В WordPress, существует встроенный инструмент, который позволяет, обращаться удалённо к вашему сайту через сторонние приложения. Данным решением был файл, с названием xmlrpc.php. Но в последние несколько лет, данный файл, стал довольно серьёзной проблемой, для многих владельцев сайтов на WordPress
Сейчас, ниже мы попытаемся разобрать данный файл xmlrpc.php, для чего он был создан и какие проблемы в безопасности, он в себе несет и как их исправить.
XML-RPC — это средство вызова удалённых процедур, использующий XML для кодирования своих сообщений, а протокол HTTP в качестве транспортного средсва. Самой большой проблемой xmlrpc.php, является угроза безопасности вашему сайту.
Основные слабые места XML-RPC, это взлом пароля от административной части вашего сайта (так называемые brute force attack), а также для DDoS-атаки, путем рассылки обратных уведомлений в WordPress, для отправки его сотням и тысячам сайтов, одновременно.
Конечно, можно задать сложный пароль или защитить свой сайт всевозможными плагинами, но самым простым решением, будет просто отключить его.
Рассмотрим пару примеров, по отключению файла xmlrpc.php.
Disable XML-RPC
Первый способ, он же самый простой, это установить плагин Disable XML-RPC, для этого, вам нужно, перейти в Плагины => Добавить новый, далее в поисковой строке, ввести искомый плагин Disable XML-RPC, установить его и активировать. После того, как вы его активируете, данный плагин, автоматически отключит XML-RPC.
Примечание: Но также следует учитывать возможность конфликта плагинов, ввиду того, что некоторые из них, могут использовать некоторые части xmlrpc.php.
Отключение xmlrpc.php с помошью .htaccess
Но возможно, вы не захотите использовать плагин, чтобы отключить XML-RPC, тогда, вы можете использовать второй способ отключения данного файла, это отключение его вручную. Для этого, откройте файл .htaccess, который находится в корневой директории вашего сайта (если вы его не видите, то возможно нужно включить `отображение скрытых файлов` в вашем файловом менеджере или ftp-клиенте, либо создайте его).
После того, как вы открыли файл .htaccess, вам нужно добавить в него, данный код:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>
Заключение.
В целом XML-RPC, был хорошим инструментом, для решения некоторых проблем, возникающими из-за удалённой публикации. Но, вместе с этим, появились довольно серьезные проблемы с безопасностью и они оказались очень опасными, для большинства владельцев сайтов на WordPress.