Slik Deaktiverer DU XML-RPC I WordPress Manuelt Og Plugins ?
WordPress Deaktiver XMLRPC
XMLRPC.PHP er et system som tillater eksterne oppdateringer Til WordPress fra ulike andre applikasjoner. Dette innlegget Om WordPress Xmlrpc vil hjelpe deg å forstå hvorfor deaktivere WordPress XMLRPC er en god ide og 4 måter å deaktivere xmlrpc i wordpress, manuelt & ved hjelp av plugins.
Hva Er WordPress XMLRPC?
XMLRPC.php er en funksjon som tillater ekstern tilkobling Til WordPress. DENNE API tilbyr utviklere av desktop apps og mobile apps en evne til å kommunisere Til Din WordPress nettsted. DENNE API tilbyr utviklere å skrive programmer som gir deg mulighet til å gjøre mange ting når Du er logget Inn På WordPress via webgrensesnitt, inkludert–
- når du laster opp en ny fil, for eksempel et bilde for et innlegg.
- når du redigerer kommentarer.
- når du redigerer et innlegg.
- når du sletter et innlegg.
- når du publiserer et innlegg.
- Når du får en liste over kommentarer.
for å få en bedre forståelse av xmlrpc.php-fil, er det viktig å være kjent med følgende grunnleggende–
- RPC er Remote Procedure Call – dette hjelper deg å ringe en prosedyre eksternt fra en arbeidsstasjon eller en enhet.
- XML (Extensible Markup Language) – dette bestemte språket er innrammet for å lagre og transportere data, ganske MYE SOM HTTP.
- HTTP (Hyper Text Transfer Protocol) – DET er en applikasjonsprotokoll som definerer hvordan meldingene skal formateres og videre overføres over World Wide Web. Protokollen bestemmer også handlingene til både webservere og nettlesere som svar på kommandoene. I DETTE tilfellet, VED HJELP AV HTTP, kan dataene enkelt overføres fra en ekstern enhet til et nettsted.
- PHP (Hypertext Pre-processor) – DET er et skripting og programmeringsspråk. Dette bestemte språket serverer hovedsakelig dynamiske nettsteder. Den brukes til å finne en samtale mellom –
- brukeren
- nettstedet
- databasene
så teknisk sett med xmlrpc.php-fil en ekstern prosedyre samtale blir tilrettelagt. DETTE gjøres VED HJELP AV XML for å kode meldingen og sende DEN OVER HTTP. Ved hjelp av dette kan informasjon utveksles mellom enheter eller datamaskiner.
HVORFOR bør DU deaktivere XML-RPC I WordPress
selv om det høres utrolig ut å oppdatere et nettsted med en enkelt kommando som utløses eksternt. men dessverre reiser det også et stort rødt flagg , og det er akkurat det som skjedde MED XML-RPC-funksjonen I WordPress.
I Utgangspunktet var det en god ide å inkludere denne funksjonaliteten i wordpress, men snart ble det innsett at det kan åpne en bakdør i wordpress for hackere, skriptbots eller noen som prøver å få tilgang til wordpress-nettstedet ditt for å komme inn og misbruke det. Før WordPress 3.5 ble denne funksjonaliteten deaktivert som standard, men kort tid etter i dag er wordpress xmlrps slått på som standard.
Uten tvil har dette Blitt den mest misbrukte funksjonaliteten på wordpress. Det kan føre til mange feilaktige forespørsler fra hackere, bots og skript, som alle prøver å hacke Inn I WordPress-nettstedet ditt via et organisert XML – Rpc WordPress DDOS-angrep.
Vanlige XML – Rpc-Angrep
i de siste to årene, etter to angrep PÅ XMLRPC har fått enorm dekning, la oss diskutere dem i detalj–
- Brute force attacks via XML-RPC – du trenger ikke å bekymre deg hvis DU har kyndig veiledning AV WP hacket hjelp fordi når hackeren har nådd påloggingsforsøk grensen, vi bare blokkere hacker. I henhold til angrepet prøver hackeren å logge inn På WordPress-nettstedet ditt ved hjelp av xmlrpc.php. La oss se, i detalj nedenfor, hvordan dette gjøres og hvordan du skal dra nytte av dette mens du tester et nettsted for potensielle WordPress sårbarheter. Med en enkelt kommando kan hackere undersøke hundrevis av forskjellige passord. Som et resultat gjør dette dem i stand til å omgå sikkerhetsverktøy som oppdager og blokkerer brute force-angrep i wordpress. Du kan beskytte nettstedet ditt mot hackere med Våre WordPress Sikkerhetstjenester.
- DDoS via XML-RPC pingbacks-Dette kan ikke betegnes som en effektiv Type DDoS og mange anti-spam plugins var i stand til å oppdage denne typen misbruk. Med dette brukte hackere pingback-funksjonen I WordPress for å sende pingbacks til tusenvis av nettsteder samtidig. Dette xmlrpc.php-funksjonen tilbyr hackere med MANGE IP-adresser for å sende Sine DDoS-angrep.
BrutForce Angrep
1 – Når du åpner xmlrpc.php, vil du se dette ligger på–
http://<xyz.com>/<wordpress directory>/xmlrpc.php
2- nå, åpne proxy og du må sende forespørselen på nytt.
3- På dette stadiet må du sende en postforespørsel og lage en liste over alle metoder som er tilgjengelige for deg. Du lurer kanskje på hvorfor? Dette er hvordan du kommer til å bli kjent med alle handlinger som er mulig å gjøre og bruke den for angrepet.
for å liste alle metodene må du sende en postforespørsel med postdataene nevnt nedenfor i bildet, du vil motta en tilbakemelding med alle tilgjengelige metoder.
<methodCall><methodName>system.listMethods</methodName><params></params></methodCall>
Ta en nærmere titt på følgende, hvis de er med deg så kan vi gå videre med angrepet
*)wp.getUserBlogs*)wp.getCategories*)metaWeblog.getUsersBlogs
3- Du må sende følgende i POST-forespørselen for å kunne utføre brute force-pålogging. Hvis du er klar over andre gyldige brukernavn, kan wp-scan hjelpe deg med å finne gyldige brukernavn.
<methodCall><methodName>wp.getUsersBlogs</methodName><params><param><value>admin</value></param><param><value>pass</value></param></params></methodCall>
4 – Alt du trenger å skrive inn dette i inntrenger og brute force unna. Det spiller ingen rolle om du har skrevet inn riktig passord eller feil, du vil ende opp med å ha et riktig svar. Det er her du må bestemme mellom feil og riktig basert på størrelsen på svaret. I tilfelle du bruker inntrenger, svaret på riktig innlogging vil være som følgende–
HVA KAN XML-RPC Brukes til
XMLRPC har sin rettferdige andel av bruksområder, la oss diskutere dem–
- Bruk pingbacks og trackbacks – i henhold til denne metoden blir blogger varslet om at du har koblet til dem. XMLRPC trackbacks er laget manuelt og kort ekstrakt må deles. XMLRPC pingbacks er automatisert og ingen kort ekstrakt må deles.
- Tilgang til nettstedet ditt eksternt og i stand til å gjøre endringer – La oss anta en situasjon der du må gjøre endringer I WordPress-bloggen din, men dessverre har du ikke tilgang til din bærbare eller datamaskin.
Du kan installere WordPress-programmet på smarttelefonen for å legge inn på nettstedet ditt. Appen kan utføre dette ved hjelp av en funksjon kjent som ekstern tilgang som er aktivert av en fil kjent som xmlrpc.php.
- Aktiverer JetPack plugin for å koble Til WordPress.com-i de siste par årene, plugin har fått enorme popularitet over hele verden. Med JetPack plugin kan du designe, sikre Og utvide WordPress-nettstedet ditt. Hvis Du bruker en sammenslåing Av WordPress-appen og JetPack, trenger du xmlrpc.php-fil for sin velfungerende.
slik deaktiverer DU XMLRPC I WordPress?
hvorfor ikke bare deaktivere xmlrpc helt
det er lett å gjøre dette ved hjelp av plugin diskutert ovenfor; men hvis du bruker kjente plugins Som JetPack da disse plugins vil slutte å fungere helt.
Det er her vi vil diskutere tre måter å bruke som du enkelt kan deaktivere XML-RPC I WordPress nettsted.
Deaktiver XML-RPC I WordPress 3.5
alt du trenger å gjøre er å lime inn følgende kode i en stedsspesifikk plugin:
1
|
add_filter( 'xmlrpc_enabled' , '__return_false' ); |
Deaktivering AV XML-RPC med et plugin –
Siden det er flere plugins i WordPress-depotet, deaktiverer xmlrpc.php vil være lett-peasy. Vi skal vise deg hvordan du gjør det, trinnvis, ved hjelp av ‘deaktiver xmlrpc plugin’.
- i det første trinnet må du logge inn på wp-admin dashbordet. Når du har logget inn, må du gå Til Plugins.
- du vil se legg til ny ved siden av plugins.
ved hjelp av et søkefelt må du se etter deaktiver Xmlrpc. Du må se følgende plugin i resultatene–
Det er her du må aktivere og installere en deaktiver xmlrpc plugin. Når du aktiverer plugin, vil xmlrpc funksjonen bli deaktivert. Versjonen Av WordPress-nettstedet ditt må være 3.5 og høyere.
siden plugin er gratis, så du bør holde en sjekk på de vanlige oppdateringene som plugin mottar, slik at det fortsatt er i bruk av sin skaper.
WordPress Deaktiver Xmlrpc Plugins
Deaktiver XML-RPC
denne plugin vil fungere På WordPress nettside versjon kjører på 3.5 eller nyere. WordPress nettsteder som kjører på versjon 3.5 eller nyere, er xmlrpc aktivert som standard. Videre ble alternativet som aktiverer og deaktiverer xmlrpc fjernet. Det er mange grunner som eierne kanskje vil deaktivere funksjonaliteten. Ved hjelp av denne plugin, kan det enkelt gjøres. Her er hvordan du kan installere denne plugin–
- for å installere dette pluginet må du laste opp xmlrpc-katalogen til/wp-content/plugins / katalogen mens Du installerer WordPress.
- du kan aktivere plugin ved å gå gjennom ‘Plugins’ – menyen I WordPress.
- på dette stadiet er xmlrpc deaktivert.
Fjern & Deaktiver XML-RPC Pingback
Du trenger ikke å være et offer for pingback denial of service angrep. Når du har aktivert plugin, er xml-rpc deaktivert automatisk. Det beste med denne plugin er at du ikke trenger å konfigurere noe. Når du deaktiverer xmlrpc pingback, vil du kunne kutte ned serverens CPU-bruk.
Installer plugin ved Hjelp Av WordPress dashbordet–
- i plugin-dashbordet må du navigere til ‘Legg Til Ny’.
- Dette er hvor du må se etter ‘Fjern XMLRPC Pingback Ping’.
- På dette stadiet må du trykke ‘Installer Nå’.
- nå må du aktivere plugin på plugin dashbordet.
Opplasting I WordPress Dashboard–
- i plugin-dashbordet må du navigere til ‘Legg Til Ny’.
- Flytt til ‘Last opp’ – området.
- det er her du må velge fjern-xmlrpc-ping.zip fra din bærbare / datamaskin.
- du må trykke ‘Installer Nå’.
- nå må du aktivere plugin på plugin dashbordet.
Bruke FTP–
- i det første trinnet må du laste ned remove-xmlrpc-pingback-ping.zip.
- du må pakke ut remove-xmlrpc-pingback-ping katalogen til din bærbare / datamaskin.
- På dette stadiet må du laste opp remove-xmlrpc-pingback-ping-katalogen til/wp-content/ plugins / katalogen.
- nå må du aktivere plugin på plugin dashbordet.
Loginizer
Dette Er en Av De mest effektive WordPress plugins som hjelper deg å kjempe mot en brutforce angrep. Den plugin gjør dette ved å blokkere innlogging FOR IP når den har nådd den høyeste trekker tillatt. Med hjelp av denne plugin, kan du enkelt svarteliste Eller hviteliste Ip-Adresser for påloggingsformål. Du har tilbudet om å bruke andre funksjoner som-re, Password Login, To Faktor Forfatter, etc.
Følg de nedenfor nevnte trinnene for å installere plugin–
- Først og fremst må du logge inn På WordPress admin panel.
- det andre trinnet innebærer å gå til Plugins-fanen, og deretter fortsette Å Legge Til Nye.
- Det er her Du må lete Etter Loginizer.
- Trykk På Knappen Installer Nå.
- for å aktivere plugin, må du trykke På Knappen Aktiver.
- Gå til dashbordet, gå videre Til Innstillinger, og deretter Videre Til Loginizer.
- det er opp til deg om du vil konfigurere innstillinger eller vil bruke standardinnstillingene.
- Dette er gjort, og du er klar til å gå.
Simple Login
Alt du trenger er et tilfeldig tresifret tall For WordPress login. Du kan se riktig nummer som vises over feltet via En JavaScript-kode. Det beste med plugin er at den er kompatibel Med WooCommerce påloggingsskjema.
Ganske mye som alle andre plugin, du trenger bare å installere og aktivere plugin. Det mangler innstillinger.
- For Det Første må du besøke Plugins Legge Til Ny Skjerm.
- du kan se etter plugin ved å søke Enkel Pålogging .
- Trykk på Knappen ‘Installer Nå’ for å installere plugin.
- Trykk På Knappen ‘Aktiver’ for å aktivere plugin.
Deaktivering AV XML-RPC via .htaccess –
Snakker Om Apache webserver programvare, .htaccess-filer endrer konfigurasjonen av filene. Som et resultat, før det blir sendt videre Til WordPress, er tilgangsforespørslene deaktivert.
du kan enkelt deaktivere xmlrpc I WordPress ved å følge de nedenfor nevnte trinnene–
- Med Hjelp Av File Transfer Protocol client-Filezilla, kan du enkelt få tilgang til nettstedet ditt.
- nå må du få tilgang .htaccess i rotmappen.
- det kan være en situasjon der standardinnstillingene kan skjule filen. Hvis du kommer over en slik situasjon, gå til innstillinger og trykk på Knappen For ‘Vis Skjulte Mapper’. Du må sørge for at du har lagret endringene. På dette stadiet bør du kunne se filen din.
- når du har åpnet filen, må du skrive inn koden nedenfor–
# Block WordPress xmlrpc.php requests<Files xmlrpc.php>order deny,allowdeny from allallow from 123.123.123.123</Files>
til slutt, lagre alle endringene du har gjort, og du er god til å gå.
hvis du fortsatt har spørsmål eller tvil om hvordan du deaktiverer xmlrpc I WordPress, kan du komme i kontakt med oss og vårt ekspertteam vil hjelpe deg.
sjekk OGSÅ VÅR GUIDE PÅ-Mest Vanlige WordPress-Feil i 2020
Andre WordPress-Problemer & Deres Rettelser:
- Slik Løser Du Hvit Skjerm Av Død I WordPress
- Slik Løser Du Fil-Og Mapperettighetsfeil WordPress
- Slik Sikrer Du WordPress-Nettstedet ditt i 2020
- Slik Fjerner Du «Dette Nettstedet Kan Bli Hacket» Fra WordPress
- Slik Sletter Du Skjult Admin-Bruker I WordPress
- hvordan fikse «koblingen du fulgte er utløpt» i wordpress
- Hvordan Fikse Pluggable.php Fil Feil I WordPress?
- Hvor Å Fastsette «Last Opp: Kunne Ikke Skrive Fil Til Disk» WordPress Feil
- Hvordan Fikse «Er Du Sikker På At Du Vil Gjøre Dette» WordPress
- Hvordan Fikse 503 Tjenesten Utilgjengelig Feil I WordPres
- Hvordan Fikse Parse Feil: Syntaksfeil I WordPress?
- Hvordan Fikse «Denne Kontoen Er Suspendert» problemet
- Hvordan Fjerne Malware Fra Hacket WordPress nettstedet
- Hvordan Fikse WordPress Malware Redirect Hack?
- Slik Fjerner Du Favicon .ico hack I WordPress
dette innlegget ble sist endret 7. September 2020