Testați-vă abilitățile cu toate serviciile noastre de găzduire și beneficiați de 15% reducere!

Utilizați codul la finalizarea comenzii:

Skills
10.10.2024

Cum și de ce să activați și să dezactivați XMLRPC.PHP în WordPress

xmlrpc.php este un fișier din WordPress care permite accesul de la distanță la site-ul dvs. web. Acesta permite aplicațiilor externe, cum ar fi aplicații mobile, instrumente terțe și pingback-uri, să interacționeze cu site-ul WordPress. În timp ce această funcționalitate poate fi utilă, ea vine, de asemenea, cu riscuri de securitate, motiv pentru care mulți proprietari de site-uri WordPress aleg să dezactiveze xmlrpc.php atunci când nu au nevoie de ea. Acest ghid vă va explica ce este xmlrpc.php, de ce ați putea dori să îl activați sau să îl dezactivați și cum să faceți acest lucru în siguranță

Ce este xmlrpc.php în WordPress?

  • xmlrpc.php este un fișier de bază WordPress care permite accesul de la distanță la site-ul dvs. web prin protocolul XML-RPC.
  • Acesta este utilizat pentru a efectua acțiuni precum
    • Publicarea postărilor din aplicații la distanță.
    • Gestionarea comentariilor de la distanță.
    • Activarea pingback-urilor și trackback-urilor.
    • Conectarea aplicațiilor WordPress de pe dispozitive mobile la site-ul dvs. web.
  • Exemple de cazuri de utilizare
    • Publicarea postărilor din aplicațiile WordPress pentru dispozitive mobile.
    • Pluginul Jetpack utilizează xmlrpc.php pentru unele dintre caracteristicile sale.
    • Integrarea serviciilor terțe care utilizează XML-RPC pentru transferul de date.

De ce ar trebui să dezactivați xmlrpc.php?

xmlrpc.php poate prezenta riscuri de securitate, motiv pentru care mulți proprietari de site-uri web aleg să îl dezactiveze, în special dacă nu utilizează caracteristici care se bazează pe acesta

Riscuri comune de securitate asociate cu xmlrpc.php:

  1. Atacuri prin forța brută
    • Atacatorii pot utiliza xmlrpc.php pentru a efectua atacuri de forță brută prin încercarea mai multor nume de utilizator și parole prin intermediul cererilor XML-RPC.
    • Acest lucru poate fi realizat mai eficient folosind xmlrpc.php deoarece o singură cerere poate încerca mai multe tentative de autentificare.
  2. Atacuri DDoS
    • xmlrpc.php poate fi utilizat în atacuri de tip DDoS (Distributed Denial of Service) pentru a copleși un site cu cereri de pingback, ducând la epuizarea resurselor și la întreruperea activității.
  3. Exploatarea pingback-urilor
    • Actorii rău intenționați pot utiliza funcția pingback din xmlrpc.php pentru a amplifica atacurile DDoS sau pentru a genera volume mari de spam.

Când ar trebui să activați xmlrpc.php?

  • Ar trebui să păstrați xmlrpc.php activat dacă
    • Trebuie să publicați postări din aplicația mobilă WordPress.
    • Utilizați pluginuri sau instrumente care se bazează pe XML-RPC, cum ar fi Jetpack.
    • Aveți nevoie de capacități de publicare de la distanță prin servicii externe.

Dacă nu aveți nevoie de aceste caracteristici, este mai sigur să dezactivați xmlrpc.php pentru a minimiza riscurile de securitate

Cum să dezactivați xmlrpc.php în WordPress

Metoda 1: Dezactivați xmlrpc.php utilizând un plugin (recomandat)

Utilizarea unui plugin este cel mai simplu mod de a dezactiva xmlrpc.php fără a atinge niciun cod

Pasul 1: Instalați un plugin

  • Instalați un plugin de securitate precum Disable XML-RPC-API sau All In One WP Security & Firewall.
  • Puteți face acest lucru accesând Plugins > Add New în tabloul de bord WordPress, căutând pluginul și făcând clic pe Install Now, apoi pe Activate.

Pasul 2: Configurați pluginul

  • Dacă utilizați Dezactivați XML-RPC-API
    • După activarea pluginului, xmlrpc.php va fi dezactivat automat.
  • Dacă utilizați All In One WP Security & Firewall
    • Mergeți la WP Security > Firewall.
    • Găsiți secțiunea XML-RPC și dezactivați opțiunile XML-RPC.

Metoda 2: Dezactivați xmlrpc.php utilizând .htaccess (avansat)

Dacă vă este confortabil să editați fișierul .htaccess, puteți bloca accesul la xmlrpc.php direct la nivelul serverului

Pasul 1: Editarea fișierului .htaccess

  1. Accesați directorul rădăcină WordPress prin FTP sau managerul de fișiere al gazdei dvs. web (adesea numit public_html).
  2. Deschideți fișierul .htaccess pentru editare.
  3. Adăugați următorul cod la sfârșitul fișierului .htaccess
    # Blocați tot accesul la xmlrpc.php <Files xmlrpc.php> Order Allow,Deny Deny from all </Files>
  4. Salvați modificările și încărcați fișierul .htaccess actualizat înapoi pe server.

Rezultat:

  • Acest cod împiedică orice acces extern la xmlrpc.php, dezactivându-l efectiv.

Metoda 3: Dezactivarea xmlrpc.php utilizând Functions.php (cod personalizat)

De asemenea, puteți dezactiva XML-RPC prin intermediul fișierului functions.php al temei dvs

Pasul 1: Editați fișierul functions.php

  1. Mergeți la Appearance > Theme Editor în tabloul de bord WordPress.
  2. Selectați fișierul functions.php din bara laterală din dreapta.
  3. Adăugați următorul cod
    // Dezactivați XML-RPC add_filter(‘xmlrpc_enabled’, ‘__return_false’);
  4. Faceți clic pe Update File pentru a salva modificările.

Rezultat:

  • Acest cod va dezactiva funcționalitatea XML-RPC în WordPress.

Metoda 4: Utilizarea setărilor de securitate ale gazdei dvs. web

Unele gazde web oferă opțiuni pentru dezactivarea XML-RPC prin intermediul panoului lor de control

  • Conectați-vă la contul dvs. de găzduire web.
  • Căutați opțiuni legate de setările de securitate sau ale aplicației WordPress.
  • Dacă sunt disponibile, dezactivați accesul XML-RPC prin intermediul panoului de securitate.

Cum să activați xmlrpc.php în WordPress

Dacă ați dezactivat anterior xmlrpc.php și trebuie să îl activați din nou, pur și simplu inversați pașii utilizați pentru a-l dezactiva

  • Dacă ați folosit un plugin precum Disable XML-RPC-API, dezactivați sau dezinstalați pluginul.
  • Dacă ați adăugat cod la .htaccess sau functions.php, eliminați codul și salvați modificările.
  • Dacă ați dezactivat XML-RPC prin intermediul gazdei dvs. web, utilizați panoul de control al gazdei pentru a reactiva accesul XML-RPC.

Rezumat

În WordPress, fișierul xmlrpc.php permite accesul la distanță și interacțiunea dintre site-ul dvs. web și aplicații sau servicii externe. Acest lucru poate fi convenabil pentru caracteristici precum publicarea aplicațiilor mobile sau conectarea instrumentelor terțe. Cu toate acestea, deoarece creează un punct de intrare suplimentar în site-ul dvs., acesta devine adesea o țintă pentru încercări de forță brută, spam și chiar atacuri DDoS. Pentru a minimiza aceste riscuri, mulți proprietari de site-uri web aleg să dezactiveze xmlrpc.php dacă nu utilizează în mod activ funcțiile sale. Acest lucru poate fi realizat prin diferite metode, cum ar fi instalarea unui plugin de securitate dedicat, adăugarea de reguli la fișierul .htaccess sau modificarea fișierului functions.php din tema dvs. Fiecare abordare vă oferă control asupra faptului dacă accesul de la distanță este permis și contribuie la consolidarea securității generale a site-ului dvs. De exemplu, prin adăugarea unei linii simple precum deny from all în cadrul unei directive .htaccess care vizează xmlrpc.php, puteți bloca instantaneu accesul extern la acest fișier. Dacă la un moment dat aveți nevoie de publicare la distanță sau de integrarea aplicațiilor, modificarea poate fi ușor inversată. Înțelegând când să activați sau să dezactivați xmlrpc.php, vă asigurați că site-ul dvs. WordPress rămâne securizat fără a sacrifica caracteristicile de care aveți nevoie de fapt.

Testați-vă abilitățile cu toate serviciile noastre de găzduire și beneficiați de 15% reducere!

Utilizați codul la finalizarea comenzii:

Skills