hoe XML-RPC in WordPress handmatig & Plugins uitschakelen?

WordPress xmlrpc

xmlrpc uitschakelenphp in WordPress-XML RPC WordPress Plugins

de XMLRPC.PHP is een systeem dat remote updates voor WordPress van diverse andere toepassingen machtigt. Dit bericht over WordPress Xmlrpc zal u helpen begrijpen waarom het uitschakelen van WordPress XMLRPC is een goed idee en 4 manieren om xmlrpc uitschakelen in wordpress, handmatig & met behulp van plugins.

Wat is WordPress XMLRPC?

XMLRPC.php is een functie die externe verbinding met WordPress mogelijk maakt. Deze API biedt ontwikkelaars van desktop apps en mobiele apps de mogelijkheid om te communiceren met uw WordPress website. Deze API biedt ontwikkelaars om applicaties die u in staat stellen om tal van dingen te doen schrijven wanneer u bent ingelogd bij WordPress via webinterface, waaronder–

  • wanneer u een nieuw bestand uploadt, zoals een afbeelding voor een bericht.
  • wanneer u opmerkingen bewerkt.
  • wanneer u een bericht bewerkt.
  • wanneer u een bericht verwijdert.
  • wanneer u een post publiceert.
  • wanneer u een lijst met opmerkingen krijgt.

om een beter inzicht te krijgen in het xmlrpc.php-bestand, is het noodzakelijk om vertrouwd te zijn met de volgende basics–

  • RPC is Procedureoproep op afstand – Dit helpt u om een procedure op afstand vanaf een werkstation of een apparaat te bellen.
  • XML – Extensible Markup Language) – deze specifieke taal is omlijst om gegevens op te slaan en te transporteren, zoals HTTP.
  • HTTP (Hyper Text Transfer Protocol) – het is een toepassingsprotocol dat bepaalt hoe de berichten worden geformatteerd en verder verzonden via het World Wide Web. Het protocol bepaalt ook de acties van zowel de webservers als browsers in reactie op de opdrachten. In dit geval kunnen de gegevens met behulp van HTTP gemakkelijk worden overgedragen van een extern apparaat naar een website.
  • PHP (Hypertext Pre-processor) – het is een scripting-en programmeertaal. Deze specifieke taal bedient vooral dynamische websites. Het wordt gebruikt om een gesprek aan te gaan tussen –
  • de gebruiker
  • de website
  • de databases

dus, technisch gesproken, met xmlrpc.php-bestand een externe procedure aanroep wordt vergemakkelijkt. Dit wordt gedaan met behulp van XML om het bericht te coderen en te verzenden over HTTP. Hiermee kan informatie worden uitgewisseld tussen apparaten of computers.

what-is-xmlrpc-how-xml-Rpc-works

waarom u XML-RPC in WordPress

zou moeten uitschakelen, hoewel het wel geweldig klinkt om een website bij te werken met een enkel commando dat op afstand wordt geactiveerd. maar helaas, het werpt ook een grote rode vlag, en dat is precies wat er gebeurde met de XML-RPC-functie in WordPress.

aanvankelijk was het een goed idee om deze functionaliteit in wordpress op te nemen, maar al snel realiseerde men zich dat het een achterdeur in wordpress kan openen voor hackers, scriptbots of iedereen die toegang probeert te krijgen tot uw wordpress site om deze in te voeren en te misbruiken. Voor WordPress 3.5, deze functionaliteit werd standaard uitgeschakeld, maar al snel na tegenwoordig wordpress xmlrps is standaard ingeschakeld.

Dit is ongetwijfeld de meest misbruikte functionaliteit op wordpress geworden. Het kan resulteren in tal van defecte verzoeken van hackers, bots en scripts, allemaal proberen te hacken in uw WordPress site via een georganiseerde XML-RPC WordPress DDOS-aanval.

gemeenschappelijke XML-RPC-aanvallen

in de afgelopen twee jaar, na twee aanvallen op XMLRPC hebben immense dekking ontvangen, Laten we ze in detail bespreken–

  • Brute force aanvallen via XML-RPC – u hoeft zich geen zorgen te maken als u de deskundige begeleiding van WP hacked help, want zodra de hacker de inlogpoging limiet heeft bereikt, we gewoon blokkeren de hacker. Volgens de aanval, de hacker probeert in te loggen op uw WordPress website met de hulp van xmlrpc.php. Laten we zien, in detail hieronder, hoe dit wordt gedaan en hoe je gaat om te profiteren van dit terwijl u het testen van een website voor potentiële WordPress kwetsbaarheden. Met een enkele opdracht, hackers kunnen honderden verschillende wachtwoorden te onderzoeken. Hierdoor kunnen ze beveiligingshulpmiddelen die brute force-aanvallen in wordpress detecteren en blokkeren omzeilen. U kunt uw website beschermen tegen hackers met onze WordPress Security services.
  • DDoS via XML-RPC pingbacks – dit kan niet worden aangeduid als een effectief type DDoS en talrijke anti-spam plugins waren in staat om dit type misbruik met succes te ontdekken. Hiermee, hackers werden met behulp van de pingback functie in WordPress voor het verzenden van pingbacks naar duizenden sites tegelijk. Deze xmlrpc.php feature biedt hackers met tal van IP-adressen om hun DDoS-aanvallen te sturen.

BrutForce Attack

1-wanneer u xmlrpc opent.php, zie je dit op–

http://<xyz.com>/<wordpress directory>/xmlrpc.php

WordPress XML-RPC aanval

2- open nu je proxy en je moet het verzoek opnieuw verzenden.

XML RPC WordPress

3- in dit stadium, je nodig hebt om een bericht verzoek te sturen en maak een lijst van alle methoden toegankelijk voor u. Je vraagt je misschien af waarom? Dit is hoe je vertrouwd gaat zijn met alle acties die mogelijk zijn om het te maken en te gebruiken voor de aanval.

om een lijst van alle methoden, moet u een bericht verzoek met de post gegevens hieronder vermeld in de afbeelding te sturen, ontvangt u een feedback met alle beschikbare methoden.

<methodCall><methodName>system.listMethods</methodName><params></params></methodCall>

WordPress XML-RPC kwetsbaarheid

neem een kijkje op het volgende, als ze met u dan kunnen we doorgaan met de aanval

*)wp.getUserBlogs*)wp.getCategories*)metaWeblog.getUsersBlogs

3- U moet het volgende in de POST verzoek te sturen om brute force login uit te voeren. Als u op de hoogte bent van andere geldige Gebruikersnamen, kan wp-scan u helpen bij het vinden van geldige Gebruikersnamen.

<methodCall><methodName>wp.getUsersBlogs</methodName><params><param><value>admin</value></param><param><value>pass</value></param></params></methodCall>

 brute force xmlrpc wordpress

4 – alles wat je nodig hebt om dit in te voeren in indringer en brute kracht weg. Het maakt niet uit of je een correct wachtwoord hebt ingevoerd of verkeerd, je zal uiteindelijk een correct antwoord hebben. Dit is waar je moet beslissen tussen de verkeerde en de juiste op basis van de grootte van de reactie. In het geval dat u intruder gebruikt, zal de reactie op de juiste login als volgt zijn:–

 XML-RPC kwetsbaarheid wordpress

wat kan XML-RPC worden gebruikt voor

XMLRPC heeft zijn eerlijk aandeel van toepassingen, laten we ze bespreken–

  • pas pingbacks en trackbacks-volgens deze methode, blogs worden gemeld dat u hebt gekoppeld aan hen. Xmlrpc trackbacks worden handmatig gemaakt en kort extract moet worden gedeeld. Xmlrpc pingbacks zijn geautomatiseerd en er hoeft geen kort uittreksel te worden gedeeld.
  • het op afstand toegankelijk maken van uw website en in staat zijn om wijzigingen aan te brengen – laten we aannemen dat u wijzigingen aan uw WordPress blog moet aanbrengen, maar helaas heeft u geen toegang tot uw laptop of computer.

u kunt de WordPress-applicatie op uw smartphone installeren om te posten op uw website. De app kan dit uitvoeren met behulp van een functie die bekend staat als remote access die wordt ingeschakeld door een bestand dat bekend staat als xmlrpc.php.

  • stelt de Jetpack-plugin in staat om verbinding te maken met WordPress.com-In de afgelopen paar jaar, de plugin heeft opgedaan immense populariteit over de hele wereld. Met JetPack plugin, kunt u ontwerpen, beveiligen en groeien uw WordPress website. Als u een samensmelting van de WordPress app en JetPack gebruiken, zult u de xmlrpc nodig.php-bestand voor zijn soepele werking.

hoe xmlrpc in WordPress uit te schakelen?

waarom niet gewoon xmlrpc helemaal uitschakelen

het is gemakkelijk om dit te doen met behulp van de plugin hierboven besproken; echter, als u beroemde plugins zoals JetPack gebruikt dan zullen die plugins volledig stoppen met werken.

hier bespreken we drie manieren waarop u XML-RPC eenvoudig kunt uitschakelen in WordPress website.

Uitschakelen XML-RPC in WordPress 3.5

Alles wat je hoeft te doen is plak de volgende code in een site-specific plugin:

1
add_filter('xmlrpc_enabled', '__return_false');

het Uitschakelen van XML-RPC met een plugin –

Aangezien er meerdere plugins in de WordPress repository, het uitschakelen van xmlrpc.php zal makkelijk zijn. We gaan u laten zien hoe het te doen, stap voor stap, met behulp van ‘uitschakelen xmlrpc plugin’.

  • In de eerste stap moet u inloggen op uw wp-admin dashboard. Zodra u bent ingelogd, moet u naar Plugins.
  • u ziet Nieuwe Toevoegen naast de plugins.

plugin xmlrpc

met behulp van een zoekbalk moet u zoeken naar xmlrpc uitschakelen. U moet de volgende plugin in de resultaten te zien–

plugin xmlrpc uitschakelen wordpress

hier moet u een xmlrpc-plugin uitschakelen activeren en installeren. Zodra u de plugin te activeren, de xmlrpc functie zal worden uitgeschakeld. De versie van uw WordPress website moet 3.5 en hoger zijn.

aangezien de plug-in gratis is, moet u de regelmatige updates die de plug-in ontvangt controleren, om er zeker van te zijn dat de plug-in nog steeds door de maker wordt gebruikt.

WordPress xmlrpc plugins

XML-RPC

uitschakelen deze plugin zal werken op WordPress website versie draait op 3.5 of hoger. WordPress websites draaien op versie 3.5 of hoger, xmlrpc is standaard ingeschakeld. Verder is de optie die xmlrpc in-en uitschakelt verwijderd. Er zijn tal van redenen te wijten aan die de eigenaren kunnen willen de functionaliteit uit te schakelen. Met behulp van deze plugin, kan het gemakkelijk worden gedaan. Hier is hoe u deze plugin kunt installeren–

  • om deze plugin te installeren, moet je de xmlrpc directory uploaden naar de /wp-content/plugins/directory terwijl je WordPress installeert.
  • u kunt de plugin activeren door te gaan door het menu ‘Plugins’ in WordPress.
  • in dit stadium is uw xmlrpc uitgeschakeld.

Verwijder & XML-RPC Pingback

uitschakelen U hoeft geen slachtoffer te zijn van pingback denial of service-aanvallen. Zodra u de plugin hebt geactiveerd, wordt xml-rpc automatisch uitgeschakeld. Het beste ding over deze plugin is dat je niet hoeft te configureren iets. Wanneer u xmlrpc pingback uitschakelt, kunt u het CPU-gebruik van de server verminderen.

wordpress xmlrpc pingback attack

installeer de plugin met behulp van het WordPress dashboard–

  • In de plugins dashboard, je nodig hebt om te navigeren naar de ‘nieuwe toevoegen’.
  • hier moet u zoeken naar’Verwijder XMLRPC Pingback Ping’.
  • in dit stadium moet u op ‘Install Now’klikken.
  • nu moet u de plugin activeren op het Plugin dashboard.

uploaden in WordPress Dashboard–

  • In de Plugin dashboard, je nodig hebt om te navigeren naar de ‘nieuwe toevoegen’.
  • Ga naar het gebied ‘uploaden’.
  • hier moet u remove-xmlrpc-ping selecteren.zip van uw laptop / computer.
  • druk op ‘Install Now’.
  • nu moet u de plugin activeren op het Plugin dashboard.

met FTP–

  • in de eerste stap, je nodig hebt om te downloaden remove-xmlrpc-pingback-ping.zip.
  • u moet de map remove-xmlrpc-pingback-ping uitpakken naar uw laptop/computer.
  • in dit stadium moet u de map remove-xmlrpc-pingback-ping uploaden naar de map /wp-content/plugins/.
  • nu moet u de plugin activeren op het Plugin dashboard.

Loginizer

Dit is een van de meest effectieve WordPress plugins die u helpt te vechten tegen een brutforce aanval. De plugin doet dit door het blokkeren van de login voor het IP zodra het heeft bereikt de hoogste retires toegestaan. Met behulp van deze plugin, kunt u gemakkelijk blacklist of whitelist IPs voor login doeleinden. Je hebt de voorziening van het gebruik van andere functies zoals-re, PasswordLess Login, twee Factor auteur, enz.

Volg de onderstaande stappen om de plugin te installeren–

  • eerst en vooral, je nodig hebt om in te loggen op uw WordPress admin panel.
  • de tweede stap houdt in dat u naar het tabblad Plugins gaat, waarna u verder gaat om nieuwe toe te voegen.
  • hier moet u naar Loginizer zoeken.
  • druk op de knop van Install Now.
  • om de plugin te activeren, moet u op de knop Activeren drukken.
  • Ga naar uw dashboard, ga verder met instellingen en vervolgens naar Loginizer.
  • het is aan u of u instellingen wilt configureren of de standaardinstellingen wilt gebruiken.
  • dit is gedaan en u bent klaar om te gaan.

eenvoudige Login

alles wat je nodig hebt is een willekeurig driecijferig nummer voor WordPress login. U kunt het juiste nummer zien dat boven het veld wordt weergegeven door middel van een JavaScript-code. Het beste ding over de plugin is dat het compatibel is met WooCommerce login formulier.

net als elke andere plugin, hoeft u alleen maar de plugin te installeren en te activeren. Het mist instellingen.

  • Ten eerste moet u uw Plugins bezoeken voeg een nieuw scherm toe.
  • u kunt zoeken naar de plugin door te zoeken naar eenvoudige Login .
  • druk op de knop ‘Install Now’ om de plugin te installeren.
  • druk op de knop ‘Activeren’ om de plugin te activeren.

XML-RPC uitschakelen via .htaccess –

praten over Apache web server software, .htaccess bestanden veranderen de configuratie van de bestanden. Als gevolg daarvan, voordat het wordt doorgegeven aan WordPress, de toegang verzoeken zijn uitgeschakeld.

u kunt xmlrpc eenvoudig uitschakelen in WordPress door de onderstaande stappen te volgen–

  • met behulp van File Transfer Protocol client-Filezilla, kunt u gemakkelijk toegang tot uw website.
  • nu moet u toegang krijgen .htaccess in uw hoofdmap.
  • er kan een situatie zijn waarin de standaardinstellingen het bestand kunnen verbergen. Als u een dergelijke situatie tegenkomt, ga dan naar de Instellingen en druk op de knop ‘Verborgen mappen weergeven’. U moet ervoor zorgen dat u de wijzigingen hebt opgeslagen. In dit stadium, moet u in staat zijn om uw bestand te bekijken.
  • zodra u het bestand hebt geopend, moet u de onderstaande code invoeren–
# Block WordPress xmlrpc.php requests<Files xmlrpc.php>order deny,allowdeny from allallow from 123.123.123.123</Files>

eindelijk, sla alle wijzigingen die u hebt gemaakt en je bent klaar om te gaan.

Als u nog vragen of twijfels hebt over hoe u xmlrpc in WordPress kunt uitschakelen, kunt u contact met ons opnemen en ons team van deskundigen zal u helpen.

bekijk ook onze gids over-meest voorkomende WordPress fouten in 2020

fix wordpress xmlrpc problemen help

andere WordPress problemen & hun oplossingen:

  • Hoe op te Lossen het Witte Scherm van de Dood in WordPress
  • Hoe te Repareren van Machtigingen voor bestanden En mappen Fout WordPress
  • Hoe Beveilig Je WordPress Site in 2020
  • Hoe Te Verwijderen “Deze Site Kan Worden Gehackt” Van WordPress
  • Hoe Te Verwijderen van de Verborgen Admin Gebruiker In WordPress
  • Hoe op te lossen “De link die u heeft gevolgd is verlopen” in WordPress
  • Hoe op te Lossen Pluggable.php bestand fouten in WordPress?
  • hoe te repareren ” uploaden: Bestand naar schijf schrijven mislukt “WordPress Error
  • How To Fix” weet u zeker dat u dit wilt doen ” WordPress
  • Hoe Fix 503 Service Unavailable Error in WordPres
  • hoe Parse Error te herstellen: syntaxisfout in WordPress?
  • How to Fix “This Account Has Been Suspended” issue
  • hoe te verwijderen Malware van gehackte WordPress site
  • hoe te repareren WordPress Malware Redirect Hack?
  • Hoe Favicon Te Verwijderen .ico hack in WordPress

dit bericht is voor het laatst gewijzigd op 7 September 2020