como desactivar XML-RPC no WordPress manualmente & Plugins?
WordPress Desativar XMLRPC
o XMLRPC.PHP é um sistema que autoriza atualizações remotas para WordPress a partir de várias outras aplicações. Este post sobre WordPress Xmlrpc irá ajudá-lo a entender por que desativar WordPress XMLRPC é uma boa idéia e 4 maneiras de desativar xmlrpc no wordpress, manualmente & usando plugins.
o que é o WordPress XMLRPC?
XMLRPC.php é uma característica que permite conexão remota ao WordPress. Esta API oferece aos desenvolvedores de Aplicativos desktop e aplicativos móveis uma capacidade de se comunicar com o seu site WordPress. Esta API oferece desenvolvedores para escrever aplicativos que lhe capacitam a fazer inúmeras coisas sempre que você está conectado ao WordPress através de interface web, incluindo–
- sempre que você enviar um arquivo novo, como uma imagem para um post.
- sempre que editar comentários.
- sempre que editar um post.
- sempre que apagar uma publicação.
- sempre que publicar um post.
- sempre que tiver uma lista de comentários.
ter uma melhor compreensão do xmlrpc.php ficheiro, é imperativo estar familiarizado com o seguinte básico–
- RPC é chamada de procedimento remoto – isso ajuda você a chamar um procedimento remotamente a partir de uma estação de trabalho ou um dispositivo.
- XML (Extensible Markup Language) – esta linguagem em particular é enquadrada para armazenar e transportar dados, muito parecido com HTTP.
- HTTP (Hyper Text Transfer Protocol) – é um protocolo de aplicação que define como as mensagens serão formatadas e transmitidas através da World Wide Web. O protocolo também determina as ações dos servidores web e navegadores em resposta aos comandos. Neste caso, com a ajuda de HTTP, os dados podem ser facilmente transferidos de um dispositivo remoto para um site.
- PHP (Hypertext Pre-processor) – é uma linguagem de programação e Script. Esta linguagem em particular serve principalmente sites dinâmicos. Ele é usado para iniciar uma conversa entre –
- o usuário
- o site
- as bases de dados
assim, tecnicamente falando, com xmlrpc.php file a remote procedure call gets facilitated. Isto é feito usando XML para codificar a mensagem e enviá-la através de HTTP. Usando isso, as informações podem ser trocadas entre dispositivos ou computadores.
por que você deve desativar XML-RPC no WordPress
apesar de parecer incrível para atualizar um site com um único comando que é despoletado remotamente. mas infelizmente, ele também levanta uma grande bandeira vermelha, e isso é exatamente o que aconteceu com a função XML-RPC no WordPress.
inicialmente, foi uma boa ideia incluir esta funcionalidade no wordpress, mas logo se percebeu que ele pode abrir uma porta traseira no wordpress para hackers, robôs de script ou qualquer um que tentar acessar o seu site wordpress para entrar e abusar dele. Antes do WordPress 3.5, esta funcionalidade foi desativada por padrão, mas logo depois de hoje em dia wordpress xmlrps é ativado por padrão.
sem dúvida, esta tornou-se a funcionalidade mais abusada no wordpress. Ele pode resultar em cargas de Pedidos defeituosos de hackers, bots e scripts, todos tentando invadir o seu site WordPress através de um ataque DDOS XML-RPC WordPress organizado.
Comum XML-RPC Ataques
Nos últimos dois anos, após dois ataques XMLRPC ter recebido imensa cobertura, vamos discutir em detalhe–
- ataques de força Bruta, através de XML-RPC – Você não precisa se preocupar se você tem a orientação de especialistas de WP hackeado ajudar, porque uma vez que o hacker chegou a tentativa de início de sessão limite, nós simplesmente bloquear o hacker. De acordo com o ataque, o hacker tenta login para o seu site WordPress com a ajuda de xmlrpc.pai. Vamos ver, em detalhe abaixo, como isso é feito e como você está indo para tirar vantagem disso enquanto você está testando um site para potenciais vulnerabilidades WordPress. Com um único comando, os hackers podem examinar centenas de senhas diferentes. Como resultado, isso permite-lhes contornar as ferramentas de segurança que detectam e bloqueia ataques de Força bruta no wordpress. Você pode proteger o seu site de hackers com os nossos serviços de segurança WordPress.
- DDoS via XML-RPC pingbacks – isso não pode ser chamado como um tipo eficaz de DDoS e numerosos plugins anti-spam foram capazes de descobrir com sucesso este tipo de abuso. Com isso, os hackers estavam usando o recurso pingback no WordPress para enviar pingbacks para milhares de sites ao mesmo tempo. Este xmlrpc.PHP feature oferece hackers com vários endereços IP para enviar seus ataques DDoS.
BrutForce Attack
1-When you open xmlrpc.php, você verá isto localizado em–
http://<xyz.com>/<wordpress directory>/xmlrpc.php
2- Agora, abra seu proxy e você precisa enviar o pedido novamente.
3- Nesta fase, você precisa enviar um pedido de post e fazer uma lista de todos os métodos acessíveis a você. Deves estar a perguntar-te porquê? É assim que você vai estar familiarizado com todas as ações que são possíveis fazer e usá-lo para o ataque.
para listar todos os métodos, você precisa enviar um pedido de post com os dados de post mencionados abaixo na imagem, você receberá um feedback com todos os métodos disponíveis.
<methodCall><methodName>system.listMethods</methodName><params></params></methodCall>
Ter um olhar mais atento para o seguinte, se eles estão com você, então podemos seguir em frente com o ataque
*)wp.getUserBlogs*)wp.getCategories*)metaWeblog.getUsersBlogs
3- Você precisa enviar o seguinte na solicitação POST para realizar a força bruta de início de sessão. Se estiver ciente de quaisquer outros nomes de utilizador válidos, o WP-scan pode ajudá-lo a encontrar nomes de utilizador válidos.
<methodCall><methodName>wp.getUsersBlogs</methodName><params><param><value>admin</value></param><param><value>pass</value></param></params></methodCall>
4 – tudo o que precisas para entrar nisto é de intruso e força bruta. Não importa se você inseriu uma senha correta ou errada, você vai acabar tendo uma resposta correta. É aqui que você terá que decidir entre o errado e correto com base no tamanho da resposta. No caso de você estiver usando o intruso, a resposta sobre o início de sessão correcto será parecido com o seguinte–
o Que Pode XML-RPC Ser Usada Para
XMLRPC tem seu quinhão de usos, vamos discuti-los–
- Aplicar pingbacks e trackbacks – de acordo com este método, os blogs estão a ser notificado de que você tenha ligado a eles. Trackbacks XMLRPC são feitos manualmente e extrato curto tem que ser compartilhado. Os pingbacks XMLRPC são automatizados e nenhum extrato curto precisa ser compartilhado.
- provisão para acessar o seu site remotamente e capaz de fazer alterações – vamos assumir uma situação em que você tem que fazer alterações ao seu blog WordPress, mas infelizmente você não tem acesso ao seu laptop ou computador.
você pode instalar o aplicativo WordPress em seu smartphone para postar no seu site. O aplicativo pode realizar isso com a ajuda de um recurso conhecido como acesso remoto que é habilitado por um arquivo conhecido como xmlrpc.pai.
- permite que o plugin JetPack se conecte ao WordPress.com-nos últimos anos, o plugin ganhou imensa popularidade em todo o mundo. Com JetPack plugin, você pode projetar, proteger e crescer o seu site WordPress. Se você usar uma fusão do aplicativo WordPress e JetPack, você vai precisar do xmlrpc.ficheiro php para o seu bom funcionamento.
como desativar o XMLRPC no WordPress?
Por que não basta desabilitar xmlrpc completamente
é fácil fazer isso com a ajuda do plugin discutido acima; no entanto, se você usar o famoso plugins, tais como o JetPack, em seguida, esses plugins irá parar de funcionar completamente.
é aqui que vamos discutir três maneiras de usar que você pode facilmente desativar XML-RPC no site WordPress.
Desativar XML-RPC do WordPress 3.5
Tudo o que você precisa fazer é colar o seguinte código em um site-plugin específico:
1
|
add_filter( 'xmlrpc_enabled' , '__return_false' ); |
a Desativação XML-RPC com um plugin
uma vez que existem vários plugins no repositório do WordPress, a desativação xmlrpc.o php vai ser fácil. Vamos mostrar-lhe como fazê-lo, passo a passo, com a ajuda de ‘disable xmlrpc plugin’.
- na primeira etapa, você precisa entrar no seu painel de controle wp-admin. Uma vez que você tenha logado, você tem que ir para Plugins.
- você verá Adicionar novo ao lado dos plugins.
com a ajuda de uma barra de pesquisa, terá de procurar desactivar o Xmlrpc. Você precisa ver o seguinte plugin nos resultados–
é aqui que precisa de activar e instalar um plugin xmlrpc desactivado. Uma vez que você ativar o plugin, a funcionalidade xmlrpc será desativada. A versão do seu site WordPress deve ser 3.5 e acima.
uma vez que o plugin é livre, então você deve manter uma verificação sobre as atualizações regulares que o plugin recebe, garantindo que ele ainda está em uso pelo seu criador.
WordPress desativar Plugins Xmlrpc
desativar XML-RPC
este plugin irá funcionar na versão do site WordPress rodando em 3.5 ou acima. Sites WordPress rodando na versão 3.5 ou acima, xmlrpc é ativado por padrão. Além disso, a opção que activa e desactiva o xmlrpc foi removida. Existem inúmeras razões devido às quais os proprietários podem querer desativar a funcionalidade. Usando este plugin, ele pode ser facilmente feito. Aqui está como você pode instalar este plugin–
- Para instalar este plugin, é necessário enviar a pasta xmlrpc para o /wp-content/plugins/directory enquanto instala o WordPress.
- você pode ativar o plugin através do menu’ Plugins ‘ no WordPress.
- nesta fase o seu xmlrpc está desactivado.
remover & desactivar XML-RPC Pingback
não tem de ser vítima de ataques de negação de serviço pingback. Uma vez que você tenha ativado o plugin, xml-rpc é desativado automaticamente. A melhor coisa sobre este plugin é que você não tem que configurar nada. Quando desactivar o pingback do xmlrpc, poderá reduzir a utilização do CPU do servidor.
instalar o plugin usando o painel de instrumentos WordPress–
- no painel de instrumentos dos plugins, você precisa navegar para o’Adicionar Novo’.
- é aqui que precisa de procurar por ‘remover o Pingback do XMLRPC’.
- nesta fase, você precisa carregar em ‘Install Now’.
- Agora, você tem que ativar o plugin no painel de instrumentos do plugin.
Uploading in WordPress Dashboard–
- no painel de instrumentos do plugin, você precisa navegar para o’Adicionar Novo’.
- Mova-se para a área de’ envio’.
- é aqui que você precisa selecionar remove-xmlrpc-ping.zip do seu portátil / computador.
- é necessário carregar em ‘Instalar Agora’.
- Agora, você tem que ativar o plugin no painel de instrumentos do plugin.
usando FTP–
- no primeiro passo, você precisa baixar o remove-xmlrpc-pingback-ping.postal.
- tem de extrair a pasta remover-xmlrpc-pingback-ping para o seu portátil/computador.
- nesta fase, terá de enviar a pasta remover-xmlrpc-pingback-ping para a pasta /wp-content/plugins/ directory.
- Agora, você tem que ativar o plugin no painel de instrumentos do plugin.
Loginizer
este é um dos plugins WordPress mais eficazes que o ajuda a lutar contra um ataque brutforce. O plugin faz isso bloqueando o login para o IP, uma vez que ele tenha atingido o maior retiro permitido. Com a ajuda deste plugin, você pode facilmente blacklist ou whitelist IPs para fins de login. Você tem a disposição de usar outros recursos como-re, Login PasswordLess, dois fator Autor, etc.
siga os passos abaixo mencionados para instalar o plugin–
- em primeiro lugar, você precisa entrar no seu Painel de administração WordPress.
- o segundo passo envolve ir para a página Plugins, posteriormente passando a Adicionar Novo.
- é aqui que tem de procurar o Loginizador.
- carregue no botão Instalar Agora.
- Para ativar o plugin, você precisa carregar no botão de ativar.
- vá para o seu painel de instrumentos, passando para a configuração e depois para o Loginizador.
- cabe-lhe a si configurar as opções ou usar as opções predefinidas.
- isto está feito e você está pronto para ir.
Login simples
tudo o que você precisa é de um número aleatório de três dígitos para o login WordPress. Você pode ver o número correto que é mostrado acima do campo através de um código de JavaScript. A melhor coisa sobre o plugin é que ele é compatível com o formulário de login WooCommerce.
praticamente como qualquer outro plugin, você só precisa instalar e ativar o plugin. Falta-lhe configuração.
- em primeiro lugar, você precisa visitar seus Plugins Adicionar um novo ecrã.
- pode procurar o ‘plugin’ se procurar uma autenticação simples .
- carregue no botão ‘Instalar agora’ para instalar o ‘plugin’.
- carregue no botão “Activar” para activar o plugin.
incapacitando XML-RPC via .htaccess –
Talking about Apache web server software,.arquivos htaccess alteram a configuração dos arquivos. Como resultado, antes de ser passado para o WordPress, os pedidos de acesso são deficientes.
você pode facilmente desativar xmlrpc no WordPress, seguindo os passos abaixo mencionados–
- com a ajuda do File Transfer Protocol client – Filezilla, você pode facilmente acessar seu site.
- agora, você precisa acessar .htaccess na sua pasta de topo.
- pode haver uma situação em que as configurações padrão podem esconder o arquivo. Se se deparar com tal situação, vá para as configurações e carregue no botão ‘Mostrar as pastas escondidas’. Você tem que garantir que você salvou as mudanças. Nesta fase, você deve ser capaz de ver o seu arquivo.
- uma vez que você tenha aberto o arquivo, você precisa digitar o código abaixo mencionado–
# Block WordPress xmlrpc.php requests<Files xmlrpc.php>order deny,allowdeny from allallow from 123.123.123.123</Files>
Finalmente, Salve todas as mudanças que você fez e você está pronto para ir.
se você ainda tem alguma dúvida ou dúvida sobre como desativar xmlrpc no WordPress, você pode entrar em contato conosco e nossa equipe de especialistas irá ajudá-lo.
Confira também o nosso guia sobre-erros mais comuns do WordPress em 2020
outras questões WordPress & suas correções:
- Como Corrigir Tela Branca da Morte no WordPress
- Como Corrigir Permissões de Arquivo E Pasta de Erro do WordPress
- Como Proteger Seu Site WordPress, em 2020
- Como Remover “Este Site Pode Ser Hackeada” Do WordPress
- Como Excluir Oculto Usuário Administrador No WordPress
- Como corrigir “O link que você seguiu expirou” no WordPress
- Como Corrigir Conectável.erros de arquivo php no WordPress?
- como corrigir o envio: Falha ao Gravar Arquivo para o Disco” WordPress Erro
- Como Corrigir “tem Certeza de Que Deseja Fazer Isso” WordPress
- Como Corrigir 503 Serviço Indisponível Erro no WordPress
- Como Corrigir Erro de análise: Erro de Sintaxe no WordPress?
- How To Fix “This Account Has Been Suspended” issue
- How To Remove Malware From Hacked WordPress site
- How To Fix WordPress Malware Redirect Hack?
- Como Remover Favicon .Hack da ico no WordPress
este post foi modificado pela última vez em 7 de setembro de 2020