WordPress a avut întotdeauna funcții încorporate care vă permit să interacționați de la distanță cu site-ul dvs. Înțelegeți, uneori va trebui să vă accesați site-ul web și computerul nu va fi nicăieri în apropiere. Multă vreme, soluția a fost un fișier numit xmlrpc.php. Dar, în ultimii ani, dosarul a devenit mai mult un dăunător decât o soluție.
Mai jos ne expunem ce este de fapt xmlrpc.php și de ce a fost creat. De asemenea, trecem în revistă problemele comune de securitate pe care le cauzează și cum să le corectăm pe propriul site WordPress.
CE ESTE XMLRPC.PHP?
XML-RPC este o caracteristică a WordPress care permite transmiterea datelor, HTTP acționând ca mecanism de transport și XML ca mecanism de codare. Deoarece WordPress nu este un sistem auto-închis și ocazional trebuie să comunice cu alte sisteme, s-a căutat să se ocupe de această sarcină.
De exemplu, să presupunem că doriți să postați pe site-ul dvs. de pe dispozitivul mobil, deoarece computerul nu se afla nicăieri în apropiere. Puteți utiliza caracteristica de acces la distanță activată de xmlrpc.php pentru a face exact asta.
Caracteristicile de bază pe care xmlrpc.php le-a activat vă permit să vă conectați la site-ul dvs. prin intermediul unui smartphone, implementând trackback-uri și pingback-uri de pe alte site-uri și unele funcții asociate cu pluginul Jetpack.
DE CE A FOST CREAT XMLRPC.PHP SI CUM A FOST UTILIZAT?
Implementarea XML-RPC merge înapoi la primele zile ale WordPress, înainte ca acesta să devină WordPress.
În primele zile ale internetului, când conexiunile erau incredibil de lente, procesul de scriere și publicare pe web era mult mai dificil și consuma mult timp. În loc să scrie în browser în sine, majoritatea oamenilor scriau offline, apoi copiau și lipeau conținutul lor pe web. Cu toate acestea, acest proces a fost departe de a fi ideal.
Soluția (la acea vreme), a fost să creezi un client de blogging offline, unde să-ți compui conținutul, apoi să te conectezi la blogul tău pentru a-l publica. Această conexiune a fost realizată prin XML-RPC. Cu cadrul de bază XML-RPC în vigoare, aplicațiile timpurii au folosit aceeași conexiune pentru a permite oamenilor să se conecteze la site-urile lor WordPress de pe alte dispozitive.
XML-RPC LA MOMENTUL DE FATA
În 2008, cu versiunea 2.6 a WordPress, a existat o opțiune de a activa sau dezactiva XML-RPC. Cu toate acestea, odată cu lansarea aplicației WordPress pentru iPhone, suportul XML-RPC a fost activat în mod implicit și nu a existat nicio opțiune de a dezactiva setarea. Acest lucru a rămas adevărat până în zilele noastre.
Cu toate acestea, funcționalitatea acestui fișier a scăzut foarte mult de-a lungul timpului, iar dimensiunea totală a fișierului a scăzut de la 83 kb la 3 kb, așa că nu mai joacă un rol atât de important ca înainte.
VIITORUL XML-RPC
Cu noul WordPress API, ne putem aștepta ca XML-RPC să fie eliminat în întregime. Astăzi, acest nou API este încă în faza de încercare și poate fi activat doar prin utilizarea unui plugin.
Cu toate acestea, vă puteți aștepta ca API-ul să fie codificat direct în nucleul WordPress în viitor, ceea ce va elimina în mare parte nevoia fișierului xmlrpc.php.
Noul API nu este perfect, dar oferă o soluție mai robustă și mai sigură la problema pe care a abordat-o xmlrpc.php.
DE CE TREBUIE DEZACTIVAT XMLRPC.PHP
Cele mai mari probleme cu XML-RPC sunt preocupările de securitate care apar. Problemele nu sunt legate direct de XML-RPC, ci de modul în care fișierul poate fi folosit pentru a activa un atac cu forță brută pe site-ul dvs.
Sigur, vă puteți proteja cu parole incredibil de puternice și pluginuri de securitate WordPress. Dar, cel mai bun mod de protecție este pur și simplu să îl dezactivați.
Există două puncte slabe principale ale XML-RPC care au fost exploatate în trecut.
Primul este folosirea atacurilor de forță brută pentru a obține intrarea pe site-ul dvs. Un atacator va încerca să acceseze site-ul dvs. folosind xmlrpc.php folosind diferite combinații de nume de utilizator și parolă. Ei pot folosi eficient o singură comandă pentru a testa sute de parole diferite. Acest lucru le permite să ocolească instrumentele de securitate care detectează și blochează de obicei atacurile cu forță brută.
Al doilea a fost scoaterea site-urilor offline printr-un atac DDoS. Hackerii ar folosi funcția de pingback din WordPress pentru a trimite instantaneu pingback-uri către mii de site-uri. Această caracteristică din xmlrpc.php oferă hackerilor o cantitate aproape nesfârșită de adrese IP pentru a distribui un atac DDoS.
Pentru a verifica dacă XML-RPC rulează pe site-ul dvs., atunci îl puteți rula printr-un instrument numit XML-RPC Validator. Rulați site-ul prin instrument și dacă primiți un mesaj de eroare, înseamnă că nu aveți XML-RPC activat.
Dacă primiți un mesaj de succes, atunci puteți opri xmlrpc.php cu una dintre cele două abordări de mai jos.
METODA 1: DEZACTIVAREA XMLRPC.PHP MANUAL
Dacă nu doriți să utilizați un plugin și preferați să o faceți manual, atunci urmați această abordare. Acesta va opri toate solicitările xmlrpc.php primite înainte de a fi transmise pe WordPress.
Deschideți fișierul .htaccess. Poate fi necesar să activați „afișați fișierele ascunse” din managerul de fișiere sau din clientul dvs. FTP pentru a localiza acest fișier.
În interiorul fișierului .htaccess, inserați următorul cod:
[sourcecode]
# Block WordPress xmlrpc.php requests
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
[/sourcecode]
METODA 2: DEZACTIVAREA XMLRPC.PHP CU PLUGIN-uri
Dezactivarea XML-RPC pe site-ul dvs. WordPress nu ar putea fi mai ușoară.
Pur și simplu navigați la secțiunea Plugins › Add New din tabloul de bord WordPress.
Căutați Disable XML-RPC și instalați pluginul care arată ca imaginea de mai jos:
Activează pluginul și ești gata. Acest plugin va introduce automat codul necesar pentru a dezactiva XML-RPC.
Cu toate acestea, rețineți că unele plugin-uri existente pot utiliza părți ale XML-RPC, așa că dezactivarea completă
a acestuia ar putea cauza un conflict de plugin sau anumite elemente ale
site-ului dvs. să nu mai funcționeze.
Dacă doriți să dezactivați doar anumite elemente ale XML-RPC, dar să permiteți totuși anumite
pluginuri și funcții să funcționeze, atunci utilizați următoarele plugin-uri:
Opriți atacul XML-RPC. Acest plugin va opri toate atacurile XML-RPC, dar va continua
să permită pluginurilor precum Jetpack și altor instrumente și pluginuri automate să păstreze accesul la fișierul xmlrpc.php.
Controlează publicarea XML-RPC. Acest lucru vă permite să păstrați controlul și să utilizați
opțiunea de publicare la distanță oferită de xmlrpc.php.
