Как отключить XML-RPC в WordPress

Как отключить XML-RPC в WordPress

Как отключить XML-RPC в WordPress

WordPress XML-RPC — это устаревшая функциональность, встроенная в CMS WordPress. Это средство стандартизации связи между сайтом WordPress и другими веб-или мобильными технологиями. Если вы являетесь пользователем WordPress, это руководство расскажет вам, что такое XML-RPC и почему рекомендуется отключить его, чтобы защитить себя.

Как работает XML-RPC

Содержание

Ваш Сайт WordPress предназначен для работы в сети. Он использует основные веб-технологии, такие как HTML, CSS и PHP. Все эти файлы удобно помещаются в папки на вашем хостинг-сервере.

Когда посетитель нажимает на ваше доменное имя или любое из его производных, они попадают на вашу веб-страницу. Специальная папка, содержащая информацию, которую они хотят загрузить в свой браузер. Теперь браузер интерпретирует эту информацию и показывает ее им.

Но что, если вы не хотите получать доступ к своему веб-сайту через браузер? Что, если вы хотите получить к нему доступ из пользовательского программного обеспечения администратора или даже мобильного приложения?

XML-RPC WordPress решает эту проблему.

XML-RPC является API, который оборачивает важную информацию в простой файл XML и отправляет ее в мобильное приложение или удаленное программное обеспечение. Затем мобильное приложение раздувает эту информацию с помощью своего предварительно настроенного дизайна. В этом случае мобильному приложению больше не нужно загружать существенные файлы веб-страниц, и вы все равно можете получить доступ к своим данным в изящном приложении.

Как это ни странно, единственная проблема заключается в том, что вам придется отправлять имя пользователя и пароль каждый раз, когда вы хотите пройти аутентификацию через XML-RPC. Это делает его очень уязвимым для хакерских атак.

Как XML-RPC делает вас уязвимыми

XML-RPC делает ваш сайт уязвимым для атак как минимум двумя способами: атака с использованием грубой силы и кража учетных данных для входа в систему.

1. Атаки грубой силой

Злоумышленники пытаются заразить ваш сайт, используя атаку грубой силой.

Атака грубой силой — просто игра в догадки. Злоумышленник пытается угадать ваш пароль снова и снова, пока он не будет успешным.

Это происходит несколько тысяч раз в секунду, поэтому они могут пробовать миллионы комбинаций за короткий период.

В На сайте WordPress вы можете легко ограничить атаки методом перебора, ограничивая попытки входа на ваш сайт. Однако проблема с XML-RPC заключается в том, что он не ограничивает попытки входа в систему на вашем сайте.

Злоумышленник может догадываться, обманывая ваш сервер, что он является администратором, пытающимся получить некоторую информацию. А поскольку у них нет правильных учетных данных, они еще не могут получить доступ к вашему сайту, поэтому они продолжают попытки несколько раз без конца.

Поскольку количество испытаний не ограничено, это только вопрос времени, прежде чем они получат доступ. Таким образом, хакер может также легко закрыть сайт, выполнив DDOS-атаку XML-RPC (отправив волны запросов пингбека в XML-RPC для перегрузки и сбоя сервера).

2. Перехват / кража информации для входа в систему

Еще одним недостатком XML-RPC является неэффективная система аутентификации. Каждый раз, когда вы отправляете запрос на доступ к вашему веб-сайту, вы также должны предоставить свои учетные данные для входа. Это означает, что ваше имя пользователя и пароль раскрыты.

Хакеры могут скрываться за углом, чтобы перехватить этот пакет информации. Как только они добились успеха, им больше не нужно проходить суровые атаки грубой силы. Они просто заходят на ваш сайт, используя ваши действительные учетные данные.

Должен ли я отключить XML-RPC в WordPress?

Начиная с WordPress версии 3.5, в коде XML-RPC было так много улучшений что команда WordPress посчитала его достаточно безопасным для включения по умолчанию. Если вы управляете своим сайтом WordPress мобильными приложениями или удаленным программным обеспечением, вам, вероятно, не следует отключать XML-RPC.

Если вы очень серьезно относитесь к безопасности своих серверов, возможно, лучше отключить ее, поскольку она покрывает один из возможных способов, которые хакеры могут использовать для атаки на ваш сайт.

Как отключить XML-RPC в WordPress

XML-RPC включен по умолчанию в WordPress, но есть несколько способов отключите его.

Примечание: если вы используете популярный плагин JetPack, вы не можете отключить XML-RPC, так как он необходим для взаимодействия Jetpack с сервером. Кроме того, перед отключением XML-RPC убедитесь, что ни один из ваших плагинов или тем не использует его.

Отключение XML-RPC

1.Найдите папку вашей темы (обычно в wp-content / themes /) и откройте файл functions.php.

2. Вставьте следующие команды в конец файла:

// Отключите использование XML-RPC add_filter ‘xmlrpc_enabled’, ‘__return_false’,

Сохраните файл functions.php. Это отключит функциональность XML-RPC в WordPress. Обратите внимание, что этот метод отключает только XML-RPC, но не мешает хакерам атаковать ваш сайт, поскольку существует файл xml-rpc.php.

Блокировка доступа к файлу XML-RPC

Лучший способ предотвратить атаки хакеров — заблокировать доступ к файлу xml-rpc.

Сервер Apache

Если ваш сайт WordPress работает на сервере Apache (если вы видите a. htaccess файл в папке установки WordPress, вы можете быть уверены, что ваш сайт размещен на сервере Apache), выполните следующие действия.

1. Войдите в свой CPanel. Поиск файлового менеджера.

2. Откройте файловый менеджер. Перейдите в папку public_html, а затем в документ .htaccess.

3. Щелкните правой кнопкой мыши, чтобы изменить файл.

4. В нижней части файла вставьте следующий код:

# Запретите все запросы WordPress xmlrpc.php в этот домен & lt, Файлы xmlrpc.php & gt, порядок запрета, разрешите запретить для всех & lt, / Files & gt,

<р0> 5. Сохраните и выйдите.

сервер Nginx

Для сервера Nginx вставьте следующий код в файл конфигурации вашего сервера:

# nginx block xmlrpc.php запрашивает location / xmlrpc.php deny all,

Теперь ваш сайт защищен от атак.

В заключение

Атаки с использованием грубой силы и кража данных будут по-прежнему создавать проблемы для владельцев сайтов. Это ваша обязанность, чтобы убедиться, что ваш сайт в безопасности. Отключение XML-RPC является одним из эффективных способов сделать это. Следуйте приведенным выше инструкциям и защитите свой веб-сайт и посетителей от хакеров.

Полезна ли эта статья? Да Нет

Создание интерактивного длинного рассказа, рассказывающего о содержании, на WordPress

В этой электронной книге рассказывается об интерактивном длинном рассказе: что это такое, зачем вам нужно использовать его и его преимущества, как его создать и как доступно инструменты, которые помогут вам создать свой первый длинный контент.

Получите это сейчас! Больше электронных книг

Комментарии (2)

  • Facebook
  • Tweet

0 ответы

Ответить

Хотите присоединиться к обсуждению?
Не стесняйтесь вносить свой вклад!

Добавить комментарий