Получи 1 из 3 лицензий WPForms бесплатно!

Giveaway от разработчика плагина. Срок проведения 01.11.2019 – 31.12.2019.

wpforms-logo-300
 »  Безопасность  »  Как правильно отключить XML-RPC

Как правильно отключить XML-RPC

Последнее обновление:

Как правильно отключить XML-RPCНачиная с первых версий у Вордпресса есть функция удаленного управления сайтом. Эта же функция оповещает владельца сайта о том, что где-то оставили ссылку на его сайт. Это работает с помощью XML-RPC.

XML-RPC (XML Remote Procedure Call — Вызов удаленной процедуры) используется для подключения к сайту через мобильное приложение WordPress (android, ios), для трекбэков и пингбэков (когда другие сайты ссылаются на ваш сайт), и используется плагином Jetpack. 

История XML-RPC

Когда к интернету подключались через модем и скорость подключения была низкой, было трудно публиковать страницы. Тогда решили создавать контент на компьютере и потом публиковать его на сайте. Сервис Blogger создал API и оффлайн-приложение для создания контента, и пользователи стали загружать контент на платформу через XML-RPC. После этого остальные блог-платформы сделали то же самое у себя.

В 2008-2009 годах компания Automattic, которая делает плагины WP Super Cache, WooCommerce, VaultPress, Jetpack и другие, выпустила приложение WordPress для мобильных, которое использует интерфейс XML-RPC.

XML-RPC был в Вордпресс с самого начала, но по умолчанию был выключен. После выхода мобильного приложения начиная с версии 3.5 функцию сделали включенной по умолчанию.

Проблема XML-RPC

Проблема включенного XML-RPC заключается в том, что роботы подбирают логин и пароль к сайту через файл xmlrpc.php практически без ограничений. Если на главной странице входа на сайт можно установить ограничение попыток авторизации, то через файл xmlrpc.php с помощью нескольких запросов можно попробовать сотни логинов и паролей.

Другая проблема в том, что злоумышленник может использовать пингбэк-сеть Вордпресс сайтов для DDoS атаки на один из этих сайтов, то есть невзломанные сайты сети атакуют выбранный сайт.

В итоге проблема не в самом XML-RPC, а в факте его использования. Если вы не пользуетесь этим функционалом, его лучше выключить.

В этой статье вы узнаете 3 способа отключить XML-RPC.

Как отключить XML-RPC в wp-config.php

Добавьте это правило в конце wp-config.php после строки require_once(ABSPATH . 'wp-settings.php');

Как отключить XML-RPC с помощью плагина

Если вы не хотите добавлять код, установите плагин Disable XML-RPC, он делает то же самое, что и код в первом способе.

Как отключить XML-RPC в .htaccess

Хотя эти 2 способа хорошо работают, они окажутся ресурсозатратными когда сайт атакуется хакерами. Когда хакбот приходит на сайт и перебирает комбинации логинов и паролей, он использует ресурсы вашего сервера.

Чтобы отключить xmlrpc.php и не дать хакерам нагрузить сервер, отключите xmlrpc в файле .htaccess. В этом случае запрос не будет передаваться в Вордпресс, и не будет нагружать сервер. Это самый правильный способ отключить XML-RPC.

Добавьте этот код в .htaccess:

Частичное отключение XML-RPC

Чтобы отключить XML-RPC частично, добавьте этот снипет в .htaccess:

Измените адреса на те, которым вы хотите разрешить подключение к XML-RPC. Добавьте столько адресов, сколько вам нужно.

Если вы не хотите добавлять код, используйте плагин Stop XML-RPC Attack, он создает правило в файле .htaccess, которое разрешает использовать XML-RPC только плагину Jetpack и другим инструментам Automattic.

Плагины iThemes Security, Anti-Malware Security and Brute-Force Firewall и All in One WP Security & Firewall ограничивают попытки авторизации на стандартной странице входа на сайт и через XML-RPC.

All in One WP Security & Firewall может частично отключить XML-RPC, чтобы работал функционал Jetpack.

Wordfence не отключает XML-RPC, так как разработчики считают, что Вордпресс улучшил встроенную защиту этой функции.

Надеюсь, статья была полезна. Оставляйте комментарии.

Комментарии:

Оставьте комментарий

Do NOT follow this link or you will be banned from the site!