Come disabilitare XML-RPC in WordPress manualmente e plugin?
WordPress Disabilita XMLRPC
Il XMLRPC.PHP è un sistema che autorizza gli aggiornamenti remoti di WordPress da varie altre applicazioni. Questo post su WordPress Xmlrpc ti aiuterà a capire perché disabilitare WordPress XMLRPC è una buona idea e 4 modi per disabilitare xmlrpc in wordpress, manualmente & usando i plugin.
Che cos’è WordPress XMLRPC?
XMLRPC.php è una funzionalità che consente la connessione remota a WordPress. Questa API offre agli sviluppatori di app desktop e app mobili la possibilità di comunicare con il tuo sito web WordPress. Questa API offre agli sviluppatori di scrivere applicazioni che consentono di fare numerose cose ogni volta che si è connessi a WordPress attraverso l’interfaccia web tra cui–
- Ogni volta che carichi un nuovo file come un’immagine per un post.
- Ogni volta che si modificano i commenti.
- Ogni volta che si modifica un post.
- Ogni volta che si elimina un post.
- Ogni volta che si pubblica un post.
- Ogni volta che si ottiene un elenco di commenti.
Per avere una migliore comprensione del xmlrpc.file php, è indispensabile avere familiarità con le seguenti nozioni di base–
- RPC è chiamata procedura remota: consente di chiamare una procedura in remoto da una workstation o da un dispositivo.
- XML (Extensible Markup Language) – Questo particolare linguaggio è incorniciato per memorizzare e trasportare dati, più o meno come HTTP.
- HTTP (Hyper Text Transfer Protocol) – Si tratta di un protocollo di applicazione che definisce come i messaggi saranno formattati e ulteriormente trasmessi sul World Wide Web. Il protocollo determina anche le azioni dei server Web e dei browser in risposta ai comandi. In questo caso, con l’aiuto di HTTP, i dati possono essere facilmente trasferiti da un dispositivo remoto a un sito web.
- PHP (Hypertext Pre-processor) – È un linguaggio di scripting e programmazione. Questo particolare linguaggio serve principalmente siti web dinamici. Viene utilizzato per colpire una conversazione tra –
- L’utente
- Il sito web
- I database
Quindi, tecnicamente parlando, con xmlrpc.file php una chiamata di procedura remota viene facilitata. Questo viene fatto usando XML per codificare il messaggio e inviarlo attraverso HTTP. Utilizzando questo, le informazioni possono essere scambiate tra dispositivi o computer.
Perché dovresti disabilitare XML-RPC in WordPress
Anche se sembra incredibile aggiornare un sito Web con un singolo comando che viene attivato da remoto. ma sfortunatamente, solleva anche una grande bandiera rossa, ed è esattamente quello che è successo con la funzione XML-RPC in WordPress.
Inizialmente, è stata una buona idea includere questa funzionalità in wordpress, ma presto si è capito che potrebbe aprire una backdoor in wordpress per hacker, bot di script o chiunque cerchi di accedere al tuo sito wordpress per entrare e abusarne. Prima di WordPress 3.5, questa funzionalità era disabilitata per impostazione predefinita, ma subito dopo al giorno d’oggi wordpress xmlrps è attivato per impostazione predefinita.
Senza dubbio, questa è diventata la funzionalità più abusata su wordpress. Può causare un sacco di richieste errate da hacker, bot e script, tutti cercando di hackerare il tuo sito WordPress tramite un attacco DDOS WordPress XML-RPC organizzato.
Attacchi XML-RPC comuni
Negli ultimi due anni, a seguito di due attacchi su XMLRPC hanno ricevuto una copertura immensa, cerchiamo di discuterne in dettaglio–
- Attacchi di forza bruta tramite XML-RPC – Non devi preoccuparti se hai la guida esperta di WP hacked help perché una volta che l’hacker ha raggiunto il limite del tentativo di accesso, blocchiamo semplicemente l’hacker. Come per l’attacco, l’hacker cerca di accedere al tuo sito web WordPress con l’aiuto di xmlrpc.PHP. Vediamo, in dettaglio di seguito, come questo è fatto e come si sta andando a trarre vantaggio da questo mentre si sta testando un sito web per potenziali vulnerabilità di WordPress. Con un singolo comando, gli hacker possono esaminare centinaia di password diverse. Di conseguenza, ciò consente loro di bypassare gli strumenti di sicurezza che rilevano e bloccano gli attacchi di forza bruta in wordpress. Puoi proteggere il tuo sito web dagli hacker con i nostri servizi di sicurezza WordPress.
- DDoS via XML-RPC pingbacks – Questo non può essere definito come un tipo efficace di DDoS e numerosi plugin anti-spam sono stati in grado di scoprire con successo questo tipo di abuso. Con questo, gli hacker stavano usando la funzione pingback in WordPress per l’invio di pingback a migliaia di siti contemporaneamente. Questo xmlrpc.funzione php offre agli hacker con numerosi indirizzi IP per inviare i loro attacchi DDoS.
Attacco BrutForce
1 – Quando apri xmlrpc.php, vedrai questo situato a–
http://<xyz.com>/<wordpress directory>/xmlrpc.php
2- Ora, apri il tuo proxy e devi inviare nuovamente la richiesta.
3- In questa fase, è necessario inviare una richiesta post e creare un elenco di tutti i metodi accessibili. Ci si potrebbe chiedere perché? Questo è come si sta per avere familiarità con tutte le azioni che sono possibili per fare e usarlo per l’attacco.
Per elencare tutti i metodi, è necessario inviare una richiesta post con i dati post menzionati di seguito nell’immagine, riceverai un feedback con tutti i metodi disponibili.
<methodCall><methodName>system.listMethods</methodName><params></params></methodCall>
Dai un’occhiata più da vicino a quanto segue, se sono con voi allora possiamo andare avanti con l’attacco
*)wp.getUserBlogs*)wp.getCategories*)metaWeblog.getUsersBlogs
3- È necessario inviare quanto segue nella richiesta POST al fine di effettuare il login forza bruta. Se sei a conoscenza di altri nomi utente validi, wp-scan può aiutarti a trovare nomi utente validi.
<methodCall><methodName>wp.getUsersBlogs</methodName><params><param><value>admin</value></param><param><value>pass</value></param></params></methodCall>
4 – Tutto ciò che serve per entrare in questo intruso e forza bruta via. Non importa se hai inserito una password corretta o sbagliata, finirai per avere una risposta corretta. Questo è dove si dovrà decidere tra il sbagliato e corretto in base alla dimensione della risposta. Nel caso In cui si utilizza un intruso, la risposta corretta login sarà come il seguente–
Cosa Può XML-RPC Essere Utilizzato Per
XMLRPC ha la sua giusta quota di usi, cerchiamo di discutere di loro–
- Applicare trackbacks pingbacks e – secondo questo metodo, i blog sono in fase di notifica che si sono collegati a loro. I trackback XMLRPC sono fatti manualmente e l’estratto breve deve essere condiviso. I pingback XMLRPC sono automatizzati e non è necessario condividere alcun breve estratto.
- Fornitura di accesso al tuo sito Web in remoto e in grado di apportare modifiche – Assumiamo una situazione in cui devi apportare modifiche al tuo blog WordPress, ma sfortunatamente non hai accesso al tuo laptop o computer.
Puoi installare l’applicazione WordPress sul tuo smartphone per pubblicare sul tuo sito web. L’applicazione può effettuare questo con l’aiuto di una funzione nota come accesso remoto che è abilitato da un file noto come xmlrpc.PHP.
- Abilita il plugin JetPack per connettersi a WordPress.com-Negli ultimi due anni, il plugin ha riscosso un enorme successo in tutto il mondo. Con il plugin JetPack, puoi progettare, proteggere e far crescere il tuo sito web WordPress. Se si utilizza una fusione dell’applicazione WordPress e JetPack, è necessario il xmlrpc.file php per il suo buon funzionamento.
Come disabilitare XMLRPC in WordPress?
Perché non disabilitare completamente xmlrpc
È facile farlo con l’aiuto del plugin discusso sopra; tuttavia, se usi plugin famosi come JetPack, quei plugin smetteranno di funzionare completamente.
Questo è dove discuteremo tre modi con cui si può facilmente disabilitare XML-RPC nel sito WordPress.
Disattiva XML-RPC in WordPress 3.5
Tutto quello che dovete fare è incollare il codice riportato di seguito in un sito-specifici plugin:
1
|
add_filter( 'xmlrpc_enabled' , '__return_false' ); |
la Disattivazione di XML-RPC con un plugin –
Dato che ci sono diversi plugin nel repository di WordPress, la disattivazione xmlrpc.php sarà facile-peasy. Vi mostreremo come farlo, passo dopo passo, con l’aiuto di ‘disable xmlrpc plugin’.
- Nel primo passaggio, è necessario accedere al dashboard di wp-admin. Una volta effettuato l’accesso, devi andare su Plugins.
- Vedrai aggiungi nuovo accanto ai plugin.
Con l’aiuto di una barra di ricerca, è necessario cercare disable Xmlrpc. Hai bisogno di vedere il seguente plugin nei risultati–
Questo è dove è necessario attivare e installare un plugin disable xmlrpc. Una volta attivato il plugin, la funzione xmlrpc verrà disabilitata. La versione del tuo sito web WordPress deve essere 3.5 e superiore.
Dal momento che il plugin è gratuito, quindi si dovrebbe tenere un controllo sugli aggiornamenti regolari che il plugin riceve, assicurando che sia ancora in uso dal suo creatore.
WordPress Disabilita i plugin Xmlrpc
Disabilita XML-RPC
Questo plugin funzionerà sulla versione del sito web di WordPress in esecuzione su 3.5 o superiore. Siti web WordPress in esecuzione sulla versione 3.5 o superiore, xmlrpc è abilitato per impostazione predefinita. Inoltre, l’opzione che abilita e disabilita xmlrpc è stata rimossa. Ci sono numerosi motivi per cui i proprietari potrebbero voler disabilitare la funzionalità. Utilizzando questo plugin, può essere fatto facilmente. Ecco come è possibile installare questo plugin–
- Per installare questo plugin, è necessario caricare la directory xmlrpc nella directory /wp-content/plugins/mentre si installa WordPress.
- È possibile attivare il plugin passando attraverso il menu ‘Plugin’ in WordPress.
- In questa fase il tuo xmlrpc è disabilitato.
Rimuovi & Disabilita XML-RPC Pingback
Non devi essere vittima di attacchi denial of service pingback. Una volta attivato il plugin, xml-rpc viene disattivato automaticamente. La cosa migliore di questo plugin è che non c’è bisogno di configurare nulla. Quando disabiliti il pingback xmlrpc, sarai in grado di ridurre l’utilizzo della CPU del server.
Installa il plugin utilizzando la dashboard di WordPress–
- Nella dashboard dei plugin, è necessario passare a “Aggiungi nuovo”.
- Questo è dove è necessario cercare ‘Remove XMLRPC Pingback Ping’.
- In questa fase, è necessario premere ‘Installa ora’.
- Ora, è necessario attivare il plugin sul plugin dashboard.
Caricamento nella dashboard di WordPress–
- Nella dashboard del plugin, è necessario passare a “Aggiungi nuovo”.
- Sposta nell’area “Carica”.
- Questo è dove è necessario selezionare remove-xmlrpc-ping.zip dal vostro computer portatile / computer.
- È necessario premere ‘Installa ora’.
- Ora, è necessario attivare il plugin sul plugin dashboard.
Utilizzando FTP–
- Nel primo passaggio, è necessario scaricare remove-xmlrpc-pingback-ping.zip.
- Devi estrarre la directory remove-xmlrpc-pingback-ping sul tuo laptop/computer.
- In questa fase, è necessario caricare la directory remove-xmlrpc-pingback-ping nella directory /wp-content/plugins/.
- Ora, è necessario attivare il plugin sul plugin dashboard.
Loginizer
Questo è uno dei plugin WordPress più efficaci che ti aiuta a combattere contro un attacco brutforce. Il plugin fa questo bloccando il login per l’IP una volta che ha raggiunto il più alto retires consentito. Con l’aiuto di questo plugin, si può facilmente blacklist o whitelist IP per scopi di login. Hai la possibilità di utilizzare altre funzionalità come – re, accesso senza password, Autore a due fattori, ecc.
Segui i passaggi indicati di seguito per installare il plugin–
- Prima di tutto, devi accedere al tuo pannello di amministrazione di WordPress.
- Il secondo passo consiste nell’andare alla scheda Plugin, passando successivamente ad Aggiungere Nuovi.
- Questo è dove devi cercare Loginizer.
- Premi il pulsante Installa ora.
- Per attivare il plugin, è necessario premere il pulsante di Attivazione.
- Vai alla tua dashboard, passando a Impostazioni, quindi a Loginizer.
- Spetta a voi se si desidera configurare le impostazioni o si desidera utilizzare le impostazioni predefinite.
- Questo è fatto e si è pronti ad andare.
Semplice Login
Tutto ciò che serve è un numero casuale a tre cifre per WordPress login. È possibile vedere il numero corretto che viene visualizzato sopra il campo attraverso un codice JavaScript. La cosa migliore del plugin è che è compatibile con il modulo di accesso WooCommerce.
Praticamente come qualsiasi altro plugin, è sufficiente installare e attivare il plugin. Manca di impostazioni.
- In primo luogo, è necessario visitare il plugin Aggiungere nuova schermata.
- Puoi cercare il plugin cercando il Login semplice .
- Premi il pulsante “Installa ora” per installare il plugin.
- Premi il pulsante “Attiva” per attivare il plugin.
Disabilitazione di XML-RPC tramite .htaccess –
Parlando di software server web Apache, .i file htaccess modificano la configurazione dei file. Di conseguenza, prima che venga passato a WordPress, le richieste di accesso sono disabilitate.
Puoi facilmente disabilitare xmlrpc in WordPress seguendo i passaggi seguenti–
- Con l’aiuto di File Transfer Protocol client-Filezilla, puoi facilmente accedere al tuo sito web.
- Ora, è necessario accedere .htaccess nella cartella principale.
- Ci può essere una situazione in cui le impostazioni predefinite possono nascondere il file. Se ti imbatti in una situazione del genere, vai alle impostazioni e premi il pulsante “Mostra cartelle nascoste”. È necessario assicurarsi di aver salvato le modifiche. In questa fase, si dovrebbe essere in grado di visualizzare il file.
- Una volta aperto il file, è necessario digitare il codice indicato di seguito–
# Block WordPress xmlrpc.php requests<Files xmlrpc.php>order deny,allowdeny from allallow from 123.123.123.123</Files>
Infine, salvare tutte le modifiche apportate e siete a posto.
Se hai ancora qualche domanda o dubbio su come disabilitare xmlrpc in WordPress, puoi metterti in contatto con noi e il nostro team di esperti ti aiuterà.
Controlla anche la nostra GUIDA sugli errori WordPress più comuni in 2020
Altri problemi di WordPress & Le loro correzioni:
- Come Risolvere Schermo Bianco della Morte in WordPress
- Come Risolvere Autorizzazioni di File E Cartelle Errore di WordPress
- Come Proteggere il Vostro Sito WordPress nel 2020
- Come Rimuovere “Questo Sito Potrebbe Essere Violato” Da WordPress
- Come Eliminare Nascosto Utente Admin di WordPress
- Come risolvere “Il link che hai seguito è scaduto” in WordPress
- Come Risolvere Pluggable.errori di file php in WordPress?
- Come risolvere ” Upload: Impossibile scrivere il file su disco “Errore WordPress
- Come risolvere” Sei sicuro di voler fare questo ” WordPress
- Come risolvere 503 Errore di servizio non disponibile in WordPres
- Come risolvere errore di analisi: Errore di sintassi in WordPress?
- Come risolvere “Questo account è stato sospeso” problema
- Come rimuovere il malware dal sito WordPress hacked
- Come risolvere WordPress Malware Redirect Hack?
- Come rimuovere Favicon .ico hack in WordPress
Questo post è stato modificato l’ultima volta il 7 settembre 2020