Jak i dlaczego włączyć i wyłączyć XMLRPC.PHP w WordPress? ⋆ ALexHost SRL
Twój zaufany partner hostingowy od 2008 roku. Kup VPS już teraz!
Wsparcie  +373 79 600002
Poland Flag Polski
Zaloguj sie Zarejestruj się
Support  +373 79 600002
Zarejestruj się Zaloguj sie
+373 79 600002
Poland Flag Polski
Twój zaufany partner hostingowy od 2008 roku. Kup VPS już teraz!

Sprawdź swoje umiejętności we wszystkich naszych usługach hostingowych i otrzymaj 15% zniżki!

Użyj kodu przy kasie:

Skills
19.12.2024
Administracja

Jak i dlaczego włączyć i wyłączyć XMLRPC.PHP w WordPress?

xmlrpc.php to plik w WordPress, który umożliwia zdalny dostęp do witryny. Umożliwia on zewnętrznym aplikacjom, takim jak aplikacje mobilne, narzędzia innych firm i pingbacki, interakcję z witryną WordPress. Chociaż ta funkcjonalność może być przydatna, wiąże się również z zagrożeniami bezpieczeństwa, dlatego wielu właścicieli witryn WordPress decyduje się wyłączyć xmlrpc.php, gdy go nie potrzebują.

W tym przewodniku dowiesz się, czym jest xmlrpc.php, dlaczego warto go włączyć lub wyłączyć i jak zrobić to bezpiecznie.

Czym jest xmlrpc.php w WordPress?

  • xmlrpc.php to podstawowy plik WordPress, który umożliwia zdalny dostęp do witryny za pośrednictwem protokołu XML-RPC.
  • Służy do wykonywania działań takich jak:
    • Publikowanie postów ze zdalnych aplikacji.
    • Zdalne zarządzanie komentarzami.
    • Włączanie pingbacków i trackbacków.
    • Łączenie aplikacji WordPress na urządzeniach mobilnych z witryną.
  • Przykładowe przypadki użycia:
    • Publikowanie postów z aplikacji mobilnych WordPress.
    • Wtyczka Jetpack używa xmlrpc.php dla niektórych swoich funkcji.
    • Integracja usług innych firm, które używają XML-RPC do przesyłania danych.

Dlaczego należy wyłączyć xmlrpc.php?

xmlrpc.php może stanowić zagrożenie dla bezpieczeństwa, dlatego wielu właścicieli witryn decyduje się na jego wyłączenie, zwłaszcza jeśli nie korzystają z funkcji, które na nim polegają.

Typowe zagrożenia bezpieczeństwa związane z xmlrpc.php:

  1. Ataki Brute Force:
    • Atakujący mogą wykorzystywać xmlrpc.php do przeprowadzania ataków siłowych, próbując wielu nazw użytkowników i haseł za pośrednictwem żądań XML-RPC.
    • Można to zrobić bardziej efektywnie przy użyciu xmlrpc.php, ponieważ pojedyncze żądanie może próbować wielu prób logowania.
  2. Ataki DDoS:
    • xmlrpc.php może być wykorzystywany w atakach typu DDoS (Distributed Denial of Service) w celu przeciążenia witryny żądaniami pingback, co prowadzi do wyczerpania zasobów i przestojów.
  3. Wykorzystywanie pingbacków:
    • Złośliwe podmioty mogą wykorzystywać funkcję pingback w xmlrpc.php do wzmacniania ataków DDoS lub generowania dużych ilości spamu.

Kiedy należy włączyć xmlrpc.php?

  • Usługa xmlrpc.php powinna być włączona, jeśli:
    • Musisz publikować posty z aplikacji mobilnej WordPress.
    • Używasz wtyczek lub narzędzi, które opierają się na XML-RPC, takich jak Jetpack.
    • Potrzebujesz możliwości zdalnego publikowania za pośrednictwem usług zewnętrznych.

Jeśli nie potrzebujesz tych funkcji, bezpieczniej jest wyłączyć xmlrpc.php, aby zminimalizować ryzyko związane z bezpieczeństwem.

Jak wyłączyć xmlrpc.php w WordPress

Metoda 1: Wyłącz xmlrpc.php za pomocą wtyczki (zalecane)

Korzystanie z wtyczki to najprostszy sposób na wyłączenie xmlrpc.php bez dotykania żadnego kodu.

Krok 1: Zainstaluj wtyczkę

  • Zainstaluj wtyczkę bezpieczeństwa, taką jak Disable XML-RPC-API lub All In One WP Security & Firewall.
  • Możesz to zrobić, przechodząc do Wtyczki > Dodaj nowy w pulpicie nawigacyjnym WordPress, wyszukując wtyczkę i klikając Zainstaluj teraz, a następnie Aktywuj.

Krok 2: Konfiguracja wtyczki

  • Jeśli używasz Disable XML-RPC-API:
    • Po aktywacji wtyczki, xmlrpc.php zostanie automatycznie wyłączony.
  • Jeśli używasz All In One WP Security & Firewall:
    • Przejdź do WP Security > Firewall.
    • Znajdź sekcję XML-RPC i wyłącz opcje XML-RPC.

Metoda 2: Wyłączenie xmlrpc.php za pomocą .htaccess (zaawansowane)

Jeśli czujesz się komfortowo edytując plik .htaccess, możesz zablokować dostęp do xmlrpc.php bezpośrednio na poziomie serwera.

Krok 1: Edycja pliku .htaccess

  1. Uzyskaj dostęp do katalogu głównego WordPress za pośrednictwem FTP lub menedżera plików swojego hosta (często nazywanego public_html).
  2. Otwórz plik .htaccess do edycji.
  3. Dodaj następujący kod na końcu pliku .htaccess:
    # Zablokuj cały dostęp do xmlrpc.php Order Allow,Deny Deny from all .
  4. Zapisz zmiany i prześlij zaktualizowany plik .htaccess z powrotem na swój serwer.

Wynik:

  • Ten kod zapobiega zewnętrznemu dostępowi do xmlrpc.php, skutecznie go wyłączając.

Metoda 3: Wyłączenie xmlrpc.php za pomocą Functions.php (kod niestandardowy)

Możesz także wyłączyć XML-RPC za pomocą pliku functions.php swojego motywu.

Krok 1: Edytuj functions.php

  1. Przejdź do Wygląd > Edytor motywu na pulpicie nawigacyjnym WordPress.
  2. Wybierz plik functions.php z prawego paska bocznego.
  3. Dodaj następujący kod:
    // Wyłącz XML-RPC add_filter(‘xmlrpc_enabled’, ‘__return_false’);
  4. Kliknij przycisk Aktualizuj plik, aby zapisać zmiany.

Wynik:

  • Ten kod wyłączy funkcjonalność XML-RPC w WordPress.

Metoda 4: Korzystanie z ustawień zabezpieczeń hosta internetowego

Niektórzy hostingodawcy udostępniają opcje wyłączenia XML-RPC za pośrednictwem panelu sterowania:

  • Zaloguj się na swoje konto hostingowe.
  • Poszukaj opcji związanych z zabezpieczeniami WordPress lub ustawieniami aplikacji.
  • Jeśli są dostępne, wyłącz dostęp XML-RPC za pośrednictwem panelu zabezpieczeń.

Jak włączyć xmlrpc.php w WordPress

Jeśli wcześniej wyłączyłeś xmlrpc.php i musisz go ponownie włączyć, po prostu odwróć kroki użyte do jego wyłączenia:

  • Jeśli korzystałeś z wtyczki, takiej jak Disable XML-RPC-API, dezaktywuj lub odinstaluj wtyczkę.
  • Jeśli dodałeś kod do .htaccess lub functions.php, usuń kod i zapisz zmiany.
  • Jeśli wyłączyłeś XML-RPC za pośrednictwem swojego hosta internetowego, użyj panelu sterowania hostingu, aby ponownie włączyć dostęp XML-RPC.

Podsumowanie

xmlrpc.php w WordPress zapewnia możliwości zdalnego dostępu, umożliwiając aplikacjom i usługom interakcję z witryną. Chociaż ta funkcjonalność może być przydatna, stanowi również zagrożenie dla bezpieczeństwa, takie jak ataki siłowe i ataki DDoS. Dlatego wielu właścicieli witryn decyduje się na wyłączenie xmlrpc.php, jeśli nie potrzebują jego funkcji.

Aby wyłączyć xmlrpc.php, można użyć wtyczek, dodać niestandardowy kod do .htaccess lub functions.php lub skorzystać z ustawień hosta. Jeśli chcesz ponownie włączyć xmlrpc.php, po prostu odwróć kroki podjęte w celu jego wyłączenia. Zrozumienie, kiedy i jak włączyć lub wyłączyć tę funkcję, może pomóc w utrzymaniu bezpieczeństwa witryny WordPress przy jednoczesnym zachowaniu potrzebnej funkcjonalności.

Sprawdź swoje umiejętności we wszystkich naszych usługach hostingowych i otrzymaj 15% zniżki!

Użyj kodu przy kasie:

Skills
Powiązane wiadomości
Plik Hosts: gdzie się znajduje i jak go edytować

Plik hosts to zwykły plik tekstowy, który mapuje nazwy domen na adresy IP. Działa on jako lokalny rozpoznawacz DNS...

8 kroków do stworzenia osobistej strony internetowej

Osobista strona internetowa to doskonały sposób na zaprezentowanie swoich umiejętności, podzielenie się przemyśleniami, zbudowanie swojej obecności w Internecie, a...

Jak włączyć Javę w Firefoksie: 3 metody

W ostatnich latach aplety Java nie są już bezpośrednio obsługiwane w nowoczesnych przeglądarkach internetowych, w tym Mozilla Firefox, ze...