»  Безопасность  »  Как правильно отключить XML-RPC

Как правильно отключить XML-RPC

Как правильно отключить XML-RPCНачиная с первых версий у Вордпресса есть функция удаленного управления сайтом. Эта же функция оповещает владельца сайта о том, что где-то оставили ссылку на его сайт. Это работает с помощью XML-RPC.

XML-RPC (XML Remote Procedure Call — Вызов удаленной процедуры) используется для подключения к сайту через мобильное приложение WordPress (android, ios), для трекбэков и пингбэков (когда другие сайты ссылаются на ваш сайт), и используется плагином Jetpack. 

История XML-RPC

Когда к интернету подключались через модем и скорость подключения была низкой, было трудно публиковать страницы. Тогда придумали создавать контент на компьютере и потом публиковать его на сайте. Сервис Blogger создал API и оффлайн-приложение для создания контента, и пользователи стали загружать контент на платформу через XML-RPC. После этого остальные блог-платформы сделали то же самое у себя.

В 2008-2009 годах компания Automattic, которая делает плагины WP Super Cache, WooCommerce, VaultPress, Jetpack и другие, выпустила приложение WordPress для мобильных, которое использует интерфейс XML-RPC.

XML-RPC был в Вордпресс с самого начала, но по умолчанию был выключен. После выхода мобильного приложения начиная с версии 3.5 функцию сделали включенной по умолчанию.

Проблема XML-RPC

Проблема включенного XML-RPC заключается в том, что роботы подбирают логин и пароль к сайту через файл xmlrpc.php практически без ограничений. Если на главной странице входа на сайт можно установить ограничение попыток авторизации, то через файл xmlrpc.php с помощью нескольких запросов можно попробовать сотни логинов и паролей.

Другая проблема в том, что злоумышленник может использовать пингбэк-сеть Вордпресс сайтов для DDoS атаки на один из этих сайтов, то есть невзломанные сайты сети атакуют выбранный сайт.

В итоге проблема не в самом XML-RPC, а в его использовании. Если вы не пользуетесь этим функционалом, его лучше выключить.

В этой статье вы узнаете 3 способа отключить XML-RPC.

Как отключить XML-RPC в wp-config.php

Добавьте это правило в конце wp-config.php после строки require_once(ABSPATH . 'wp-settings.php');

Как отключить XML-RPC с помощью плагина

Если вы не хотите добавлять код, установите плагин Disable XML-RPC, он делает то же самое, что и код в первом способе. 

Как отключить XML-RPC в .htaccess

Хотя 2 предыдущих способа хорошо работают, эти способы окажутся ресурсоемкими когда сайт подвергается атаке.  

Вы можете отключить все запросы xmlrpc.php из файла .htaccess прежде чем запрос будет передан в Вордпресс. Это самый правильный способ отключить XML-RPC.

Добавьте этот код в .htaccess:

Частичное отключение XML-RPC

Чтобы отключить XML-RPC частично, добавьте этот снипет в .htaccess:

Измените адреса на те, которым вы хотите разрешить подключение к XML-RPC. Добавьте столько адресов, сколько вам нужно.

Если вы не хотите добавлять код, используйте плагин Stop XML-RPC Attack, он создает правило в файле .htaccess, которое разрешает использовать XML-RPC только плагину Jetpack и другим инструментам Automattic.

Плагины iThemes Security, Anti-Malware Security and Brute-Force Firewall и All in One WP Security & Firewall ограничивают попытки авторизации на стандартной странице входа на сайт и через XML-RPC.

All in One WP Security & Firewall может частично отключить XML-RPC, чтобы работал функционал Jetpack.

Wordfence не отключает XML-RPC, так как разработчики считают, что Вордпресс улучшил встроенную защиту этой функции.

Надеюсь, статья была полезна. Оставляйте комментарии.

Оставьте комментарий

Do NOT follow this link or you will be banned from the site!