WordPressでXML-RPCを手動で無効にする方法とプラグイン?
WordPressはXMLRPCを無効にします
XMLRPC。PHPは、他のさまざまなアプリケーションからWordPressへのリモート更新を承認するシステムです。 WordPress Xmlrpcについてのこの投稿は、WordPress XMLRPCを無効にすることが良いアイデアである理由と、プラグインを使用して手動で&wordpressでxmlrpcを無効にする4つの方法を理
ワードプレスXMLRPCとは何ですか?
phpはWordPressへのリモート接続を可能にする機能です。 このAPIは、デスクトップアプリやモバイルアプリの開発者にWordPressウェブサイトと通信する機能を提供します。 このAPIを使用すると、次のようなwebインターフェイスを介してWordPressにログインしているたびに、多くのことを行うために権限を与えるアプリケー–
- 投稿用の画像などの新しいファイルをアップロードするたびに。
- コメントを編集するたびに。
- 投稿を編集するたびに。
- 投稿を削除するたびに。
- コメントのリストを取得するたびに。
xmlrpcをよりよく理解するために。phpファイルは、次の基本に精通していることが不可欠です–
- RPCはリモートプロシージャコールです-これは、ワークステーションまたはデバイスからリモートでプロシージャコールを呼び出すのに役立ちます。
- XML(Extensible Markup Language)–この特定の言語は、HTTPとほぼ同じように、データを格納および転送するためにフレーム化されています。
- HTTP(Hyper Text Transfer Protocol)–メッセージのフォーマット方法を定義し、World Wide Web上でさらに送信するアプリケーションプロトコルです。 また、このプロトコルは、コマンドに応答してwebサーバーとブラウザーの両方のアクションを決定します。 この場合、HTTPの助けを借りて、データをリモートデバイスからwebサイトに簡単に転送することができます。
- PHP(Hypertext Pre-processor)–スクリプトとプログラミング言語です。 この特定の言語は、主に動的なwebサイトを提供しています。 これは、
- ユーザー
- ウェブサイト
- データベース
の間の会話を打つために使用されます。phpファイルリモートプロシージャコールが容易になります。 これは、XMLを使用してメッセージをエンコードし、HTTP経由で送信するために行われます。 これを使用して、デバイスまたはコンピュータ間で情報を交換することができます。
WordPressでXML-RPCを無効にする理由
リモートでトリガーされる単一のコマンドでwebサイトを更新するのは驚くべきことですが。 しかし残念なことに、それはまた大きな赤い旗を上げます、そしてそれはまさにWordPressのXML-RPC関数で起こったことです。
当初、この機能をwordpressに含めることは良い考えでしたが、すぐにハッカー、スクリプトボット、またはwordpressサイトにアクセスしようとする人のためにwordpressにバックドアを開く可能性があることに気付きました。 WordPress3.5より前は、この機能はデフォルトで無効になっていましたが、最近ではwordpress xmlrpsがデフォルトでオンになっています。
間違いなく、これはwordpressで最も虐待された機能となっています。 これは、ハッカー、ボットやスクリプトからの障害のある要求の負荷につながる可能性があり、すべての組織化されたXML-RPC WordPressのDDOS攻撃を介してWordPressのサイ
一般的なXML-RPC攻撃
過去2年間で、XMLRPCに対する2つの攻撃が非常に広範囲に及んでいるため、詳細に説明しましょう。–
- XML-RPCを介したブルートフォース攻撃-ハッカーがログイン試行制限に達したら、ハッカーをブロックするだけなので、WP hacked helpの専門家のガイダンスがあれば心配す 攻撃ごとに、ハッカーはxmlrpcの助けを借りてWordPressのウェブサイトにログインしようとします。php。 以下では、これがどのように行われ、潜在的なWordPressの脆弱性についてウェブサイトをテストしている間にこれをどのように活用するかを詳しく見てみ 単一のコマンドを使用すると、ハッカーは何百もの異なるパスワードを調べることができます。 その結果、wordpressのブルートフォース攻撃を検出してブロックするセキュリティツールをバイパスすることができます。 あなたは私たちのWordPressのセキュリティサービスでハッカーからあなたのウェブサイ
- XML-RPCピングバックを介したDDoS–これは効果的なタイプのDDoSとは言えず、多数のスパム対策プラグインがこのタイプの乱用を正常に発見することができました。 これにより、ハッカーは一度に何千ものサイトにピングバックを送信するためのWordPressのピングバック機能を使用していました。 このxmlrpc。php機能は、DDoS攻撃を送信するために多数のIPアドレスを持つハッカーを提供しています。
BrutForce Attack
1–xmlrpcを開くとき。php、あなたはこれがに位置して表示されます–
http://<xyz.com>/<wordpress directory>/xmlrpc.php
2- 今、あなたのプロキシを開き、あなたは再び要求を送信する必要があります。
3- この段階では、post要求を送信し、すべてのメソッドのリストをアクセス可能にする必要があります。 あなたはなぜ疑問に思うかもしれませんか? これは、攻撃のためにそれを作成して使用することが可能なすべてのアクションに精通している方法です。
すべてのメソッドを一覧表示するには、以下の画像に記載されているpostデータを使用してpostリクエストを送信する必要があります。
<methodCall><methodName>system.listMethods</methodName><params></params></methodCall>
以下を詳しく見てみましょう、もし彼らがあなたと一緒にいるなら、私たちは攻撃を進めることができます
*)wp.getUserBlogs*)wp.getCategories*)metaWeblog.getUsersBlogs
3- ブルートフォースログインを実行するには、POSTリクエストで以下を送信する必要があります。 あなたが他の有効なユーザー名を認識している場合は、wp-scanは、あなたが有効なユーザー名を見つけることができます。
<methodCall><methodName>wp.getUsersBlogs</methodName><params><param><value>admin</value></param><param><value>pass</value></param></params></methodCall>
4 – あなたは離れて侵入者とブルートフォースにこれを入力する必要があるすべて。 それはあなたが正しいパスワードを入力したか間違っているかどうかは問題ではありません、あなたは正しい応答を持つことになります。 これは、応答のサイズに基づいて間違ったものと正しいものの間で決定する必要がある場所です。 Intruderを使用している場合、正しいログイン時の応答は次のようになります–
XML-RPCは
XMLRPCのために何が使用できるのか、それらについて議論しましょう–
- ピングバックとトラックバックを適用する-この方法に従って、ブログはあなたがそれらにリンクしていることが通知されています。 XMLRPCトラックバックは手動で作成され、短い抽出を共有する必要があります。 XMLRPCピングバックは自動化されており、短い抽出を共有する必要はありません。
- あなたのウェブサイトにリモートでアクセスし、変更を加えることができるの提供–私たちはあなたがあなたのWordPressのブログに変更を加えなければな
スマートフォンにWordPressアプリケーションをインストールしてウェブサイトに投稿することができます。 アプリは、xmlrpcとして知られているファイルによって有効にされているリモートアクセスとして知られている機能の助けを借りてこれを行うこphp。
- JetpackプラグインをWordPressに接続できるようにします。com-過去数年間で、プラグインは、世界中で絶大な人気を得ています。 JetPackプラグインを使用すると、WordPressのウェブサイトを設計、保護、成長することができます。 WordPressアプリとJetPackの統合を使用する場合は、xmlrpcが必要になります。その円滑な機能のためのphpファイル。
WordPressでXMLRPCを無効にする方法は?
なぜxmlrpcを完全に無効にしないのですか
上で説明したプラグインの助けを借りてこれを行うのは簡単ですが、JetPackのような有名なプラグインを使
ここでは、WordPressウェブサイトでXML-RPCを簡単に無効にする3つの方法について説明します。WordPress3.5でXML-RPCを無効にする
次のコードをサイト固有のプラグインに貼り付けるだけです:
1
|
add_filter( 'xmlrpc_enabled' , '__return_false' ); |
プラグインでXML-RPCを無効にする-
WordPressリポジトリには複数のプラグインがあるため、xmlrpcを無効にします。phpは簡単になります-peasy。 私たちは、”xmlrpcプラグインを無効にする”の助けを借りて、ステップバイステップで、それを行う方法をお見せしようとしています。
- 最初のステップでは、wp-adminダッシュボードにログインする必要があります。 ログインしたら、プラグインに移動する必要があります。
- プラグインの横に新しい追加が表示されます。
検索バーの助けを借りて、あなたはdisable Xmlrpcを探す必要があります。 結果に次のプラグインが表示される必要があります–
これは、無効xmlrpcプラグインを有効にしてインストールする必要がある場所です。 プラグインを有効にすると、xmlrpc機能は無効になります。 WordPressウェブサイトのバージョンは3.5以上である必要があります。
プラグインは無料なので、プラグインが受け取る定期的な更新をチェックし、作成者がまだ使用していることを確認する必要があります。
WordPress Xmlrpcプラグインを無効にする
Xml-RPCを無効にする
このプラグインは、3.5以上で実行されているWordPressのウェブサイトのバージョンで動作します。 バージョン3.5以上で実行されているWordPressのウェブサイトでは、xmlrpcはデフォルトで有効になっています。 さらに、xmlrpcを有効または無効にするオプションが削除されました。 所有者が機能を無効にしたい場合がある理由はたくさんあります。 このプラグインを使用すると、簡単に行うことができます。 ここでは、このプラグインをインストールする方法です–
- このプラグインをインストールするには、WordPressのインストール中にxmlrpcディレクトリを/wp-content/plugins/ディレクトリにアップロードする必要があります。
- WordPressの”プラグイン”メニューからプラグインを有効にすることができます。
- この段階では、xmlrpcは無効になっています。
Remove&Disable XML-RPC Pingback
ピングバックサービス拒否攻撃の犠牲者である必要はありません。 プラグインを有効にすると、xml-rpcは自動的に無効になります。 このプラグインについての最もよい事はあなたが何も設定する必要がないということです。 Xmlrpcピングバックを無効にすると、サーバーのCPU使用率を削減できます。
WordPressダッシュボードを使用してプラグインをインストールします–
- プラグインダッシュボードでは、”新規追加”に移動する必要があります。
- これは、’Remove XMLRPC Pingback Ping’を探す必要がある場所です。
- この段階では、”今すぐインストール”をヒットする必要があります。
- ここで、プラグインダッシュボードでプラグインを有効にする必要があります。
–
- プラグインダッシュボードでは、”新規追加”に移動する必要があります。
- “アップロード”エリアに移動します。
- ここでremove-xmlrpc-pingを選択する必要があります。あなたのラップトップ/コンピュータからzip。
- あなたは’今すぐインストール’をヒットする必要があります。
- ここで、プラグインダッシュボードでプラグインを有効にする必要があります。
FTPを使用して–
- 最初のステップでは、remove-xmlrpc-pingback-pingをダウンロードする必要があります。ジップ
- remove-xmlrpc-pingback-pingディレクトリをラップトップ/コンピュータに抽出する必要があります。
- この段階では、remove-xmlrpc-pingback-pingディレクトリを/wp-content/plugins/ディレクトリにアップロードする必要があります。
- ここで、プラグインダッシュボードでプラグインを有効にする必要があります。
Loginizer
これは、あなたがbrutforce攻撃と戦うのに役立ちます最も効果的なWordPressのプラグインの一つです。 プラグインは、許可された最高の退職者に達した後、IPのログインをブロックすることによってこれを行います。 このプラグインの助けを借りて、あなたは簡単にブラックリストまたはログイン目的のためのIpをホワイトリストすることができます。 Re、PasswordLess Login、Two Factor Authorなどの他の機能を使用することができます。
プラグインをインストールするには、以下の手順に従ってください–
- まず第一に、あなたはあなたのWordPressの管理パネルにログインする必要があります。
- 第二のステップは、プラグインタブに移動し、その後、新しい追加に移動することを含みます。
- これはLoginizerを探す必要がある場所です。
- 今すぐインストールのボタンを押してください。
- プラグインを有効にするには、Activateのボタンを押す必要があります。
- ダッシュボードに移動し、設定に移動してからLoginizerに移動します。
- 設定を構成するか、デフォルト設定を使用するかはあなた次第です。
- これで完了し、準備が整いました。
シンプルログイン
必要なのは、WordPressのログインのためのランダムな三桁の数字です。 JavaScriptコードを使用して、フィールドの上に表示される正しい番号を確認できます。 プラグインについての最もよい事は、それがWooCommerceログインフォームと互換性があるということです。
他のプラグインとほとんど同じように、プラグインをインストールして有効にするだけです。 それは設定を欠いています。
- まず、プラグインの新しい追加画面にアクセスする必要があります。
- 簡単なログインでプラグインを探すことができます。
- “今すぐインストール”のボタンを押してプラグインをインストールします。
- ‘Activate’のボタンを押してプラグインをアクティブにします。
経由でXML-RPCを無効にします。htaccess–
Apache webサーバーソフトウェアについて話します。htaccessファイルは、ファイルの設定を変更します。 その結果、WordPressに渡される前に、アクセス要求は無効になります。
WordPressでxmlrpcを簡単に無効にするには、以下の手順を実行します–
- File Transfer Protocol client-Filezillaの助けを借りて、あなたは簡単にあなたのウェブサイトにアクセスすることができます。
- 今、あなたはアクセスする必要があります。ルートフォルダ内のhtaccess。
- デフォルト設定でファイルが非表示になる場合があります。 このような状況に遭遇した場合は、設定に移動し、”隠しフォルダを表示”のボタンを押してください。 変更を保存したことを確認する必要があります。 この段階で、あなたはあなたのファイルを見ることができるはずです。
- ファイルを開いたら、以下のコードを入力する必要があります–
# Block WordPress xmlrpc.php requests<Files xmlrpc.php>order deny,allowdeny from allallow from 123.123.123.123</Files>
最後に、あなたが行ったすべての変更を保存し、あなたが行ってもいいです。
WordPressでxmlrpcを無効にする方法についてまだ質問や疑問がある場合は、私たちと連絡を取ることができ、私たちの専門家チームがあなたを助けます。
また、上の私たちのガイドをチェックアウト–最も一般的なWordPressのエラーで2020
その他のWordPressの問題&それらの修正:
この投稿は2020年9月7日に最後に変更されました