Jak wyłączyć XML-RPC w WordPress ręcznie i wtyczki?

WordPress Wyłącz XMLRPC

jak wyłączyć xmlrpc.php w WordPress-XML RPC wtyczki WordPress

xmlrpc.PHP to system, który autoryzuje zdalne aktualizacje WordPress z różnych innych aplikacji. Ten post o WordPress Xmlrpc pomoże Ci zrozumieć, dlaczego wyłączenie WordPress XMLRPC jest dobrym pomysłem i 4 sposoby wyłączenia xmlrpc w wordpress, ręcznie & za pomocą wtyczek.

co to jest WordPress XMLRPC?

XMLRPC.php to funkcja umożliwiająca zdalne połączenie z WordPress. Ten interfejs API oferuje programistom aplikacji komputerowych i aplikacji mobilnych możliwość komunikowania się z witryną WordPress. Ten interfejs API oferuje programistom pisanie aplikacji, które umożliwiają robienie wielu rzeczy, gdy jesteś zalogowany do WordPress za pośrednictwem interfejsu internetowego, w tym–

  • za każdym razem, gdy przesyłasz nowy plik, taki jak obraz do postu.
  • ilekroć edytujesz komentarze.
  • ilekroć edytujesz post.
  • ilekroć usuniesz post.

aby lepiej zrozumieć xmlrpc.pliku php, konieczne jest zapoznanie się z następującymi podstawami–

  • RPC to zdalne wywołanie procedury-pomaga to wywołać procedurę zdalnie ze stacji roboczej lub urządzenia.
  • XML (Extensible Markup Language) – ten konkretny język jest ramką do przechowywania i transportu danych, podobnie jak HTTP.
  • HTTP (Hyper Text Transfer Protocol) – jest to protokół aplikacji, który określa, w jaki sposób wiadomości będą formatowane i dalej przesyłane przez World Wide Web. Protokół określa również działania zarówno serwerów WWW, jak i przeglądarek w odpowiedzi na polecenia. W takim przypadku za pomocą HTTP dane można łatwo przenieść ze zdalnego urządzenia na stronę internetową.
  • PHP (Hypertext Pre-processor) – jest to język skryptowy i programistyczny. Ten konkretny język służy głównie dynamicznym stronom internetowym. Jest on używany do nawiązania rozmowy pomiędzy –
  • użytkownikiem
  • stroną internetową
  • bazami danych

więc technicznie rzecz biorąc, z xmlrpc.plik php umożliwia zdalne wywołanie procedury. Odbywa się to za pomocą XML do zakodowania wiadomości i wysłania jej przez HTTP. Dzięki temu Informacje mogą być wymieniane między urządzeniami lub komputerami.

what-is-xmlrpc-how-xml-Rpc-works

dlaczego powinieneś wyłączyć XML-RPC w WordPress

chociaż aktualizacja strony internetowej za pomocą jednego polecenia uruchamianego zdalnie brzmi niesamowicie. ale niestety, podnosi to również dużą czerwoną flagę i dokładnie to samo stało się z funkcją XML-RPC w WordPress.

początkowo dobrym pomysłem było włączenie tej funkcjonalności w wordpress, ale wkrótce zdano sobie sprawę, że może otworzyć backdoor w wordpress dla hakerów, botów skryptów lub każdego, kto próbuje uzyskać dostęp do witryny wordpress, aby wejść i nadużywać jej. Przed WordPress 3.5 ta funkcjonalność była domyślnie wyłączona, ale wkrótce po WordPress xmlrps jest domyślnie włączony.

bez wątpienia stało się to najbardziej nadużywaną funkcjonalnością wordpress. Może to skutkować mnóstwem błędnych żądań od hakerów, botów i skryptów, próbujących włamać się do witryny WordPress za pomocą zorganizowanego ataku DDOS XML-RPC WordPress.

typowe ataki XML-RPC

w ciągu ostatnich dwóch lat, po dwóch atakach na XMLRPC otrzymaliśmy ogromny zasięg, omówmy je szczegółowo–

  • ataki Brute force za pośrednictwem XML-RPC – nie musisz się martwić, jeśli masz wskazówki ekspertów WP hacked help, ponieważ gdy haker osiągnął limit próby logowania, po prostu blokujemy hakera. Zgodnie z atakiem haker próbuje zalogować się do witryny WordPress za pomocą xmlrpc.php. Zobaczmy, szczegółowo poniżej, jak to się robi i jak zamierzasz z tego skorzystać podczas testowania strony internetowej pod kątem potencjalnych luk w zabezpieczeniach WordPress. Za pomocą jednego polecenia hakerzy mogą badać setki różnych haseł. W rezultacie umożliwia im to ominięcie narzędzi bezpieczeństwa, które wykrywają i blokują ataki brute force w wordpress. Możesz chronić swoją witrynę przed hakerami dzięki naszym usługom bezpieczeństwa WordPress.
  • DDoS via XML-RPC pingbacks – nie można tego nazwać skutecznym rodzajem DDoS, a liczne wtyczki Antyspamowe były w stanie skutecznie wykryć tego typu nadużycia. Dzięki temu hakerzy używali funkcji pingback w WordPress do wysyłania pingbacków do tysięcy witryn jednocześnie. Ten xmlrpc.funkcja php oferuje hakerom z wieloma adresami IP do wysyłania ataków DDoS.

BrutForce Attack

1 – po otwarciu xmlrpc.php, zobaczysz to na–

http://<xyz.com>/<wordpress directory>/xmlrpc.php

WordPress XML-RPC Attack

2- teraz otwórz serwer proxy i musisz ponownie wysłać żądanie.

 Xml Rpc WordPress

3- na tym etapie musisz wysłać żądanie post i sporządzić listę wszystkich dostępnych metod. Możesz się zastanawiać dlaczego? W ten sposób będziesz zaznajomiony ze wszystkimi działaniami, które są możliwe do wykonania i wykorzystania do ataku.

aby wyświetlić listę wszystkich metod, musisz wysłać żądanie post z danymi post wymienionymi poniżej na obrazku, otrzymasz informację zwrotną ze wszystkimi dostępnymi metodami.

<methodCall><methodName>system.listMethods</methodName><params></params></methodCall>

luka w WordPress XML-RPC

przyjrzyj się bliżej poniższym, jeśli są z Tobą, możemy iść do przodu z atakiem

*)wp.getUserBlogs*)wp.getCategories*)metaWeblog.getUsersBlogs

3- aby przeprowadzić logowanie brute force, musisz wysłać następujące żądanie POST. Jeśli znasz inne poprawne nazwy użytkownika, wp-scan może pomóc Ci znaleźć poprawne nazwy użytkownika.

<methodCall><methodName>wp.getUsersBlogs</methodName><params><param><value>admin</value></param><param><value>pass</value></param></params></methodCall>

 brute force xmlrpc wordpress

4 – wszystko, czego potrzebujesz, aby wprowadzić to w intruza i brute force away. Nie ma znaczenia, czy wprowadziłeś poprawne hasło, czy źle, otrzymasz poprawną odpowiedź. W tym miejscu będziesz musiał zdecydować między niewłaściwym a poprawnym na podstawie wielkości odpowiedzi. W przypadku korzystania z Intrudera, odpowiedź na poprawne logowanie będzie następująca–

 luka w XML-RPC WordPress

do czego można użyć XML-RPC

XMLRPC ma swój sprawiedliwy udział zastosowań, omówmy je–

  • Zastosuj pingbacks i trackbacks – zgodnie z tą metodą blogi są powiadamiane, że zostały z nimi powiązane. Xmlrpc trackbacks są wykonywane ręcznie i krótki ekstrakt musi być udostępniony. Pingbacks XMLRPC są zautomatyzowane i nie trzeba udostępniać krótkiego ekstraktu.
  • zapewnienie zdalnego dostępu do witryny i możliwość wprowadzania zmian – Załóżmy, że musisz wprowadzić zmiany na swoim blogu WordPress, ale niestety nie masz dostępu do laptopa lub komputera.

możesz zainstalować aplikację WordPress na smartfonie, aby opublikować ją na swojej stronie internetowej. Aplikacja może to zrobić za pomocą funkcji znanej jako zdalny dostęp, która jest włączona przez plik znany jako xmlrpc.php.

  • włącza wtyczkę JetPack do połączenia z WordPressem.com-w ciągu ostatnich kilku lat wtyczka zyskała ogromną popularność na całym świecie. Dzięki wtyczce JetPack możesz zaprojektować, zabezpieczyć i rozwijać swoją witrynę WordPress. Jeśli używasz połączenia aplikacji WordPress i JetPack, będziesz potrzebował xmlrpc.plik php dla jego sprawnego funkcjonowania.

Jak wyłączyć XMLRPC w WordPress?

dlaczego po prostu nie wyłączyć całkowicie xmlrpc

łatwo jest to zrobić za pomocą wtyczki omówionej powyżej; jednak jeśli używasz znanych wtyczek, takich jak JetPack, te wtyczki całkowicie przestaną działać.

tutaj omówimy trzy sposoby, za pomocą których można łatwo wyłączyć XML-RPC w witrynie WordPress.

Wyłącz XML-RPC w WordPress 3.5

wszystko, co musisz zrobić, to wkleić następujący kod do wtyczki specyficznej dla witryny:

1
add_filter('xmlrpc_enabled', '__return_false');

wyłączenie XML – RPC z wtyczką –

ponieważ istnieje wiele wtyczek w repozytorium WordPress, wyłączenie xmlrpc.php będzie łatwe-peasy. Pokażemy Ci, jak to zrobić, krok po kroku, za pomocą „wyłącz wtyczkę xmlrpc”.

  • w pierwszym kroku musisz zalogować się do Pulpitu nawigacyjnego wp-admin. Po zalogowaniu musisz przejść do wtyczek.
  • zobaczysz Dodaj nowy obok wtyczek.

wtyczka wyłącza xmlrpc

za pomocą paska wyszukiwania musisz poszukać wyłącz Xmlrpc. Musisz zobaczyć następującą wtyczkę w wynikach–

wtyczka wyłącz xmlrpc WordPress

tutaj musisz aktywować i zainstalować wyłączoną wtyczkę xmlrpc. Po aktywacji wtyczki funkcja xmlrpc zostanie wyłączona. Wersja witryny WordPress musi być 3.5 i powyżej.

ponieważ wtyczka jest darmowa, powinieneś więc sprawdzać regularne aktualizacje, które otrzymuje wtyczka, upewniając się, że nadal jest używana przez jej twórcę.

WordPress Wyłącz wtyczki Xmlrpc

Wyłącz XML-RPC

ta wtyczka będzie działać na stronie WordPress w wersji 3.5 lub nowszej. Witryny WordPress działające w wersji 3.5 lub nowszej, xmlrpc jest domyślnie włączone. Ponadto usunięto opcję, która włącza i wyłącza xmlrpc. Istnieje wiele powodów, z powodu których właściciele mogą chcieć wyłączyć funkcjonalność. Za pomocą tej wtyczki można to łatwo zrobić. Oto jak można zainstalować tę wtyczkę–

  • aby zainstalować tę wtyczkę, musisz przesłać katalog xmlrpc do katalogu /wp-content/plugins/podczas instalacji WordPress.
  • wtyczkę można aktywować, przechodząc przez menu „Wtyczki” w WordPressie.
  • na tym etapie Twój xmlrpc jest wyłączony.

Usuń & Wyłącz Pingback XML-RPC

nie musisz być ofiarą ataków Pingback denial of service. Po aktywowaniu wtyczki xml-RPC jest automatycznie wyłączany. Najlepszą rzeczą w tej wtyczce jest to, że nie musisz niczego konfigurować. Gdy wyłączysz pingback xmlrpc, będziesz mógł zmniejszyć zużycie procesora serwera.

WordPress xmlrpc pingback attack

Zainstaluj wtyczkę za pomocą pulpitu WordPress–

  • w panelu wtyczek musisz przejść do „Dodaj nowy”.
  • tutaj musisz poszukać 'Remove xmlrpc Pingback Ping’.
  • na tym etapie musisz nacisnąć „Zainstaluj teraz”.
  • teraz musisz aktywować wtyczkę na pulpicie wtyczki.

Uploading in WordPress Dashboard–

  • na pulpicie nawigacyjnym wtyczki musisz przejść do „Dodaj nowy”.
  • przejdź do obszaru 'Upload’.
  • tutaj musisz wybrać Usuń-xmlrpc-ping.zip z laptopa / komputera.
  • musisz nacisnąć „Zainstaluj teraz”.
  • teraz musisz aktywować wtyczkę na pulpicie wtyczki.

Korzystanie z FTP–

  • w pierwszym kroku musisz pobrać remove-xmlrpc-pingback-ping.zip.
  • musisz rozpakować katalog remove-xmlrpc-pingback-ping do laptopa/komputera.
  • na tym etapie musisz przesłać katalog remove-xmlrpc-pingback-ping do katalogu /wp-content/plugins/.
  • teraz musisz aktywować wtyczkę na pulpicie wtyczki.

Loginizer

jest to jedna z najbardziej skutecznych wtyczek WordPress, która pomaga walczyć z atakiem brutforce. Plugin robi to blokując logowanie na IP po osiągnięciu najwyższego dozwolonego poziomu. Za pomocą tej wtyczki możesz łatwo dodać do czarnej lub białej listy adresy IP do celów logowania. Masz możliwość korzystania z innych funkcji, takich jak-re, Login bez hasła, Two Factor Author itp.

wykonaj poniższe kroki, aby zainstalować wtyczkę–

  • przede wszystkim musisz zalogować się do panelu administracyjnego WordPress.
  • drugi krok polega na przejściu do zakładki Wtyczki, a następnie przejściu do dodawania nowych.
  • tu trzeba szukać Loginizera.
  • naciśnij przycisk Zainstaluj teraz.
  • aby aktywować wtyczkę, musisz nacisnąć przycisk Aktywuj.
  • przejdź do Pulpitu nawigacyjnego, przejdź do Ustawień, a następnie do Loginizer.
  • to od Ciebie zależy, czy chcesz skonfigurować ustawienia, czy użyć ustawień domyślnych.
  • to jest zrobione i jesteś gotowy do pracy.

proste logowanie

wszystko, czego potrzebujesz, to losowy trzycyfrowy numer do logowania WordPress. Możesz zobaczyć poprawną liczbę, która jest wyświetlana nad polem za pomocą kodu JavaScript. Najlepszą rzeczą w wtyczce jest to, że jest kompatybilna z formularzem logowania WooCommerce.

prawie jak każda inna wtyczka, wystarczy zainstalować i aktywować wtyczkę. Brak ustawień.

  • po pierwsze, musisz odwiedzić Wtyczki Dodaj nowy ekran.
  • możesz szukać wtyczki, wyszukując proste logowanie .
  • naciśnij przycisk „Zainstaluj teraz”, aby zainstalować wtyczkę.
  • naciśnij przycisk „Aktywuj”, aby aktywować wtyczkę .

wyłączanie XML-RPC przez .htaccess –

mówiąc o oprogramowaniu serwera WWW Apache, .pliki htaccess zmieniają konfigurację plików. W rezultacie, zanim zostanie on przekazany do WordPress, żądania dostępu są wyłączone.

możesz łatwo wyłączyć xmlrpc w WordPress, wykonując poniższe kroki–

  • za pomocą klienta File Transfer Protocol-Filezilla możesz łatwo uzyskać dostęp do swojej strony internetowej.
  • teraz musisz mieć dostęp .htaccess w folderze głównym.
  • może zaistnieć sytuacja, w której domyślne ustawienia mogą ukryć plik. Jeśli natkniesz się na taką sytuację, przejdź do ustawień i naciśnij przycisk „Pokaż ukryte foldery”. Musisz upewnić się, że zapisałeś zmiany. Na tym etapie powinieneś być w stanie wyświetlić swój plik.
  • po otwarciu pliku należy wpisać poniższy kod–
# Block WordPress xmlrpc.php requests<Files xmlrpc.php>order deny,allowdeny from allallow from 123.123.123.123</Files>

w końcu zapisz wszystkie zmiany, które wprowadziłeś i jesteś gotowy do pracy.

jeśli nadal masz jakiekolwiek pytania lub wątpliwości dotyczące sposobu wyłączenia xmlrpc w WordPress, możesz skontaktować się z nami, a nasz zespół ekspertów ci pomoże.

sprawdź także nasz poradnik – najczęstsze błędy WordPressa w 2020

napraw problemy z WordPress xmlrpc pomoc

inne problemy z WordPress & ich poprawki:

  • jak naprawić biały ekran śmierci w WordPress
  • jak naprawić błąd uprawnień plików i folderów WordPress
  • Jak zabezpieczyć swoją witrynę WordPress w 2020
  • jak usunąć „ta strona może zostać zhakowana” z WordPress
  • jak usunąć ukrytego użytkownika Administratora w WordPress
  • jak naprawić „link, który podałeś, wygasł” w WordPress
  • jak naprawić wtyczkę.błędy plików php w WordPress?
  • jak naprawić ” Upload: Nie udało się zapisać pliku na dysk „błąd WordPress
  • jak naprawić” czy na pewno chcesz to zrobić ” WordPress
  • jak naprawić błąd usługi 503 niedostępny w WordPres
  • jak naprawić błąd Parse: błąd składni w WordPres?
  • jak naprawić problem „To konto zostało zawieszone”
  • jak usunąć złośliwe oprogramowanie z Zhakowanej witryny WordPress
  • jak naprawić złośliwe oprogramowanie WordPress Redirect Hack?
  • Jak Usunąć Favicon .ICO hack w WordPress

ten post był ostatnio modyfikowany: 7 września 2020