Uji kemampuan Anda di semua layanan Hosting kami dan dapatkan diskon 15%!

Gunakan kode saat checkout:

Skills
10.10.2024

Bagaimana dan Mengapa Mengaktifkan dan Menonaktifkan XMLRPC.PHP di WordPress

xmlrpc.php adalah sebuah file di WordPress yang memungkinkan akses jarak jauh ke situs web Anda. File ini memungkinkan aplikasi eksternal, seperti aplikasi seluler, perangkat pihak ketiga, dan pingback, untuk berinteraksi dengan situs WordPress Anda. Meskipun fungsionalitas ini dapat berguna, namun juga memiliki risiko keamanan, itulah sebabnya banyak pemilik situs WordPress yang memilih untuk menonaktifkan xmlrpc.php saat mereka tidak membutuhkannya. Panduan ini akan memandu Anda tentang apa itu xmlrpc.php, mengapa Anda mungkin ingin mengaktifkan atau menonaktifkannya, dan bagaimana cara melakukannya dengan aman

Apa itu xmlrpc.php di WordPress?

  • xmlrpc.php adalah file inti WordPress yang memungkinkan akses jarak jauh ke situs web Anda melalui protokol XML-RPC.
  • File ini digunakan untuk melakukan tindakan seperti
    • Menerbitkan postingan dari aplikasi jarak jauh.
    • Mengelola komentar dari jarak jauh.
    • Mengaktifkan pingback dan trackback.
    • Menghubungkan aplikasi WordPress di perangkat seluler ke situs web Anda.
  • Contoh kasus penggunaan
    • Menerbitkan postingan dari aplikasi mobile WordPress.
    • Plugin Jetpack menggunakan xmlrpc.php untuk beberapa fiturnya.
    • Mengintegrasikan layanan pihak ketiga yang menggunakan XML-RPC untuk transfer data.

Mengapa Anda Harus Menonaktifkan xmlrpc.php?

xmlrpc.php dapat menimbulkan risiko keamanan, itulah sebabnya banyak pemilik situs web memilih untuk menonaktifkannya, terutama jika mereka tidak menggunakan fitur yang bergantung padanya

Risiko Keamanan Umum yang Terkait dengan xmlrpc.php:

  1. Serangan Brute Force
    • Penyerang dapat menggunakan xmlrpc.php untuk melakukan serangan brute force dengan mencoba beberapa nama pengguna dan kata sandi melalui permintaan XML-RPC.
    • Hal ini dapat dilakukan dengan lebih efisien menggunakan xmlrpc.php karena satu permintaan dapat mencoba beberapa kali percobaan login.
  2. Serangan DDoS
    • xmlrpc.php dapat digunakan dalam serangan Distributed Denial of Service (DDoS) untuk membanjiri situs dengan permintaan pingback, yang menyebabkan kehabisan sumber daya dan waktu henti.
  3. Mengeksploitasi Pingback
    • Pelaku kejahatan dapat menggunakan fitur pingback di xmlrpc.php untuk memperkuat serangan DDoS atau menghasilkan spam dalam jumlah besar.

Kapan Anda Sebaiknya Mengaktifkan xmlrpc.php?

  • Anda sebaiknya mengaktifkan xmlrpc.php jika
    • Anda perlu mempublikasikan postingan dari aplikasi mobile WordPress.
    • Anda menggunakan plugin atau alat yang mengandalkan XML-RPC, seperti Jetpack.
    • Anda membutuhkan kemampuan penerbitan jarak jauh melalui layanan eksternal.

Jika Anda tidak membutuhkan fitur-fitur tersebut, akan lebih aman jika Anda menonaktifkan xmlrpc.php untuk meminimalisir risiko keamanan

Cara Menonaktifkan xmlrpc.php di WordPress

Metode 1: Menonaktifkan xmlrpc.php Menggunakan Plugin (Disarankan)

Menggunakan plugin adalah cara termudah untuk menonaktifkan xmlrpc.php tanpa menyentuh kode apa pun

Langkah 1: Instal Plugin

  • Instal plugin keamanan seperti Disable XML-RPC-API atau All In One WP Security & Firewall.
  • Anda dapat melakukan ini dengan masuk ke Plugins > Add New di dasbor WordPress Anda, mencari plugin, dan klik Install Now, lalu Activate.

Langkah 2: Konfigurasi Plugin

  • Jika menggunakan Disable XML-RPC-API
    • Setelah mengaktifkan plugin, xmlrpc.php akan secara otomatis dinonaktifkan.
  • Jika menggunakan All In One WP Security & Firewall
    • Buka Keamanan WP > Firewall.
    • Temukan bagian XML-RPC dan nonaktifkan opsi XML-RPC.

Metode 2: Nonaktifkan xmlrpc.php Menggunakan .htaccess (Lanjutan)

Jika Anda merasa nyaman mengedit file .htaccess, Anda dapat memblokir akses ke xmlrpc.php secara langsung di tingkat server

Langkah 1: Edit File .htaccess

  1. Akses direktori root WordPress Anda melalui FTP atau manajer file host web Anda (sering kali bernama public_html).
  2. Buka file .htaccess untuk diedit.
  3. Tambahkan kode berikut ini di akhir file .htaccess
    # Blokir semua akses ke xmlrpc.php <Files xmlrpc.php> Perintah Izinkan, Tolak Tolak dari semua </Files>
  4. Simpan perubahan dan unggah berkas .htaccess yang telah diperbarui kembali ke server Anda.

Hasil:

  • Kode ini mencegah akses eksternal apa pun ke xmlrpc.php, dan secara efektif menonaktifkannya.

Metode 3: Nonaktifkan xmlrpc.php Menggunakan Functions.php (Kode Kustom)

Anda juga dapat menonaktifkan XML-RPC melalui berkas functions.php pada tema Anda

Langkah 1: Edit functions.php

  1. Buka Penampilan > Editor Tema di dasbor WordPress Anda.
  2. Pilih file functions.php dari bilah sisi kanan.
  3. Tambahkan kode berikut ini
    // Nonaktifkan XML-RPC add_filter(‘xmlrpc_enabled’, ‘__return_false’);
  4. Klik Perbarui File untuk menyimpan perubahan.

Hasil:

  • Kode ini akan menonaktifkan fungsionalitas XML-RPC di WordPress.

Metode 4: Menggunakan Pengaturan Keamanan Host Web Anda

Beberapa host web menyediakan opsi untuk menonaktifkan XML-RPC melalui panel kontrol mereka

  • Masuk ke akun hosting web Anda.
  • Cari opsi yang terkait dengan keamanan WordPress atau pengaturan aplikasi.
  • Jika tersedia, nonaktifkan akses XML-RPC melalui panel keamanan.

Cara Mengaktifkan xmlrpc.php di WordPress

Jika sebelumnya Anda telah menonaktifkan xmlrpc.php dan ingin mengaktifkannya kembali, cukup balikkan langkah-langkah yang digunakan untuk menonaktifkannya

  • Jika Anda menggunakan plugin seperti Disable XML-RPC-API, nonaktifkan atau hapus instalan plugin tersebut.
  • Jika Anda menambahkan kode ke .htaccess atau functions.php, hapus kode tersebut dan simpan perubahannya.
  • Jika Anda menonaktifkan XML-RPC melalui host web Anda, gunakan panel kontrol hosting untuk mengaktifkan kembali akses XML-RPC.

Ringkasan

Di WordPress, file xmlrpc.php memungkinkan akses dan interaksi jarak jauh antara situs web Anda dan aplikasi atau layanan eksternal. Hal ini dapat memudahkan untuk fitur-fitur seperti penerbitan aplikasi seluler atau menghubungkan piranti pihak ketiga. Namun, karena ini menciptakan titik masuk tambahan ke situs Anda, file ini sering menjadi target upaya brute force, spam, dan bahkan serangan DDoS. Untuk meminimalkan risiko ini, banyak pemilik situs web memilih untuk menonaktifkan xmlrpc.php jika mereka tidak secara aktif menggunakan fungsinya. Hal ini dapat dicapai melalui berbagai metode, seperti memasang plugin keamanan khusus, menambahkan aturan ke file .htaccess, atau memodifikasi file functions.php di tema Anda. Setiap pendekatan memberikan Anda kendali atas apakah akses jarak jauh diizinkan dan membantu memperkuat keamanan situs web Anda secara keseluruhan. Sebagai contoh, dengan menambahkan baris sederhana seperti deny from all dalam direktif .htaccess yang menargetkan xmlrpc.php, Anda bisa langsung memblokir akses eksternal ke file ini. Jika suatu saat Anda memerlukan penerbitan jarak jauh atau integrasi aplikasi, perubahan tersebut dapat dengan mudah dibalik. Dengan memahami kapan harus mengaktifkan atau menonaktifkan xmlrpc.php, Anda dapat memastikan situs WordPress Anda tetap aman tanpa mengorbankan fitur-fitur yang sebenarnya Anda butuhkan.

Uji kemampuan Anda di semua layanan Hosting kami dan dapatkan diskon 15%!

Gunakan kode saat checkout:

Skills