Ваш надійний партнер з веб-хостингу з 2008 року. Отримати VPS зараз!
Підтримка  +373 79 600002
Ukrainian Flag Українська
Логін Зареєструватися
Support  +373 79 600002
Ukrainian Flag Українська
Зареєструватися Логін
+373 79 600002
Ваш надійний партнер з веб-хостингу з 2008 року. Отримати VPS зараз!
Перевірте свої навички на всіх наших хостингових послугах та отримайте знижку 15%!

Використовуйте код під час оформлення замовлення:

Skills
10.10.2024
Адміністрація

Як і навіщо вмикати та вимикати XMLRPC.PHP у WordPress

xmlrpc.php – це файл у WordPress, який забезпечує віддалений доступ до вашого сайту. Він дозволяє зовнішнім додаткам, таким як мобільні додатки, сторонні інструменти та пінгбеки, взаємодіяти з вашим сайтом WordPress. Хоча ця функціональність може бути корисною, вона також пов’язана з ризиками для безпеки, тому багато власників сайтів на WordPress вирішують вимкнути xmlrpc.php, коли він їм не потрібен. У цьому посібнику ви дізнаєтеся, що таке xmlrpc.php, чому ви можете ввімкнути або вимкнути його, і як це зробити безпечно

Що таке xmlrpc.php у WordPress?

  • xmlrpc.php – це основний файл WordPress, який забезпечує віддалений доступ до вашого сайту за допомогою протоколу XML-RPC.
  • Він використовується для виконання таких дій, як
    • Публікація постів з віддалених додатків.
    • Віддалене керування коментарями.
    • Увімкнення пінгбеків та трекбеків.
    • Підключення додатків WordPress на мобільних пристроях до вашого веб-сайту.
  • Приклади використання
    • Публікація постів з мобільних додатків WordPress.
    • Плагін Jetpack використовує xmlrpc.php для деяких своїх функцій.
    • Інтеграція сторонніх сервісів, які використовують XML-RPC для передачі даних.

Чому варто вимкнути xmlrpc.php?

xmlrpc.php може створювати ризики для безпеки, тому багато власників веб-сайтів вирішують відключити його, особливо якщо вони не використовують функції, які покладаються на нього

Поширені ризики безпеки, пов’язані з xmlrpc.php:

  1. Атаки грубої сили
    • Зловмисники можуть використовувати xmlrpc.php для проведення атак грубої сили, перебираючи різні імена користувачів і паролі за допомогою XML-RPC запитів.
    • Це можна зробити більш ефективно за допомогою xmlrpc.php, оскільки один запит може спробувати декілька спроб входу.
  2. DDoS-атаки
    • xmlrpc.php може використовуватися в розподілених атаках на відмову в обслуговуванні (DDoS), щоб перевантажити сайт запитами на зворотній зв’язок, що призводить до виснаження ресурсів і простою.
  3. Експлуатація пінгбеків
    • Зловмисники можуть використовувати функцію зворотного запиту в xmlrpc.php для посилення DDoS-атак або створення великих обсягів спаму.

Коли слід активувати xmlrpc.php?

  • Ви повинні тримати xmlrpc.php увімкненим, якщо
    • Вам потрібно публікувати пости з мобільного додатку WordPress.
    • Ви використовуєте плагіни або інструменти, які покладаються на XML-RPC, такі як Jetpack.
    • Вам потрібні можливості віддаленої публікації через зовнішні сервіси.

Якщо вам не потрібні ці функції, безпечніше вимкнути xmlrpc.php, щоб мінімізувати ризики безпеки

Як вимкнути xmlrpc.php в WordPress

Спосіб 1: Вимкнення xmlrpc.php за допомогою плагіна (рекомендується)

Використання плагіна – це найпростіший спосіб відключити xmlrpc.php, не торкаючись коду

Крок 1: Встановлення плагіна

  • Встановіть плагін безпеки, наприклад, Disable XML-RPC-API або All In One WP Security & Firewall.
  • Ви можете зробити це, перейшовши в Плагіни > Додати новий на панелі управління WordPress, знайшовши плагін і натиснувши Встановити зараз, а потім Активувати.

Крок 2: Налаштування плагіна

  • Якщо ви використовуєте XML-RPC-API, вимкніть його
    • Після активації плагіна файл xmlrpc.php буде автоматично вимкнено.
  • Якщо ви використовуєте WP Security & Firewall “Все в одному”
    • Перейдіть в розділ “Безпека WP” > “Брандмауер”.
    • Знайдіть розділ XML-RPC і вимкніть опції XML-RPC.

Спосіб 2: Вимкнення xmlrpc.php за допомогою .htaccess (розширений)

Якщо вам зручно редагувати файл .htaccess, ви можете заблокувати доступ до xmlrpc.php безпосередньо на рівні сервера

Крок 1: Редагування файлу .htaccess

  1. Отримайте доступ до кореневого каталогу WordPress через FTP або файловий менеджер вашого хостингу (часто з назвою public_html).
  2. Відкрийте файл .htaccess для редагування.
  3. Додайте наступний код в кінці файлу .htaccess
    # Заблокувати весь доступ до xmlrpc.php <Файли xmlrpc.php> Порядок Дозволити,Заборонити Заборонити від усіх </Файли>
  4. Збережіть зміни і завантажте оновлений файл .htaccess на ваш сервер.

Результат:

  • Цей код забороняє будь-який зовнішній доступ до xmlrpc.php, фактично вимикаючи його.

Спосіб 3: Вимкнення xmlrpc.php за допомогою функцій.php (кастомний код)

Ви також можете вимкнути XML-RPC за допомогою файлу functions.php вашої теми

Крок 1: Відредагуйте файл functions.php

  1. Перейдіть до “Зовнішній вигляд” > “Редактор тем” на панелі управління WordPress.
  2. Виберіть файл functions.php з правої бічної панелі.
  3. Додайте наступний код
    // Вимкнути XML-RPC add_filter(‘xmlrpc_enabled’, ‘__return_false’);
  4. Натисніть Оновити файл, щоб зберегти зміни.

Результат:

  • Цей код вимкне функцію XML-RPC в WordPress.

Спосіб 4: Використання налаштувань безпеки вашого хостингу

Деякі хостинги надають можливість вимкнути XML-RPC за допомогою панелі керування

  • Увійдіть до свого облікового запису хостингу.
  • Знайдіть опції, пов’язані з безпекою WordPress або налаштуваннями додатків.
  • Якщо вони доступні, вимкніть доступ до XML-RPC через панель безпеки.

Як увімкнути xmlrpc.php у WordPress

Якщо ви раніше вимкнули xmlrpc.php і вам потрібно знову його увімкнути, просто повторіть кроки, які ви використовували для його вимкнення

  • Якщо ви використовували плагін, наприклад, Disable XML-RPC-API, деактивуйте або видаліть його.
  • Якщо ви додали код до .htaccess або functions.php, видаліть його і збережіть зміни.
  • Якщо ви вимкнули XML-RPC через ваш хостинг, скористайтеся панеллю керування хостингом, щоб знову увімкнути доступ до XML-RPC.

Підсумок

У WordPress файл xmlrpc.php забезпечує віддалений доступ і взаємодію між вашим сайтом і зовнішніми додатками або сервісами. Це може бути зручно для таких функцій, як публікація мобільних додатків або підключення сторонніх інструментів. Однак, оскільки він створює додаткову точку входу на ваш сайт, він часто стає мішенню для спроб грубої сили, спаму і навіть DDoS-атак. Щоб мінімізувати ці ризики, багато власників веб-сайтів вирішують відключити xmlrpc.php, якщо вони не використовують його функції активно. Цього можна досягти різними способами, наприклад, встановивши спеціальний плагін безпеки, додавши правила до файлу .htaccess або змінивши файл functions.php у вашій темі. Кожен з цих підходів дає вам можливість контролювати, чи дозволений віддалений доступ, і допомагає посилити загальну безпеку вашого сайту. Наприклад, додавши простий рядок типу deny from all в директиві .htaccess, спрямованій на xmlrpc.php, ви можете миттєво заблокувати зовнішній доступ до цього файлу. Якщо в якийсь момент вам знадобиться віддалена публікація або інтеграція додатків, зміни можна легко скасувати. Розуміючи, коли вмикати або вимикати xmlrpc.php, ви забезпечите безпеку вашого сайту WordPress, не жертвуючи при цьому функціями, які вам дійсно потрібні.

Перевірте свої навички на всіх наших хостингових послугах та отримайте знижку 15%!

Використовуйте код під час оформлення замовлення:

Skills