Plik xmlrpc.php w WordPressie domyślnie jest włączony i umożliwia zdalne wywoływanie procedur XML-RPC. Chociaż ta funkcja może być przydatna dla niektórych deweloperów, stwarza ona również potencjalne zagrożenie bezpieczeństwa, jeśli nie zostanie odpowiednio zabezpieczona.
Istnieje kilka powodów, dla których blokada pliku xmlrpc.php w WordPressie jest tak ważna:
Ataki typu brute force: Plik xmlrpc.php może zostać wykorzystany do ataków typu brute force, w których hakerzy próbują zgadnąć nazwę użytkownika i hasło do panelu administracyjnego WordPressa. Wielokrotne próby logowania mogą spowolnić witrynę internetową, a nawet ją wyłączyć.
Zdalne wykonywanie kodu: W niektórych przypadkach luki w zabezpieczeniach pliku xmlrpc.php mogą umożliwić hakerom zdalne uruchomienie kodu na serwerze. Może to doprowadzić do przejęcia kontroli nad witryną, kradzieży danych lub zainstalowania złośliwego oprogramowania.
Spam i pingbacki: Plik xmlrpc.php może być również używany do wysyłania spamu i pingbacków, co może spowolnić witrynę internetową i obniżyć jej ranking w wyszukiwarkach.expand_more
Blokada pliku xmlrpc.php nie uniemożliwia całkowicie korzystania z funkcji XML-RPC. Istnieją sposoby na bezpieczne korzystanie z tej funkcji, ale dla większości użytkowników WordPressa blokada jest najbezpieczniejszym rozwiązaniem.
Jak zablokować plik XML-RPC w WordPressie?
Kuchnia: bezpieczeństwo WordPressaStopień trudności: średnio-zaawansowany4
Składniki3
minuty3000
kcalSkładniki:
Wtyczki do blokady np. Disable XML-RPC, WP-XMLRPC Block, Lockdown XML-RPC
Functions.php (plik motywu Twojej strony)
Plik .htaccess na serwerze
Wtyczki do security np. Wordfence Security, WP Security
Przepis (metoda):
- Skorzystaj z WordPress XML-RPC Validation Service – https://xmlrpc.blog i sprawdź czy na twojej stronie włączona jest obsługa XML-RPC. Jeśli pojawi się komunikat: Congratulations! Your site passed the first check, oznacza aktywne działanie tej funkcji.
- Możesz również zablokować dostęp poprzez plik functions.php. Znajdziesz go na serwerze w katalogu /wp-content/themes/nazwa_twojego_motywu/functions.php. Otwórz plik i wklej kod:
add_filter( 'xmlrpc_enabled', '__return_false' ); - Po implementacji powyższych kodów, zweryfikuj ponownie działanie XML-RPC wchodząc na stronę https://xmlrpc.blog
- Udało się! Dostęp do XML-RPC został zablokowany.
- Zablokuj plik XML-RPC z wykorzystaniem pliku .htaccess na hostingu. Skopiuj kod nr 1
Notatki:
- Wdrożenie rozwiązania blokującego plik XML-RPC nie wpłynie negatywnie na pracę i dostępność strony internetowej, jedynie zwiększy jej bezpieczeństwo.
- Nie zalecam instalowania dodatkowych wtyczek, do wdrożenia blokady XML-RPC. Znacząco spowalniają stronę i jej zasoby. Najszybciej i najlepiej dodać wspomniane wyżej linijki kodu (patrz kod 1 i kod 2).
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>add_filter( 'xmlrpc_enabled', '__return_false' );
