Jak zakázat XML-RPC v WordPress ručně & pluginy?

WordPress zakázat XMLRPC

jak zakázat XMLRPC.php v WordPress-Xml Rpc WordPress Pluginy

XMLRPC.PHP je systém, který autorizuje vzdálené aktualizace WordPress z různých dalších aplikací. Tento příspěvek o WordPress Xmlrpc vám pomůže pochopit, proč zakázání WordPress XMLRPC je dobrý nápad a 4 způsoby, jak zakázat xmlrpc v wordpress, ručně & pomocí pluginů.

co je WordPress XMLRPC?

XMLRPC.php je funkce, která umožňuje vzdálené připojení k WordPress. Toto API nabízí vývojářům desktopových aplikací a mobilních aplikací schopnost komunikovat s vaším webem WordPress. Toto API nabízí vývojářům psát aplikace, které umožní vám dělat mnoho věcí, kdykoliv jste přihlášeni do WordPress přes webové rozhraní včetně–

  • Kdykoli nahrát nový soubor jako obrázek pro post.
  • kdykoli upravujete Komentáře.
  • při každé úpravě příspěvku.
  • kdykoli odstraníte příspěvek.
  • kdykoli publikujete příspěvek.
  • kdykoli dostanete seznam komentářů.

pro lepší pochopení xmlrpc.php soubor, je nutné, aby se seznámili s následujícími základy–

  • RPC je vzdálené volání procedur – to vám pomůže vzdáleně volat proceduru z pracovní stanice nebo zařízení.
  • XML (Extensible Markup Language) – tento konkrétní jazyk je koncipován pro ukládání a přenos dat, podobně jako HTTP.
  • HTTP (Hyper Text Transfer Protocol) – jedná se o aplikační protokol, který definuje, jak budou zprávy formátovány a dále přenášeny přes World Wide Web. Protokol také určuje akce webových serverů i prohlížečů v reakci na příkazy. V tomto případě lze pomocí protokolu HTTP data snadno přenést ze vzdáleného zařízení na web.
  • PHP (Hypertext Pre-processor) – jedná se o skriptovací a programovací jazyk. Tento konkrétní jazyk slouží hlavně dynamickým webovým stránkám. To se používá na stávku rozhovor mezi –
  • uživatel
  • webové stránky
  • databáze

Takže, technicky vzato, s xmlrpc.php soubor vzdálený postup volání dostane usnadněno. To se provádí pomocí XML pro kódování zprávy a odeslání přes HTTP. Pomocí toho lze informace vyměňovat mezi zařízeními nebo počítači.

what-is-xmlrpc-how-xml-Rpc-works

proč byste měli zakázat XML-RPC v WordPress

ačkoli to zní úžasně aktualizovat webové stránky s jediným příkazem, který je spuštěn na dálku. ale bohužel také vyvolává velkou červenou vlajku, a to je přesně to, co se stalo s funkcí XML-RPC ve WordPressu.

zpočátku bylo dobré zahrnout tuto funkci do wordpress, ale brzy se zjistilo, že může otevřít backdoor v wordpress pro hackery, roboty skriptů nebo kohokoli, kdo se snaží vstoupit na váš web wordpress a zneužít jej. Před WordPress 3.5, tato funkce byla ve výchozím nastavení zakázána, ale brzy po dnešní wordpress xmlrps je ve výchozím nastavení zapnuta.

není pochyb o tom, že se to stalo nejvíce zneužívanou funkčností na wordpress. To může mít za následek spoustu chybných požadavků od hackerů, roboty a skripty, všichni se snaží proniknout do vašeho webu WordPress prostřednictvím organizovaného XML-RPC WordPress DDOS útok.

Běžné XML-RPC Útoky

V posledních dvou letech, tyto dva útoky na XMLRPC obdrželi obrovské pokrytí, dejte nám o nich diskutovat v detailu–

  • útoky Hrubou silou pomocí XML-RPC – nemusíte se bát, pokud máte odborným vedením WP naboural pomoc, protože jakmile hacker dosáhl pokus o přihlášení limit, jsme jednoduše zablokovat hacker. Podle útoku se hacker pokusí přihlásit na váš web WordPress pomocí xmlrpc.Linux. Podívejme se podrobně níže, jak se to dělá a jak toho využijete při testování webových stránek na potenciální zranitelnosti WordPress. Pomocí jediného příkazu mohou hackeři prozkoumat stovky různých hesel. V důsledku toho jim to umožňuje obejít bezpečnostní nástroje, které detekují a blokují útoky hrubou silou ve WordPressu. Svůj web můžete chránit před hackery pomocí našich bezpečnostních služeb WordPress.
  • DDoS pomocí XML-RPC, pingbacks – To nelze nazvat jako efektivní typu DDoS a mnoho anti-spam pluginy byli schopni úspěšně objevte tento typ zneužití. Díky tomu hackeři používali funkci pingback ve WordPressu pro odesílání pingbacků na tisíce webů najednou. Tento xmlrpc.funkce php nabízí hackerům s četnými IP adresami, aby posílali své útoky DDoS.

BrutForce Attack

1 – když otevřete xmlrpc.php, uvidíte to umístěné na–

http://<xyz.com>/<wordpress directory>/xmlrpc.php

WordPress XML-RPC útok

2- Nyní otevřete proxy a musíte žádost odeslat znovu.

 Xml RPC WordPress

3- v této fázi musíte odeslat žádost o příspěvek a vytvořit seznam všech metod, které máte k dispozici. Možná se divíte proč? Takto se seznámíte se všemi akcemi, které je možné provést a použít k útoku.

Chcete-li uvést všechny metody, musíte odeslat žádost o příspěvek s údaji o příspěvku uvedenými níže na obrázku, obdržíte zpětnou vazbu se všemi dostupnými metodami.

<methodCall><methodName>system.listMethods</methodName><params></params></methodCall>

WordPress XML-RPC Zranitelnost

se blíže podívat na následující, pokud jsou s vámi, pak se můžeme pohnout kupředu s útokem

*)wp.getUserBlogs*)wp.getCategories*)metaWeblog.getUsersBlogs

3- potřebujete poslat tyto v POST požadavku s cílem provádět brute force login. Pokud víte o jiných platných uživatelských jménech, wp-scan vám pomůže najít platná uživatelská jména.

<methodCall><methodName>wp.getUsersBlogs</methodName><params><param><value>admin</value></param><param><value>pass</value></param></params></methodCall>

 hrubou silou xmlrpc wordpress

4 – Vše, co potřebujete pro vstup do vetřelce a hrubou silou pryč. Nezáleží na tom, zda jste zadali správné heslo nebo špatně, nakonec budete mít správnou odpověď. To je místo, kde se budete muset rozhodnout mezi nesprávným a správným na základě velikosti odpovědi. V případě, že používáte vetřelce, reakce na správné přihlášení bude jako následující–

 XML-RPC Zranitelnost wordpress

Co Může XML-RPC Být Použity Pro

XMLRPC má svůj spravedlivý podíl na použití, dejte nám o nich diskutovat–

  • Platí pingbacks a zpětné odkazy – Jak na tuto metodu, blogy jsou upozorněni, že máte s nimi spojené. Xmlrpc trackbacky jsou vyrobeny ručně a krátký výpis musí být sdíleny. XMLRPC pingbacks jsou automatizované a není třeba sdílet krátký výpis.
  • Poskytování přístupu na webové stránky dálku a je schopen provést změny – předpokládejme situaci, kdy budete muset provést změny, aby se váš WordPress blog, ale bohužel nemáte přístup k vašemu notebooku nebo počítači.

do smartphonu můžete nainstalovat aplikaci WordPress a odeslat ji na svůj web. Aplikace může provést pomocí funkce známé jako vzdálený přístup, který je povolen soubor známý jako xmlrpc.Linux.

  • umožňuje JetPack plugin pro připojení k WordPress.com-v posledních několika letech, plugin získal obrovskou popularitu po celém světě. S pluginem JetPack můžete navrhovat, zabezpečovat a rozšiřovat své webové stránky WordPress. Pokud používáte sloučení aplikace WordPress a JetPack, budete potřebovat xmlrpc.php Soubor pro jeho hladké fungování.

jak zakázat XMLRPC v WordPress?

proč ne jen zakázat xmlrpc úplně

je snadné to udělat pomocí pluginu popsaného výše; pokud však používáte slavné pluginy, jako je JetPack, tyto pluginy přestanou fungovat úplně.

zde budeme diskutovat o třech způsobech, pomocí kterých můžete snadno zakázat XML-RPC na webových stránkách WordPress.

Disable XML-RPC v WordPress 3.5

Vše, co musíte udělat, je vložit následující kód v site-specific plugin:

1
add_filter('xmlrpc_enabled', '__return_false');

Zakázání XML-RPC s plugin –

Protože existuje více pluginů na WordPress úložiště, zakázání xmlrpc.php bude snadné-peasy. Ukážeme vám, jak to udělat, krok za krokem, pomocí „zakázat plugin xmlrpc“.

  • v prvním kroku se musíte přihlásit do řídicího panelu wp-admin. Jakmile se přihlásíte, musíte jít do pluginů.
  • uvidíte přidat nové vedle pluginů.

plugin zakázat xmlrpc

pomocí vyhledávací lišty musíte hledat zakázat Xmlrpc. Musíte vidět následující plugin ve výsledcích–

plugin disable xmlrpc wordpress

To je místo, kde musíte aktivovat a nainstalovat disable xmlrpc plugin. Po aktivaci pluginu bude Funkce xmlrpc zakázána. Verze vašeho webu WordPress musí být 3.5 a vyšší.

vzhledem k tomu, že plugin je zdarma, měli byste si nechat zkontrolovat pravidelné aktualizace, které plugin obdrží, a zajistit, aby jej tvůrce stále používal.

WordPress zakázat xmlrpc pluginy

zakázat XML-RPC

tento plugin bude fungovat na verzi webu WordPress běžící na 3.5 nebo vyšší. WordPress webové stránky běží na verzi 3.5 nebo vyšší, xmlrpc je ve výchozím nastavení povoleno. Dále byla odstraněna možnost, která povoluje a zakazuje xmlrpc. Existuje mnoho důvodů, kvůli kterým majitelé mohou chtít tuto funkci deaktivovat. Pomocí tohoto pluginu to lze snadno provést. Zde je, jak můžete nainstalovat tento plugin–

  • nainstalovat tento plugin, musíte nahrát xmlrpc adresář na /wp-obsah/plugins/adresáře při instalaci WordPress.
  • plugin můžete aktivovat procházením nabídky „pluginy“ ve WordPressu.
  • v této fázi je váš xmlrpc zakázán.

Odebrat & zakázat XML-RPC Pingback

nemusíte být obětí útoků odmítnutí služby pingback. Jakmile aktivujete plugin, xml-rpc se automaticky vypne. Nejlepší na tomto pluginu je, že nemusíte nic konfigurovat. Když zakážete xmlrpc pingback, budete moci snížit využití procesoru serveru.

wordpress XMLRPC pingback útok

Instalovat plugin WordPress dashboard–

  • V plugins palubní desky, budete muset přejděte na „Přidat Nový“.
  • to je místo, kde je třeba hledat ‚odstranit XMLRPC Pingback Ping‘.
  • v této fázi musíte kliknout na „Instalovat nyní“.
  • nyní musíte plugin aktivovat na panelu pluginu.

nahrávání v WordPress Dashboard–

  • v panelu plugin, musíte přejít na „Přidat nový“.
  • přesuňte se do oblasti „Nahrát“.
  • zde musíte vybrat odebrat-xmlrpc-ping.zip z notebooku / počítače.
  • musíte stisknout „Instalovat nyní“.
  • nyní musíte plugin aktivovat na panelu pluginu.

pomocí FTP–

  • v prvním kroku musíte stáhnout remove-xmlrpc-pingback-ping.zip.
  • musíte extrahovat adresář remove-xmlrpc-pingback-ping do svého notebooku / počítače.
  • v této fázi musíte nahrát adresář remove-xmlrpc-pingback-ping do adresáře/wp-content/ plugins/.
  • nyní musíte plugin aktivovat na panelu pluginu.

Loginizer

Jedná se o jeden z nejúčinnějších pluginů WordPress, který vám pomůže bojovat proti útoku brutforce. Plugin to dělá blokováním přihlášení pro IP, jakmile dosáhne nejvyššího povoleného odchodu do důchodu. S pomocí tohoto pluginu, můžete snadno blacklist nebo whitelist IP pro účely přihlášení. Máte možnost používat další funkce, jako je-re, přihlášení bez hesla, autor dvou faktorů atd.

při instalaci pluginu postupujte podle níže uvedených kroků–

  • v první řadě se musíte přihlásit do administrátorského panelu WordPress.
  • druhý krok zahrnuje přechod na kartu pluginy a následně přechod na přidání nového.
  • zde musíte hledat Loginizer.
  • stiskněte tlačítko Instalovat nyní.
  • Chcete-li plugin aktivovat, musíte stisknout tlačítko Aktivovat.
  • přejděte na řídicí panel, přejděte na Nastavení a poté na Loginizer.
  • je jen na vás, zda chcete nastavit nastavení nebo chcete použít výchozí nastavení.
  • to je hotovo a jste připraveni jít.

jednoduché přihlášení

vše, co potřebujete, je náhodné třímístné číslo pro přihlášení WordPress. Můžete vidět správné číslo, které se zobrazí nad polem pomocí kódu JavaScript. Nejlepší věc, o plugin je, že je kompatibilní s WooCommerce přihlašovací formulář.

skoro jako každý jiný plugin, stačí nainstalovat a aktivovat plugin. Chybí nastavení.

  • nejprve musíte navštívit pluginy Přidat novou obrazovku.
  • plugin můžete hledat jednoduchým přihlášením .
  • stiskněte tlačítko „Instalovat nyní“ pro instalaci pluginu.
  • stiskněte tlačítko „Aktivovat“ pro aktivaci pluginu.

zakázání XML-RPC přes .htaccess –

mluvíme o softwaru webového serveru Apache, .htaccess soubory změnit konfiguraci souborů. Výsledkem je, že před tím, než se předá WordPress, jsou žádosti o přístup zakázány.

můžete snadno zakázat xmlrpc WordPress podle následujících níže uvedených kroků–

  • S pomocí Protokol pro Přenos Souborů klienta Filezilla, můžete snadno přístup k vaší webové stránky.
  • nyní potřebujete přístup .htaccess v kořenové složce.
  • může dojít k situaci, kdy výchozí nastavení může soubor skrýt. Pokud narazíte na takovou situaci, přejděte na Nastavení a stiskněte tlačítko „Zobrazit skryté složky“. Musíte se ujistit, že jste změny uložili. V této fázi byste měli mít možnost zobrazit soubor.
  • jakmile soubor otevřete, musíte zadat níže uvedený kód–
# Block WordPress xmlrpc.php requests<Files xmlrpc.php>order deny,allowdeny from allallow from 123.123.123.123</Files>

nakonec uložte všechny provedené změny a je dobré jít.

pokud máte stále nějaký dotaz nebo pochybnosti o tom, jak zakázat xmlrpc ve WordPressu, můžete se s námi spojit a náš tým odborníků vám pomůže.

podívejte se také na našeho průvodce-nejčastější chyby WordPress v 2020

opravit problémy wordpress xmlrpc Nápověda

další problémy WordPress & jejich opravy:

  • Jak Opravit Bílá Obrazovka Smrti v WordPress
  • Jak Opravit Oprávnění Souborů A Složek Error WordPress
  • Jak Zabezpečit Váš WordPress Stránky v roce 2020
  • Jak Odstranit „Tento Web Může Být Hacknutý“ Z WordPress
  • Jak Odstraňovat Skryté Admin Uživatele Ve WordPress
  • Jak fix „odkaz, který jste následovali vypršela“ v WordPress
  • Jak Opravit Zásuvné.chyby souboru php v WordPress?
  • jak opravit “ Nahrát: Nepodařilo se Zapsat Soubor na Disk“ WordPress Chyba
  • Jak Fix „Jsi si Jistý, že Chceš Udělat“ WordPress
  • Jak Opravit chybu 503, že Služba není k Dispozici Chyba v WordPres
  • Jak Opravit Parse Error: Syntax Error WordPress?
  • Jak Opravit „Tento Účet Byl Pozastaven“ problém
  • Jak Odstranit Malware Z napadených WordPress stránky
  • Jak Opravit WordPress Malware Přesměrování Hack?
  • Jak Odstranit Favicon .ico hack v WordPress

tento příspěvek byl naposledy změněn 7. Září 2020