Sprawdź swoje umiejętności we wszystkich naszych usługach hostingowych i otrzymaj 15% zniżki!

Użyj kodu przy kasie:

Skills
10.10.2024

Jak i dlaczego włączyć i wyłączyć XMLRPC.PHP w WordPress?

xmlrpc.php to plik w WordPress, który umożliwia zdalny dostęp do witryny. Umożliwia on zewnętrznym aplikacjom, takim jak aplikacje mobilne, narzędzia innych firm i pingbacki, interakcję z witryną WordPress. Chociaż ta funkcjonalność może być przydatna, wiąże się również z zagrożeniami bezpieczeństwa, dlatego wielu właścicieli witryn WordPress decyduje się wyłączyć xmlrpc.php, gdy go nie potrzebują. Ten przewodnik przeprowadzi Cię przez to, czym jest xmlrpc.php, dlaczego możesz chcieć go włączyć lub wyłączyć i jak to zrobić bezpiecznie

Czym jest xmlrpc.php w WordPress?

  • xmlrpc.php to podstawowy plik WordPress, który umożliwia zdalny dostęp do witryny za pośrednictwem protokołu XML-RPC.
  • Służy do wykonywania takich czynności jak
    • Publikowanie postów ze zdalnych aplikacji.
    • Zdalne zarządzanie komentarzami.
    • Włączanie pingbacków i trackbacków.
    • Łączenie aplikacji WordPress na urządzeniach mobilnych z witryną.
  • Przykładowe przypadki użycia
    • Publikowanie postów z aplikacji mobilnych WordPress.
    • Wtyczka Jetpack używa xmlrpc.php dla niektórych swoich funkcji.
    • Integracja usług innych firm, które używają XML-RPC do przesyłania danych.

Dlaczego należy wyłączyć xmlrpc.php?

xmlrpc.php może stanowić zagrożenie dla bezpieczeństwa, dlatego wielu właścicieli witryn decyduje się na jego wyłączenie, zwłaszcza jeśli nie korzystają z funkcji, które na nim polegają

Typowe zagrożenia bezpieczeństwa związane z xmlrpc.php:

  1. Ataki siłowe
    • Atakujący mogą wykorzystywać xmlrpc.php do przeprowadzania ataków siłowych, próbując wielu nazw użytkowników i haseł za pośrednictwem żądań XML-RPC.
    • Można to zrobić bardziej efektywnie przy użyciu xmlrpc.php, ponieważ pojedyncze żądanie może próbować wielu prób logowania.
  2. Ataki DDoS
    • xmlrpc.php może być wykorzystywany w atakach typu Distributed Denial of Service (DDoS) w celu przeciążenia witryny żądaniami pingback, co prowadzi do wyczerpania zasobów i przestojów.
  3. Wykorzystywanie pingbacków
    • Złośliwe podmioty mogą wykorzystywać funkcję pingback w xmlrpc.php do wzmacniania ataków DDoS lub generowania dużych ilości spamu.

Kiedy należy włączyć xmlrpc.php?

  • Powinieneś włączyć xmlrpc.php, jeśli
    • Musisz publikować posty z aplikacji mobilnej WordPress.
    • Używasz wtyczek lub narzędzi, które opierają się na XML-RPC, takich jak Jetpack.
    • Potrzebujesz możliwości zdalnego publikowania za pośrednictwem usług zewnętrznych.

Jeśli nie potrzebujesz tych funkcji, bezpieczniej jest wyłączyć xmlrpc.php, aby zminimalizować ryzyko związane z bezpieczeństwem

Jak wyłączyć xmlrpc.php w WordPress

Metoda 1: Wyłącz xmlrpc.php za pomocą wtyczki (zalecane)

Korzystanie z wtyczki to najprostszy sposób na wyłączenie xmlrpc.php bez dotykania żadnego kodu

Krok 1: Zainstaluj wtyczkę

  • Zainstaluj wtyczkę bezpieczeństwa, taką jak Disable XML-RPC-API lub All In One WP Security & Firewall.
  • Możesz to zrobić, przechodząc do Wtyczki > Dodaj nowy w pulpicie nawigacyjnym WordPress, wyszukując wtyczkę i klikając Zainstaluj teraz, a następnie Aktywuj.

Krok 2: Konfiguracja wtyczki

  • Jeśli używasz Wyłącz XML-RPC-API
    • Po aktywacji wtyczki, xmlrpc.php zostanie automatycznie wyłączony.
  • Jeśli używasz All In One WP Security & Firewall
    • Przejdź do WP Security > Firewall.
    • Znajdź sekcję XML-RPC i wyłącz opcje XML-RPC.

Metoda 2: Wyłączenie xmlrpc.php za pomocą .htaccess (zaawansowane)

Jeśli jesteś w stanie edytować plik .htaccess, możesz zablokować dostęp do xmlrpc.php bezpośrednio na poziomie serwera

Krok 1: Edycja pliku .htaccess

  1. Uzyskaj dostęp do katalogu głównego WordPress za pośrednictwem FTP lub menedżera plików swojego hosta (często nazywanego public_html).
  2. Otwórz plik .htaccess do edycji.
  3. Dodaj następujący kod na końcu pliku .htaccess
    # Zablokuj cały dostęp do xmlrpc.php <Files xmlrpc.php> Order Allow,Deny Deny from all </Files>.
  4. Zapisz zmiany i prześlij zaktualizowany plik .htaccess z powrotem na swój serwer.

Wynik:

  • Ten kod zapobiega zewnętrznemu dostępowi do xmlrpc.php, skutecznie go wyłączając.

Metoda 3: Wyłączenie xmlrpc.php za pomocą pliku functions.php (kod niestandardowy)

Możesz również wyłączyć XML-RPC za pomocą pliku functions.php swojego motywu

Krok 1: Edytuj functions.php

  1. Przejdź do Wygląd > Edytor motywu na pulpicie nawigacyjnym WordPress.
  2. Wybierz plik functions.php z prawego paska bocznego.
  3. Dodaj następujący kod
    // Wyłącz XML-RPC add_filter(‘xmlrpc_enabled’, ‘__return_false’);
  4. Kliknij przycisk Aktualizuj plik, aby zapisać zmiany.

Wynik:

  • Ten kod wyłączy funkcjonalność XML-RPC w WordPress.

Metoda 4: Korzystanie z ustawień zabezpieczeń hosta internetowego

Niektórzy hostingodawcy udostępniają opcje wyłączenia XML-RPC za pośrednictwem panelu sterowania

  • Zaloguj się na swoje konto hostingowe.
  • Poszukaj opcji związanych z zabezpieczeniami WordPress lub ustawieniami aplikacji.
  • Jeśli są dostępne, wyłącz dostęp XML-RPC za pośrednictwem panelu zabezpieczeń.

Jak włączyć xmlrpc.php w WordPress

Jeśli wcześniej wyłączyłeś xmlrpc.php i musisz go ponownie włączyć, po prostu odwróć kroki użyte do jego wyłączenia

  • Jeśli korzystałeś z wtyczki, takiej jak Disable XML-RPC-API, dezaktywuj lub odinstaluj wtyczkę.
  • Jeśli dodałeś kod do .htaccess lub functions.php, usuń kod i zapisz zmiany.
  • Jeśli wyłączyłeś XML-RPC za pośrednictwem swojego hosta internetowego, użyj panelu sterowania hostingu, aby ponownie włączyć dostęp XML-RPC.

Podsumowanie

W WordPressie plik xmlrpc.php umożliwia zdalny dostęp i interakcję między witryną a zewnętrznymi aplikacjami lub usługami. Może to być wygodne w przypadku funkcji takich jak publikowanie aplikacji mobilnych lub podłączanie narzędzi innych firm. Ponieważ jednak tworzy dodatkowy punkt wejścia do witryny, często staje się celem prób siłowych, spamu, a nawet ataków DDoS. Aby zminimalizować to ryzyko, wielu właścicieli witryn decyduje się wyłączyć xmlrpc.php, jeśli nie korzystają aktywnie z jego funkcji. Można to osiągnąć za pomocą różnych metod, takich jak instalacja dedykowanej wtyczki bezpieczeństwa, dodanie reguł do pliku .htaccess lub modyfikacja pliku functions.php w motywie. Każde podejście zapewnia kontrolę nad tym, czy zdalny dostęp jest dozwolony i pomaga wzmocnić ogólne bezpieczeństwo witryny. Na przykład, dodając prostą linię, taką jak deny from all w dyrektywie .htaccess kierującej xmlrpc.php, można natychmiast zablokować zewnętrzny dostęp do tego pliku. Jeśli w pewnym momencie zajdzie potrzeba zdalnego publikowania lub integracji aplikacji, zmianę można łatwo cofnąć. Rozumiejąc, kiedy włączyć lub wyłączyć xmlrpc.php, zapewniasz bezpieczeństwo swojej witryny WordPress bez poświęcania funkcji, których faktycznie potrzebujesz.

Sprawdź swoje umiejętności we wszystkich naszych usługach hostingowych i otrzymaj 15% zniżki!

Użyj kodu przy kasie:

Skills