hogyan lehet letiltani az XML-RPC-t a WordPress-ben manuálisan & Plugins?
WordPress xmlrpc letiltása
az XMLRPC.A PHP egy olyan rendszer, amely engedélyezi a WordPress távoli frissítéseit különféle más alkalmazásokból. Ez a bejegyzés a WordPress Xmlrpc-ről segít megérteni, miért jó ötlet a WordPress xmlrpc letiltása, és 4 módja az xmlrpc letiltásának a wordpress-ben, manuálisan & pluginek használatával.
mi az a WordPress XMLRPC?
XMLRPC.a php egy olyan szolgáltatás, amely lehetővé teszi a távoli kapcsolatot a WordPress-szel. Ez az API lehetővé teszi az asztali alkalmazások és mobilalkalmazások fejlesztői számára, hogy kommunikáljanak a WordPress webhelyével. Ez az API a fejlesztők számára olyan alkalmazások írását teszi lehetővé, amelyek számos dolgot megtehetnek, amikor webes felületen keresztül bejelentkezik a WordPressbe, beleértve–
- amikor feltölt egy új fájlt, például egy képet egy bejegyzéshez.
- amikor megjegyzéseket szerkeszt.
- amikor szerkesztesz egy bejegyzést.
- amikor töröl egy bejegyzést.
- amikor közzétesz egy bejegyzést.
- amikor megkapja a Megjegyzések listáját.
az xmlrpc jobb megértése érdekében.php fájl, feltétlenül ismernie kell a következő alapokat–
- az RPC távoli eljáráshívás – ez segít egy eljárás távoli meghívásában egy munkaállomásról vagy egy eszközről.
- XML (Extensible Markup Language) – ez a nyelv az adatok tárolására és szállítására szolgál, nagyjából a HTTP-hez hasonlóan.
- HTTP (Hyper Text Transfer Protocol) – ez egy alkalmazás protokoll, amely meghatározza, hogy az üzenetek hogyan lesznek formázva és továbbítva a világhálón. A protokoll meghatározza mind a webszerverek, mind a böngészők műveleteit a parancsokra adott válaszként. Ebben az esetben a HTTP segítségével az adatok könnyen átvihetők egy távoli eszközről egy webhelyre.
- PHP (Hypertext Pre-processor) – egy szkript és programozási nyelv. Ez a nyelv elsősorban dinamikus webhelyeket szolgál. Arra használják, hogy a sztrájk közötti beszélgetés –
- a felhasználó
- a honlap
- az adatbázisok
tehát technikailag szólva, az xmlrpc.php fájl egy távoli eljárás hívás lesz megkönnyítette. Ez az XML segítségével történik az üzenet kódolásához és HTTP-n keresztül történő elküldéséhez. Ennek felhasználásával az információk cserélhetők eszközök vagy számítógépek között.
miért tiltsa le az XML-RPC-t a WordPress
alkalmazásban, Bár csodálatosnak tűnik egy webhely frissítése egyetlen, távolról elindított paranccsal. de sajnos ez egy nagy piros zászlót is felvet, és pontosan ez történt a WordPress XML-RPC funkciójával.
kezdetben jó ötlet volt ezt a funkciót beépíteni a wordpressbe, de hamarosan rájöttek, hogy megnyithat egy hátsó ajtót a wordpress-ben hackerek, szkriptbotok vagy bárki számára, aki megpróbál hozzáférni a wordpress webhelyéhez, hogy belépjen és visszaéljen vele. A WordPress 3.5 előtt ez a funkció alapértelmezés szerint le volt tiltva, de nem sokkal később a wordpress xmlrps alapértelmezés szerint be van kapcsolva.
kétségtelen, hogy ez lett a wordpress leginkább visszaélt funkciója. Ez rengeteg hibás kérést eredményezhet hackerektől, botoktól és szkriptektől, amelyek mindegyike egy szervezett XML-RPC WordPress DDoS támadással próbál betörni a WordPress webhelyére.
közös XML-RPC támadások
az elmúlt két évben, miután két támadás XMLRPC kapott hatalmas lefedettség, hadd beszéljük meg őket részletesen–
- Brute force támadások XML-RPC – n keresztül-nem kell aggódnia, ha rendelkezik a wp hacked help szakértői útmutatásával, mert miután a hacker elérte a bejelentkezési kísérlet korlátját, egyszerűen blokkoljuk a hackert. A támadás szerint a hacker az xmlrpc segítségével próbál bejelentkezni a WordPress webhelyére.php. Nézzük meg az alábbiakban részletesen, hogyan történik ez, és hogyan fogja kihasználni ezt, miközben tesztel egy webhelyet a potenciális WordPress sebezhetőségekre. Egyetlen paranccsal a hackerek több száz különböző jelszót vizsgálhatnak meg. Ennek eredményeként ez lehetővé teszi számukra, hogy megkerüljék a biztonsági eszközöket, amelyek felismerik és blokkolják a brute force támadásokat a wordpress-ben. A WordPress biztonsági szolgáltatásainkkal megvédheti webhelyét a hackerektől.
- DDoS keresztül XML-RPC pingbacks – ez nem nevezhető hatékony típusú DDoS és számos anti-spam plugin volt képes sikeresen felfedezni az ilyen típusú visszaélés. Ezzel a hackerek a WordPress pingback funkcióját használták pingbackek küldésére egyszerre több ezer webhelyre. Ez az xmlrpc.a php szolgáltatás számos IP-címmel rendelkező hackereket kínál DDoS támadásaik küldésére.
BrutForce Attack
1 – amikor megnyitja az xmlrpc-t.php, látni fogja, hogy ez a következő helyen található–
http://<xyz.com>/<wordpress directory>/xmlrpc.php
2- most nyissa meg a proxyt, és újra el kell küldenie a kérést.
3- Ebben a szakaszban el kell küldenie egy postai kérelmet, és elérhetővé kell tennie az összes módszer listáját. Lehet, hogy vajon miért? Ez az, hogyan lesz ismerős minden olyan tevékenységet, hogy lehetséges, hogy használja azt a támadást.
az összes módszer felsorolásához post kérést kell küldenie a képen alább említett post adatokkal, visszajelzést kap az összes rendelkezésre álló módszerről.
<methodCall><methodName>system.listMethods</methodName><params></params></methodCall>
nézze meg közelebbről a következőket, ha veled vannak, akkor továbbléphetünk a támadással
*)wp.getUserBlogs*)wp.getCategories*)metaWeblog.getUsersBlogs
3- a brute force bejelentkezés végrehajtásához a következőket kell elküldenie a postai kérelemben. Ha ismeri más érvényes felhasználóneveket, a wp-scan segíthet megtalálni az érvényes felhasználóneveket.
<methodCall><methodName>wp.getUsersBlogs</methodName><params><param><value>admin</value></param><param><value>pass</value></param></params></methodCall>
4 – mindössze annyit kell, hogy adja meg ezt a betolakodó és a nyers erő el. Nem számít, hogy helyes jelszót adott-e meg, vagy rosszul, akkor a helyes válasz lesz. Ez az, ahol a válasz mérete alapján kell döntenie a rossz és a helyes között. Abban az esetben, ha betolakodót használ, a helyes bejelentkezésre adott válasz a következő lesz–
mire használható az XML-RPC
az XMLRPC méltányos részesedéssel rendelkezik, beszéljük meg őket–
- Pingbacks és trackbacks alkalmazása – ennek a módszernek megfelelően a blogok értesítést kapnak arról, hogy összekapcsolták őket. Az XMLRPC trackbackek manuálisan készülnek, és a rövid kivonatot meg kell osztani. Az XMLRPC pingbackek automatizáltak, és nem kell rövid kivonatot megosztani.
- a webhely távoli elérésének és a változtatások elvégzésének biztosítása-tegyük fel, hogy a WordPress blogján módosítania kell, de sajnos nincs hozzáférése a laptophoz vagy a számítógéphez.
telepítheti a WordPress alkalmazást okostelefonjára, hogy közzétegye a webhelyére. Az alkalmazás ezt a távoli hozzáférés néven ismert szolgáltatás segítségével hajthatja végre, amelyet az xmlrpc néven ismert fájl engedélyez.php.
- lehetővé teszi JetPack plugin csatlakozni WordPress.com-Az elmúlt néhány évben, a plugin óriási népszerűségre tett szert az egész világon. A JetPack plugin segítségével megtervezheti, biztonságossá teheti és bővítheti WordPress weboldalát. Ha a WordPress alkalmazás és a JetPack egyesítését használja, akkor szüksége lesz az xmlrpc-re.php fájl a zökkenőmentes működéséhez.
hogyan lehet letiltani az XMLRPC-t a WordPress-ben?
miért nem csak letiltani xmlrpc összesen
ez könnyen csinálni a segítségével a plugin fent tárgyalt; azonban, ha használja a híres plugin, mint a JetPack, akkor ezek a plugin leáll teljesen.
itt fogjuk megvitatni három módon, amelyek segítségével könnyen letilthatja XML-RPC WordPress honlapján.
tiltsa le az XML-RPC-t a WordPress 3.5 – ben
csak annyit kell tennie, hogy beilleszti a következő kódot egy helyspecifikus bővítménybe:
1
|
add_filter( 'xmlrpc_enabled' , '__return_false' ); |
az XML-RPC letiltása pluginnal –
mivel a WordPress adattárban több plugin található, letiltva az xmlrpc-t.php lesz könnyű-peasy. Megmutatjuk, hogyan kell ezt lépésről lépésre megtenni az ‘xmlrpc plugin letiltása’ segítségével.
- az első lépésben be kell jelentkeznie a wp-admin irányítópultra. Miután bejelentkezett, el kell mennie a bővítményekhez.
- látni fogja Új hozzáadása a bővítmények mellett.
a keresősáv segítségével meg kell keresnie az xmlrpc letiltását. Az eredményekben látnia kell a következő bővítményt–
itt kell aktiválnia és telepítenie a disable xmlrpc plugint. A plugin aktiválása után az xmlrpc funkció le lesz tiltva. A WordPress webhely verziójának legalább 3.5-nek kell lennie.
mivel a plugin ingyenes, ezért ellenőriznie kell a plugin által kapott rendszeres frissítéseket, biztosítva, hogy az alkotója továbbra is használja.
WordPress xmlrpc pluginek letiltása
XML-RPC letiltása
ez a plugin a WordPress webhely 3.5 vagy újabb verzióján fut. A 3.5-ös vagy újabb verziót futtató WordPress webhelyek, az xmlrpc alapértelmezés szerint engedélyezve van. Továbbá az xmlrpc-t engedélyező és letiltó opció eltávolításra került. Számos oka van annak, hogy a tulajdonosok letilthatják a funkciót. Ezzel a bővítménnyel könnyen elvégezhető. Itt van, hogyan lehet telepíteni ezt a plugint–
- a plugin telepítéséhez fel kell töltenie az xmlrpc könyvtárat a /wp-content/plugins/könyvtárba a WordPress telepítése közben.
- a plugint a WordPress ‘Plugins’ menüjében aktiválhatja.
- ebben a szakaszban az xmlrpc le van tiltva.
Remove & letiltása XML-RPC Pingback
nem kell, hogy áldozata pingback szolgáltatásmegtagadási támadások. Miután aktiválta a plugint, az xml-rpc automatikusan le van tiltva. A legjobb dolog ebben a bővítményben az, hogy nem kell semmit konfigurálnia. Ha letiltja xmlrpc pingback, akkor képes lesz arra, hogy csökkentsék a szerver CPU használat.
telepítse a plugint a WordPress Irányítópult segítségével–
- a plugins irányítópulton navigálnia kell a ‘Új hozzáadása’.
- itt kell keresned a ‘Remove XMLRPC Pingback Ping’kifejezést.
- ebben a szakaszban meg kell nyomnia az ‘Install Now’gombot.
- most aktiválnia kell a plugint a plugin irányítópultján.
feltöltés WordPress irányítópulton–
- a plugin irányítópultján navigálnia kell a ‘Új hozzáadása’.
- ugrás a ‘feltöltés’ területre.
- itt kell kiválasztania az Eltávolítás-xmlrpc-ping lehetőséget.zip a laptop/számítógép.
- nyomja meg az ‘Install Now’gombot.
- most aktiválnia kell a plugint a plugin irányítópultján.
FTP használata–
- az első lépésben le kell töltenie az remove-xmlrpc-pingback-ping alkalmazást.zip.
- ki kell bontania az remove-xmlrpc-pingback-ping könyvtárat a laptopjára/számítógépére.
- ebben a szakaszban fel kell töltenie az remove-xmlrpc-pingback-ping könyvtárat a /wp-content/plugins/ könyvtárba.
- most aktiválnia kell a plugint a plugin irányítópultján.
Loginizer
ez az egyik leghatékonyabb WordPress plugin, amely segít a brutforce támadás elleni küzdelemben. A plugin ezt úgy teszi meg, hogy blokkolja az IP bejelentkezését, miután elérte a megengedett legmagasabb nyugdíjazást. Ennek a bővítménynek a segítségével könnyedén feketelistára vagy engedélyezőlistára teheti az IP-ket bejelentkezési célokra. Ön rendelkezik más funkciók használatával, mint például a-re, a jelszó nélküli bejelentkezés, a két tényező szerzője stb.
kövesse az alábbi lépéseket a plugin telepítéséhez–
- először is be kell jelentkeznie a WordPress adminisztrációs paneljére.
- a második lépés magában foglalja a Plugins fülre való belépést, majd az új hozzáadását.
- itt kell keresni a Loginizer alkalmazást.
- nyomja meg az Install Now gombot.
- a plugin aktiválásához meg kell nyomnia az Aktiválás gombot.
- LÉPJEN az irányítópultra, lépjen a Beállítások, majd a Loginizer elemre.
- Önön múlik, hogy konfigurálja-e a beállításokat, vagy az alapértelmezett beállításokat szeretné használni.
- ez megtörtént, és készen állsz.
Egyszerű bejelentkezés
csak egy véletlenszerű háromjegyű számra van szüksége a WordPress bejelentkezéshez. Láthatja a helyes számot, amely a mező felett jelenik meg egy JavaScript kód segítségével. A legjobb dolog a bővítményben az, hogy kompatibilis a WooCommerce bejelentkezési űrlappal.
nagyjából, mint minden más plugin, csak telepíteni és aktiválni kell a plugint. Hiányzik a Beállítások.
- először is meg kell látogatnia a bővítményeket új képernyő hozzáadása.
- a plugint az egyszerű bejelentkezés keresésével keresheti meg .
- nyomja meg az ‘Install Now’ gombot a plugin telepítéséhez.
- nyomja meg az ‘Aktiválás’ gombot a plugin aktiválásához.
XML-RPC letiltása keresztül .htaccess –
Apache webszerver szoftverről beszélünk, .a htaccess fájlok megváltoztatják a fájlok konfigurációját. Ennek eredményeként, mielőtt továbbadná a WordPress-nek, a hozzáférési kérelmek le vannak tiltva.
könnyen letilthatja az xmlrpc-t a WordPress programban az alább említett lépések végrehajtásával–
- a rendszer segítségével a File Transfer Protocol client-Filezilla, könnyen elérheti a honlapon.
- most hozzáférnie kell .htaccess a gyökérmappában.
- előfordulhat, hogy az alapértelmezett beállítások elrejtik a fájlt. Ha ilyen helyzetbe kerül, lépjen a beállításokhoz, és nyomja meg a ‘rejtett mappák megjelenítése’gombot. Meg kell győződnie arról, hogy elmentette a módosításokat. Ebben a szakaszban képesnek kell lennie a fájl megtekintésére.
- miután megnyitotta a fájlt, be kell írnia az alább említett kódot–
# Block WordPress xmlrpc.php requests<Files xmlrpc.php>order deny,allowdeny from allallow from 123.123.123.123</Files>
végül mentse el az összes változtatást, és jó lesz.
ha továbbra is kérdése vagy kétsége van az xmlrpc letiltásával kapcsolatban a WordPress programban, vegye fel velünk a kapcsolatot, és szakértői csapatunk segíteni fog.
olvassa el útmutatónkat is-a leggyakoribb WordPress hibák 2020
Egyéb WordPress kérdések & Javításaik:
- hogyan lehet kijavítani a halál fehér képernyőjét a WordPressben
- hogyan lehet kijavítani a fájl és mappa engedélyeinek hibáját WordPress
- hogyan lehet megvédeni a WordPress webhelyét 2020-ban
- hogyan lehet eltávolítani a “ezt a webhelyet feltörhetik” a WordPress-ből
- hogyan lehet törölni a rejtett Admin Felhasználót a WordPress-ben
- hogyan lehet törölni a rejtett Admin Felhasználót a WordPress-ben
- hogyan viselkedni erősít “a link, amit követett lejárt” a WordPress
- hogyan viselkedni Erősít Dugaszolható.php fájl hibák a WordPress – ben?
- a “feltöltés” javítása: Nem sikerült fájlt írni a lemezre “WordPress hiba
- hogyan lehet javítani “biztos benne, hogy ezt meg akarja tenni” WordPress
- hogyan lehet kijavítani az 503 szolgáltatás nem elérhető hibáját a WordPres-ben
- hogyan lehet kijavítani az elemzési hibát: szintaktikai hiba a WordPress-ben?
- hogyan erősít” ezt a fiókot felfüggesztették ” kérdés
- hogyan lehet eltávolítani a rosszindulatú programokat a feltört WordPress webhelyről
- hogyan lehet kijavítani a WordPress Malware Redirect Hack-et?
- Hogyan Lehet Eltávolítani Favicon .ICO hack WordPress
ezt a bejegyzést utoljára 7. szeptember 2020-én módosították