc de intrare.php solicită înainte de a fi trecut pe WordPress.
deschide-ți .fișier htaccess. Va trebui să activați ‘arată fișierele ascunse’ în Manager de fișiere sau clientul FTP pentru a localiza acest fișier.
în interiorul tău .fișier htaccess, lipiți următorul cod:
# Block WordPress xmlrpc.php requests<Files xmlrpc.php>order deny,allowdeny from allallow from xxx.xxx.xxx.xxx</Files>
notă: schimbare xxx. xxx. xxx. xxx la adresa IP pe care doriți să permiteți accesul xmlrpc.php sau eliminați complet această linie.
gânduri de închidere
în general, XML-RPC a fost o soluție solidă la unele dintre problemele care au apărut din cauza publicării la distanță pe site-ul dvs. Cu toate acestea, cu această caracteristică au apărut câteva găuri de securitate care au ajuns să fie destul de dăunătoare pentru unii proprietari de site-uri WordPress.
pentru a vă asigura că site-ul dvs. rămâne sigur, este o idee bună să dezactivați xmlrpc.php în întregime. Cu excepția cazului în care aveți nevoie de unele dintre funcțiile necesare pentru publicarea la distanță și pluginul Jetpack. Apoi, ar trebui să utilizați pluginurile de soluție care permit aceste caracteristici, în timp ce încă patching găurile de securitate.
în timp, ne putem aștepta ca caracteristicile XML-RPC să fie integrate în noul api WordPress, care va păstra accesul la distanță și altele asemenea, fără a sacrifica securitatea. Dar, între timp, este o idee bună să vă protejați de potențialele găuri de securitate XML-RPC.