WordPress’te XMLRPC.PHP Nasıl ve Neden Etkinleştirilir ve Devre Dışı Bırakılır?
xmlrpc.php, WordPress ‘te web sitenize uzaktan erişim sağlayan bir dosyadır. Mobil uygulamalar, üçüncü taraf araçlar ve pingback’ler gibi harici uygulamaların WordPress sitenizle etkileşime girmesini sağlar. Bu işlevsellik yararlı olsa da, güvenlik riskleri de içerir, bu nedenle birçok WordPress sitesi sahibi ihtiyaç duymadıklarında xmlrpc.php’yi devre dışı bırakmayı tercih eder. Bu kılavuz size xmlrpc.php’nin ne olduğu, neden etkinleştirmek veya devre dışı bırakmak isteyebileceğiniz ve bunu nasıl güvenli bir şekilde yapacağınız konusunda yol gösterecektir
WordPress’te xmlrpc.php nedir?
- xmlrpc.php, XML-RPC protokolü aracılığıyla web sitenize uzaktan erişim sağlayan temel bir WordPress dosyasıdır.
- Aşağıdaki gibi eylemleri gerçekleştirmek için kullanılır
- Uzak uygulamalardan gönderi yayınlama.
- Yorumları uzaktan yönetme.
- Pingback’leri ve trackback’leri etkinleştirme.
- Mobil cihazlardaki WordPress uygulamalarını web sitenize bağlama.
- Örnek kullanım durumları
- WordPress mobil uygulamalarından yazı yayınlama.
- Jetpack eklentisi bazı özellikleri için xmlrpc.php kullanır.
- Veri aktarımı için XML-RPC kullanan üçüncü taraf hizmetleri entegre etme.
Neden xmlrpc.php’yi Devre Dışı Bırakmalısınız?
xmlrpc.php güvenlik riskleri oluşturabilir, bu nedenle birçok web sitesi sahibi, özellikle de buna dayanan özellikleri kullanmıyorlarsa, devre dışı bırakmayı tercih eder
Xmlrpc.php ile İlişkili Yaygın Güvenlik Riskleri:
- Kaba Kuvvet Saldırıları
- Saldırganlar, XML-RPC istekleri aracılığıyla birden fazla kullanıcı adı ve parola deneyerek kaba kuvvet saldırıları gerçekleştirmek için xmlrpc.php’yi kullanabilir.
- Bu, xmlrpc.php kullanılarak daha verimli bir şekilde yapılabilir çünkü tek bir istek birden fazla giriş denemesini deneyebilir.
- DDoS Saldırıları
- xmlrpc.php, Dağıtılmış Hizmet Engelleme (DDoS) saldırılarında bir siteyi pingback istekleriyle boğmak, kaynakların tükenmesine ve kesintiye yol açmak için kullanılabilir.
- Pingback’lerden Yararlanma
- Kötü niyetli aktörler xmlrpc.php’deki pingback özelliğini kullanarak DDoS saldırılarını artırabilir veya büyük miktarlarda spam oluşturabilir.
Xmlrpc.php’yi Ne Zaman Etkinleştirmelisiniz?
- Aşağıdaki durumlarda xmlrpc.php’yi etkin tutmalısınız
- WordPress mobil uygulamasından gönderi yayınlamanız gerekiyorsa.
- Jetpack gibi XML-RPC’ye dayanan eklentiler veya araçlar kullanıyorsanız.
- Harici hizmetler aracılığıyla uzaktan yayınlama özelliklerine ihtiyacınız var.
Bu özelliklere ihtiyacınız yoksa, güvenlik risklerini en aza indirmek için xmlrpc.php’yi devre dışı bırakmak daha güvenlidir
WordPress’te xmlrpc.php Nasıl Devre Dışı Bırakılır
Yöntem 1: Bir Eklenti Kullanarak xmlrpc.php’yi Devre Dışı Bırakın (Önerilen)
Bir eklenti kullanmak, herhangi bir koda dokunmadan xmlrpc.php’yi devre dışı bırakmanın en kolay yoludur
Adım 1: Bir Eklenti Yükleyin
- Disable XML-RPC-API veya All In One WP Security & Firewall gibi bir güvenlik eklentisi yükleyin.
- Bunu, WordPress panonuzda Eklentiler > Yeni Ekle’ye gidip eklentiyi arayarak ve Şimdi Yükle’ye, ardından Etkinleştir’e tıklayarak yapabilirsiniz.
Adım 2: Eklentiyi Yapılandırma
- Eğer kullanıyorsanız XML-RPC-API’yi devre dışı bırakın
- Eklentiyi etkinleştirdikten sonra, xmlrpc.php otomatik olarak devre dışı bırakılacaktır.
- All In One WP Security & Firewall kullanıyorsanız
- WP Güvenliği > Güvenlik Duvarı’na gidin.
- XML-RPC bölümünü bulun ve XML-RPC seçeneklerini devre dışı bırakın.
Yöntem 2: .htaccess Kullanarak xmlrpc.php’yi Devre Dışı Bırakın (Gelişmiş)
.htaccess dosyasını düzenleme konusunda rahatsanız, xmlrpc.php’ye erişimi doğrudan sunucu düzeyinde engelleyebilirsiniz
Adım 1: .htaccess Dosyasını Düzenleyin
- WordPress kök dizininize FTP veya web barındırıcınızın dosya yöneticisi (genellikle public_html olarak adlandırılır) aracılığıyla erişin.
- Düzenlemek için .htaccess dosyasını açın.
- Aşağıdaki kodu .htaccess dosyasının sonuna ekleyin# xmlrpc.php dosyasına tüm erişimi engelle <Dosyalar xmlrpc.php> İzin Ver,Reddet Tümünden Reddet <Dosyalar>
- Değişiklikleri kaydedin ve güncellenmiş .htaccess dosyasını sunucunuza geri yükleyin.
Sonuç:
- Bu kod xmlrpc.php’ye dışarıdan erişimi engelleyerek onu etkin bir şekilde devre dışı bırakır.
Yöntem 3: Functions.php Kullanarak xmlrpc.php’yi Devre Dışı Bırakın (Özel Kod)
XML-RPC’yi temanızın functions.php dosyası aracılığıyla da devre dışı bırakabilirsiniz
Adım 1: functions.php dosyasını düzenleyin
- WordPress panonuzda Görünüm > Tema Düzenleyici’ye gidin.
- Sağ kenar çubuğundan functions.php dosyasını seçin.
- Aşağıdaki kodu ekleyin// XML-RPC’yi devre dışı bırak add_filter(‘xmlrpc_enabled’, ‘__return_false’);
- Değişiklikleri kaydetmek için Dosyayı Güncelle’ye tıklayın.
Sonuç:
- Bu kod WordPress’te XML-RPC işlevselliğini devre dışı bırakacaktır.
Yöntem 4: Web Sunucunuzun Güvenlik Ayarlarını Kullanma
Bazı web barındırıcıları, kontrol panelleri aracılığıyla XML-RPC’yi devre dışı bırakmak için seçenekler sunar
- Web barındırma hesabınıza giriş yapın.
- WordPress güvenliği veya uygulama ayarlarıyla ilgili seçenekleri arayın.
- Varsa, güvenlik paneli aracılığıyla XML-RPC erişimini devre dışı bırakın.
WordPress’te xmlrpc.php Nasıl Etkinleştirilir
Daha önce xmlrpc.php’yi devre dışı bıraktıysanız ve yeniden etkinleştirmeniz gerekiyorsa, devre dışı bırakmak için kullanılan adımları tersine çevirmeniz yeterlidir
- Disable XML-RPC-API gibi bir eklenti kullandıysanız, eklentiyi devre dışı bırakın veya kaldırın.
- Eğer .htaccess veya functions.php dosyasına kod eklediyseniz, kodu kaldırın ve değişiklikleri kaydedin.
- XML-RPC’yi web barındırıcınız aracılığıyla devre dışı bıraktıysanız, XML-RPC erişimini yeniden etkinleştirmek için barındırma kontrol panelini kullanın.
Özet
WordPress’te xmlrpc.php dosyası, web siteniz ile harici uygulamalar veya hizmetler arasında uzaktan erişim ve etkileşim sağlar. Bu, mobil uygulama yayınlama veya üçüncü taraf araçları bağlama gibi özellikler için kullanışlı olabilir. Bununla birlikte, sitenize ek bir giriş noktası oluşturduğundan, genellikle kaba kuvvet girişimleri, spam ve hatta DDoS saldırıları için bir hedef haline gelir. Bu riskleri en aza indirmek için, birçok web sitesi sahibi, işlevlerini aktif olarak kullanmıyorlarsa xmlrpc.php’yi devre dışı bırakmayı tercih eder. Bu, özel bir güvenlik eklentisi yüklemek, .htaccess dosyasına kurallar eklemek veya temanızdaki functions.php dosyasını değiştirmek gibi farklı yöntemlerle gerçekleştirilebilir. Her bir yaklaşım uzaktan erişime izin verilip verilmeyeceği üzerinde kontrol sahibi olmanızı sağlar ve genel web sitesi güvenliğinizi güçlendirmeye yardımcı olur. Örneğin, xmlrpc.php dosyasını hedefleyen bir .htaccess yönergesi içine deny from all gibi basit bir satır ekleyerek bu dosyaya dışarıdan erişimi anında engelleyebilirsiniz. Bir noktada uzaktan yayınlama veya uygulama entegrasyonuna ihtiyaç duyarsanız, değişiklik kolayca tersine çevrilebilir. Xmlrpc.php’yi ne zaman etkinleştireceğinizi veya devre dışı bırakacağınızı anlayarak, WordPress sitenizin gerçekten ihtiyacınız olan özelliklerden ödün vermeden güvenli kalmasını sağlarsınız.