Що таке Xmlrpc.php для WordPress і як його відключити

Xmlrpc.php – це файл, який постачається в комплекті з WordPress, що дозволяє здійснювати віддалений виклик процедур через HTTP. Він забезпечує різні функціональні можливості, включаючи віддалену публікацію контенту, пінг і використання мобільних додатків для управління сайтом WordPress. Хоча Xmlrpc.php може бути корисним, він також асоціюється з уразливостями безпеки та атаками грубої сили. Для тих, хто користується хостингом WordPress, розуміння призначення та потенційних ризиків безпеки Xmlrpc.php є дуже важливим. Багато хостинг-провайдерів, включаючи AlexHost, пропонують інструменти та конфігурації безпеки спеціально для WordPress, які можуть допомогти зменшити ризики, пов’язані з цим файлом. Деякі провайдери навіть включають опції відключення Xmlrpc.php безпосередньо з панелі управління хостингом, що дозволяє користувачам легко захистити свої установки WordPress без додаткових плагінів

1. Розуміння Xmlrpc.php

Що робить Xmlrpc.php?

• Віддалена публікація: Xmlrpc.php дозволяє зовнішнім додаткам, таким як мобільні додатки, взаємодіяти з вашим сайтом WordPress, дозволяючи користувачам публікувати пости і керувати контентом віддалено.
• Зворотні посилання та пінгбеки: Обробляє зворотні посилання і трекбеки, дозволяючи вашому сайту повідомляти інші сайти про те, що ви посилаєтесь на них, і навпаки.
• Сторонні додатки: Багато сторонніх сервісів і плагінів використовують Xmlrpc.php для взаємодії з WordPress.

2. Причини відключення Xmlrpc.php

Хоча Xmlrpc.php надає декілька функцій, він також може створювати ризики для безпеки

• Атаки грубої сили: Xmlrpc.php може стати мішенню для атак повного перебору, коли зловмисники намагаються вгадати ваші облікові дані за допомогою автоматизованих скриптів.
• DDoS-атаки: Зловмисники можуть використовувати цей файл для проведення розподілених атак на відмову в обслуговуванні (DDoS), перевантажуючи ваш сервер запитами.
• Небажаний доступ: Якщо ви не використовуєте зовнішні додатки для керування сайтом WordPress, увімкнений Xmlrpc.php може наражати ваш сайт на непотрібні ризики.

3. Як вимкнути Xmlrpc.php

Існує кілька способів відключити Xmlrpc.php в WordPress. Ось найпоширеніші з них

Спосіб 1: Використання плагіна

Один з найпростіших способів відключити Xmlrpc.php – це використання плагіна безпеки

1. Встановіть плагін безпеки: Популярні варіанти включають Wordfence, iThemes Security або Disable XML-RPC.
2. Налаштуйте плагін: Після встановлення перейдіть до налаштувань плагіна і знайдіть опцію відключення Xmlrpc.php. Увімкніть цю функцію і збережіть зміни.

Спосіб 2: Використання .htaccess

Якщо ви не бажаєте використовувати плагін, ви можете відключити Xmlrpc.php, додавши відповідні правила до вашого файлу .htaccess

1. Доступ до сайту через FTP або файловий менеджер: Скористайтеся FTP-клієнтом або файловим менеджером в панелі керування хостингом.
2. Знайдіть файл .htaccess: Знайдіть файл .htaccess у кореневому каталозі вашого WordPress. Якщо його не видно, переконайтеся, що ваш FTP-клієнт налаштований на показ прихованих файлів.
3. Відредагуйте файл .htaccess: Додайте наступні рядки в кінці файлу
   <Файли xmlrpc.php> Замовити Заборонити, Дозволити Заборонити від усіх </Файли>
4. Збережіть зміни: Збережіть і закрийте файл.

Спосіб 3: Використання файлу Functions.php

Інший спосіб – відключити Xmlrpc.php за допомогою файлу functions.php вашої теми

1. Перейдіть до редактора тем: На панелі адміністратора WordPress перейдіть до “Зовнішній вигляд” > “Редактор тем”.
2. Відредагуйте файл functions.php: Виберіть файл functions.php зі списку праворуч.
3. Додайте наступний код
   add_filter('xmlrpc_enabled', '__return_false');
4. Збережіть зміни: Натисніть кнопку Оновити файл, щоб зберегти зміни.

4. Висновок

Xmlrpc.php – це потужна функція WordPress, яка забезпечує віддалене керування та функціональність. Однак, якщо ви не використовуєте ці функції або турбуєтеся про ризики безпеки, вимкнення Xmlrpc.php буде розумним рішенням. Дотримуючись методів, описаних у цьому посібнику, ви можете ефективно відключити Xmlrpc.php і підвищити безпеку вашого сайту на WordPress. Завжди відстежуйте свій сайт на предмет будь-якої підозрілої активності та оновлюйте інсталяцію WordPress і плагіни, щоб підтримувати оптимальний рівень безпеки.