Поиск по сайту:

Наглость надо гасить попроворней, чем пожар (Гераклит Эфесский).

Что такое WordPress XML-RPC и как отключить его в WordPress?

3 мин для чтения
FavoriteLoadingДобавить в избранное
1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 оценок, среднее: 5,00 из 5)
Загрузка...
9 сентября 2021
Что такое WordPress XML-RPC и как отключить его в WordPress
Если вы ищете способы отключить XML-RPC для защиты вашего веб-сайта от эксплойта WordPress XML-RPC, вы попали в нужное место. Но перед этим нужно знать ответы на эти вопросы.

Этот блог включает:
  • Что такое XML-RPC.php ?
  • Как эксплойт XML-RPC может подвергнуть риску ваш веб-сайт?
  • Все ли решит отключение эксплойта XML-RPC ?
  • Что может быть альтернативой отключению функции XML-RPC?

В этой статье мы постараемся дать ответы на все эти вопросы и многое другое.

 

Что такое XML-RPC?

WordPress XML-RPC – это API (интерфейс прикладной программы), который позволяет передавать данные между вашим сайтом WordPress и другими системами.

Хотя сейчас он в значительной степени заменяется REST API, выпущенным WordPress, он все еще используется для обратной совместимости. То есть XML-RPC предназначен для веб-сайтов, которые все еще используют старые версии WordPress.

Если вы используете старую версию, мы настоятельно рекомендуем ее обновить. Запуск более старой версии веб-сайта WordPress может принести вам больше вреда, чем хакеры, пытающиеся запустить атаку методом перебора через XML-RPC.

 

XML-RPC может поставить ваш сайт под угрозу

Используя следующие известные уязвимости, XML-RPC может подвергнуть ваш веб-сайт риску:

DDoS-атаки через пингбеки и трекбэки

Помимо передачи данных, xmplrpc.php также отвечает за включение пингбэков и трекбэков. Это уведомления, которые вы получаете, когда блог или сторонний веб-сайт ссылается на ваш веб-сайт.

Хотя он был заменен, некоторые веб-сайты по-прежнему используют xmplrpc.php для обратной совместимости. Если вы один из них, хакеры могут запускать DDoS-атаки на xmlrpc.php, отправляя большое количество пингбеков и вывести ваш сайт из строя, или вы можете сказать – сделать его недоступным для ваших пользователей.

 

Атаки методом перебора через XML-RPC

XML-RPC (вызов удаленной обработки XML) позволяет передавать закодированные удаленные вызовы через HTTP, что позволяет удаленно публиковать, редактировать или удалять файл или контент с вашего веб-сайта WordPress. С каждым запросом xmplrpc.php отправляет информацию аутентификации. Это упрощает одновременную отправку большого количества данных.

Но возможность передавать большой объем данных за один раз подразумевает, что даже хакеры также могут украсть к ним несколько паролей. Если хакер отправит достаточно запросов на аутентификацию с другой комбинацией имени пользователя и пароля, в конечном итоге он может получить все правильно, и в результате ваш сайт будет скомпрометирован.

Читать  Как улучшить SEO-стратегию WordPress

 

Как проверить, запущен ли xmlrpc.php на веб-сайте или нет?

Прежде чем переходить к отключению XML-RPC, прежде всего, вам нужно проверить, запущен ли xmlrpc.php на вашем сайте.

Вы можете проверить, включен ли API на вашем веб-сайте, с помощью службы проверки WordPress XML-RPC (https://xmlrpc.eritreo.it/).

Что такое WordPress XML-RPC и как отключить его в WordPress

Служба проверки WP XML-RPC

 

Если вы обнаружите, что xmlrpc.php все еще работает на вашем веб-сайте, перейдите к следующему разделу и внимательно следуйте инструкциям.

 

Как отключить службу XML-RPC?

1. Отключите XML-RPC через плагин.

Загрузите плагин WP security hardening из каталога плагинов WordPress. Войдите в свой бэкэнд WordPress, перейдите в раздел Плагины >> Добавить новый и загрузите файл плагина. После загрузки активируйте плагин. Он отобразится в левом нижнем углу панели управления WP.

Затем выполните следующие действия, чтобы отключить XML-RPC с помощью подключаемого модуля WP-Harnding:

  • Перейдите к значку ‘WP Hardening’.
  • Выберите в плагине вкладку «Исправления безопасности».
  • И переключите ключ рядом с опцией «Отключить XML-RPC», и все готово.

Помимо отключения xmlrpc.php, вы также можете использовать плагин усиления безопасности WP для защиты нескольких других областей безопасности на вашем веб-сайте, включая изменение URL-адреса администратора, отключение редактора файлов, отключение WP-JSON, скрытие важных файлов, остановку перечисления пользователей и т. д.

 

2. Отключить XML-RPC без плагина.

  • Через фильтр: вы можете использовать фильтр xmlrpc_enabled, чтобы отключить эту службу на своем веб-сайте WordPress. Все, что вам нужно сделать, это добавить код в  файл function.php плагина, и все готово:
add_filter( ‘xmlrpc_enabled’, ’_return_false’ );
  • Через файл .htaccess: добавьте эти коды в файл .htaccess на своем веб-сайте WordPress:
<Files xmlrpc.php>
Order Allow, Deny
Deny from all
</Files>

 

Мы знаем, что вы, должно быть, слышали это много раз, но прежде чем пытаться выполнить какую-либо задачу вручную, сделайте резервные копии всех важных файлов. Это может пригодиться, если вы ошиблись или взломали ваш сайт.

Хотя мы объяснили процесс отключения xmlrpc.php, это не всегда мудрое решение всех проблем. Так или иначе, хакер найдет на вашем сайте другую уязвимость, чтобы воспользоваться ею.

Читать  Почему темы WordPress не должны содержать опции SEO и зачем они их внедряют?

Мы рекомендуем вам установить брандмауэр безопасности, чтобы блокировать все попытки взлома, предпринимаемые ботами и хакерами.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться в соц. сетях:
5 1 голос
Рейтинг статьи
Подписаться
Уведомить о
guest
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии

Читайте также

0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x
()
x

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам:

Заполните форму и наш менеджер перезвонит Вам в самое ближайшее время!

badge
Обратный звонок 1
Отправить
galka

Спасибо! Ваша заявка принята

close
galka

Спасибо! Ваша заявка принята

close