Как и защо да активирате и деактивирате XMLRPC.PHP в WordPress
xmlrpc.php е файл в WordPress, който позволява отдалечен достъп до вашия уебсайт. Той позволява на външни приложения, като например мобилни приложения, инструменти на трети страни и pingbacks, да взаимодействат с вашия WordPress сайт. Въпреки че тази функционалност може да бъде полезна, тя е свързана и с рискове за сигурността, поради което много собственици на WordPress сайтове избират да деактивират xmlrpc.php, когато нямат нужда от нея. Това ръководство ще ви запознае с това какво представлява xmlrpc.php, защо може да искате да го активирате или деактивирате и как да го направите безопасно
Какво е xmlrpc.php в WordPress?
- xmlrpc.php е основен файл на WordPress, който позволява отдалечен достъп до вашия уебсайт чрез протокола XML-RPC.
- Той се използва за извършване на действия като
- Публикуване на публикации от отдалечени приложения.
- Управление на коментари от разстояние.
- Активиране на pingbacks и trackbacks.
- Свързване на WordPress приложения на мобилни устройства с вашия уебсайт.
- Примерни случаи на използване
- Публикуване на публикации от мобилни приложения на WordPress.
- Плъгинът Jetpack използва xmlrpc.php за някои от своите функции.
- Интегриране на услуги на трети страни, които използват XML-RPC за прехвърляне на данни.
Защо трябва да деактивирате xmlrpc.php?
xmlrpc.php може да представлява риск за сигурността, поради което много собственици на уебсайтове избират да го деактивират, особено ако не използват функции, които разчитат на него
Общи рискове за сигурността, свързани с xmlrpc.php:
- Атаки с груба сила
- Нападателите могат да използват xmlrpc.php, за да извършват атаки с груба сила, като изпробват множество потребителски имена и пароли чрез XML-RPC заявки.
- Това може да се направи по-ефективно чрез xmlrpc.php, тъй като с една заявка могат да се правят множество опити за влизане в системата.
- DDoS атаки
- xmlrpc.php може да се използва при разпределени атаки за отказ на услуга (DDoS), за да се претовари сайтът със заявки за връщане, което води до изчерпване на ресурсите и престой.
- Използване на Pingbacks
- Злонамерени участници могат да използват функцията за обратна връзка в xmlrpc.php, за да засилят DDoS атаките или да генерират големи количества спам.
Кога трябва да активирате xmlrpc.php?
- Трябва да поддържате xmlrpc.php активиран, ако
- Трябва да публикувате публикации от мобилното приложение на WordPress.
- Използвате плъгини или инструменти, които разчитат на XML-RPC, като например Jetpack.
- Нуждаете се от възможности за отдалечено публикуване чрез външни услуги.
Ако не се нуждаете от тези функции, е по-безопасно да деактивирате xmlrpc.php, за да сведете до минимум рисковете за сигурността
Как да деактивирате xmlrpc.php в WordPress
Метод 1: Деактивиране на xmlrpc.php с помощта на плъгин (препоръчително)
Използването на плъгин е най-лесният начин за деактивиране на xmlrpc.php, без да засягате какъвто и да е код
Стъпка 1: Инсталиране на плъгин
- Инсталирайте плъгин за сигурност като Disable XML-RPC-API или All In One WP Security & Firewall.
- Можете да направите това, като отидете на Плъгини > Добавяне на нови в таблото за управление на WordPress, потърсите плъгина и щракнете върху Инсталирай сега, след което Активирай.
Стъпка 2: Конфигуриране на плъгина
- Ако използвате Disable XML-RPC-API
- След като активирате плъгина, xmlrpc.php ще бъде автоматично деактивиран.
- Ако използвате All In One WP Security & Firewall
- Отидете на WP Security > Firewall.
- Намерете раздела XML-RPC и деактивирайте опциите XML-RPC.
Метод 2: Деактивиране на xmlrpc.php чрез .htaccess (за напреднали)
Ако ви е удобно да редактирате файла .htaccess, можете да блокирате достъпа до xmlrpc.php директно на ниво сървър
Стъпка 1: Редактиране на файла .htaccess
- Осъществете достъп до главната директория на WordPress чрез FTP или файловия мениджър на вашия уеб хост (често с име public_html).
- Отворете файла .htaccess за редактиране.
- Добавете следния код в края на файла .htaccess# Блокирайте целия достъп до xmlrpc.php <Файлове xmlrpc.php> Order Allow,Deny Deny from all </Files>
- Запазете промените и качете актуализирания файл .htaccess обратно на сървъра си.
Резултат:
- Този код предотвратява всякакъв външен достъп до xmlrpc.php, като ефективно го деактивира.
Метод 3: Деактивиране на xmlrpc.php чрез Functions.php (потребителски код)
Можете да забраните XML-RPC и чрез файла functions.php на вашата тема
Стъпка 1: Редактирайте functions.php
- Отидете на Appearance (Външен вид) > Theme Editor (Редактор на теми) в таблото за управление на WordPress.
- Изберете файла functions.php от дясната странична лента.
- Добавете следния код// Деактивирайте XML-RPC add_filter(‘xmlrpc_enabled’, ‘__return_false’);
- Щракнете върху Update File (Актуализиране на файла), за да запазите промените.
Резултат:
- Този код ще деактивира функцията XML-RPC в WordPress.
Метод 4: Използване на настройките за сигурност на вашия уеб хост
Някои уеб хостинги предоставят опции за деактивиране на XML-RPC чрез контролния си панел
- Влезте в хостинг акаунта си.
- Потърсете опции, свързани със сигурността на WordPress или с настройките на приложенията.
- Ако има такава възможност, деактивирайте достъпа до XML-RPC чрез панела за сигурност.
Как да разрешите xmlrpc.php в WordPress
Ако преди това сте деактивирали xmlrpc.php и трябва да го активирате отново, просто обърнете стъпките, използвани за деактивирането му
- Ако сте използвали плъгин като Disable XML-RPC-API, деактивирайте или деинсталирайте плъгина.
- Ако сте добавили код в .htaccess или functions.php, премахнете кода и запазете промените.
- Ако сте деактивирали XML-RPC чрез вашия уеб хост, използвайте контролния панел на хостинга, за да активирате отново достъпа до XML-RPC.
Обобщение
В WordPress файлът xmlrpc.php позволява отдалечен достъп и взаимодействие между вашия уебсайт и външни приложения или услуги. Това може да е удобно за функции като публикуване на мобилни приложения или свързване на инструменти на трети страни. Въпреки това, тъй като създава допълнителна входна точка в сайта ви, той често става мишена за опити за използване на груба сила, спам и дори DDoS атаки. За да минимизират тези рискове, много собственици на уебсайтове избират да деактивират xmlrpc.php, ако не използват активно неговите функции. Това може да бъде постигнато чрез различни методи, като например инсталиране на специална приставка за сигурност, добавяне на правила към файла .htaccess или промяна на файла functions.php в темата ви. Всеки от тези подходи ви дава възможност да контролирате дали отдалеченият достъп е разрешен и спомага за укрепване на цялостната сигурност на уебсайта ви. Например чрез добавяне на прост ред като deny from all в рамките на директивата .htaccess, насочена към xmlrpc.php, можете незабавно да блокирате външния достъп до този файл. Ако в даден момент се наложи отдалечено публикуване или интегриране на приложение, промяната може лесно да бъде върната назад. Като разбирате кога да разрешавате или забранявате xmlrpc.php, вие гарантирате, че вашият WordPress сайт ще остане сигурен, без да жертвате функциите, от които действително се нуждаете.