cum să dezactivați XML-RPC în WordPress manual și pluginuri?
WordPress dezactiva XMLRPC
XMLRPC.PHP este un sistem care autorizează actualizări la distanță pentru WordPress din diverse alte aplicații. Această postare despre WordPress xmlrpc vă va ajuta să înțelegeți de ce dezactivarea WordPress xmlrpc este o idee bună și 4 moduri de a dezactiva xmlrpc în wordpress, manual & folosind pluginuri.
ce este WordPress XMLRPC?
XMLRPC.php este o caracteristică care permite conectarea la distanță la WordPress. Acest API oferă dezvoltatorilor de aplicații desktop și aplicații mobile capacitatea de a comunica cu site-ul dvs. Acest API oferă dezvoltatorilor să scrie aplicații care vă permit să faceți numeroase lucruri ori de câte ori sunteți conectat la WordPress prin interfața web, inclusiv–
- ori de câte ori încărcați un fișier nou, cum ar fi o imagine pentru o postare.
- ori de câte ori editați comentarii.
- ori de câte ori editați o postare.
- ori de câte ori ștergeți o postare.
- ori de câte ori publicați o postare.
- ori de câte ori veți obține o listă de comentarii.
pentru a avea o mai bună înțelegere a xmlrpc.fișier php, este imperativ să fiți familiarizați cu următoarele elemente de bază–
- RPC este Apel de procedură la distanță – acest lucru vă ajută să apelați o procedură de la distanță de la o stație de lucru sau de la un dispozitiv.
- XML (Extensible Markup Language) – acest limbaj special este încadrat pentru a stoca și transporta date, cam la fel ca HTTP.
- HTTP (Hyper Text Transfer Protocol) – este un protocol de aplicație care definește modul în care mesajele vor fi formatate și transmise în continuare pe World Wide Web. Protocolul determină, de asemenea, acțiunile serverelor web și ale browserelor ca răspuns la comenzi. În acest caz, cu ajutorul HTTP, datele pot fi transferate cu ușurință de pe un dispozitiv la distanță pe un site web.
- PHP (Hypertext Pre-processor) – este un limbaj de scripting și programare. Acest limbaj special servește în principal site-uri web dinamice. Este folosit pentru a lovi o conversație între –
- utilizatorul
- site-ul
- bazele de date
deci, tehnic vorbind, cu xmlrpc.fișier php un apel de procedură la distanță este facilitat. Acest lucru se face folosind XML pentru a codifica mesajul și trimite-l peste HTTP. Folosind acest lucru, Informațiile pot fi schimbate între dispozitive sau computere.
de ce ar trebui să dezactivați XML-RPC în WordPress
deși sună uimitor pentru actualizarea unui site web cu o singură comandă care este declanșată de la distanță. dar, din păcate, ridică și un steag roșu mare și exact asta s-a întâmplat cu funcția XML-RPC din WordPress.
inițial, a fost o idee bună să includeți această funcționalitate în wordpress, dar în curând s-a realizat că poate deschide un backdoor în wordpress pentru hackeri, Roboți de script sau oricine încearcă să acceseze site-ul dvs. Înainte de WordPress 3.5, această funcționalitate a fost dezactivată în mod implicit, dar la scurt timp după ce wordpress xmlrps este activat în mod implicit.
fără îndoială, aceasta a devenit cea mai abuzată funcționalitate de pe wordpress. Aceasta poate duce la o mulțime de Cereri defecte de la hackeri, roboții și script-uri, toate încercarea de a hack în site-ul WordPress printr-un atac organizat XML-RPC WordPress DDoS.
atacuri comune XML-RPC
în ultimii doi ani, în urma a două atacuri asupra XMLRPC au primit o acoperire imensă, să le discutăm în detaliu–
- Brute force attacks via XML-RPC – nu trebuie să vă faceți griji dacă aveți îndrumarea expert de WP hacked ajutor pentru că odată ce hacker a atins limita de încercare de conectare, vom bloca pur și simplu hacker. Conform atacului, hackerul încearcă să se conecteze la site-ul dvs.php. Să vedem, în detaliu mai jos, cum se face acest lucru și cum veți profita de acest lucru în timp ce testați un site web pentru potențiale vulnerabilități WordPress. Cu o singură comandă, hackerii pot examina sute de parole diferite. Drept urmare, acest lucru le permite să ocolească instrumentele de securitate care detectează și blochează atacurile de forță brută în wordpress. Vă puteți proteja site-ul de hackeri cu serviciile noastre de securitate WordPress.
- DDoS prin XML-RPC pingbacks – acest lucru nu poate fi numit ca un tip eficient de DDoS și numeroase plugin-uri anti-spam au reușit să descopere cu succes acest tip de abuz. Cu aceasta, hackerii foloseau funcția pingback din WordPress pentru a trimite pingback-uri către mii de site-uri simultan. Acest xmlrpc.funcția php oferă hackerilor numeroase adrese IP pentru a-și trimite atacurile DDoS.
BrutForce atac
1 – când deschideți xmlrpc.php, veți vedea acest lucru situat la–
http://<xyz.com>/<wordpress directory>/xmlrpc.php
2- Acum, deschideți proxy-ul și trebuie să trimiteți din nou cererea.
3- în această etapă, trebuie să trimiteți o solicitare de postare și să faceți o listă cu toate metodele accesibile pentru dvs. S-ar putea să vă întrebați de ce? Acesta este modul în care veți fi familiarizați cu toate acțiunile care sunt posibile pentru a face și de a folosi pentru atac.
pentru a lista toate metodele, trebuie să trimiteți o solicitare de postare cu datele de postare menționate mai jos în imagine, veți primi un feedback cu toate metodele disponibile.
<methodCall><methodName>system.listMethods</methodName><params></params></methodCall>
au o privire mai atentă la următoarele, în cazul în care acestea sunt cu tine, atunci putem merge mai departe cu atacul
*)wp.getUserBlogs*)wp.getCategories*)metaWeblog.getUsersBlogs
3- trebuie să trimiteți următoarele în solicitarea POST pentru a efectua autentificarea cu forță brută. Dacă sunteți conștient de orice alte nume de utilizator valide, WP-scan vă poate ajuta să găsiți nume de utilizator valide.
<methodCall><methodName>wp.getUsersBlogs</methodName><params><param><value>admin</value></param><param><value>pass</value></param></params></methodCall>
4 – Tot ce ai nevoie pentru a intra în acest intrus și forța brută departe. Nu contează dacă ați introdus o parolă corectă sau greșită, veți ajunge să aveți un răspuns corect. Aici va trebui să decideți între greșit și corect în funcție de mărimea răspunsului. În cazul în care utilizați intruder, răspunsul la autentificarea corectă va fi următorul–
ce poate fi folosit XML-RPC pentru
XMLRPC are partea sa echitabilă de utilizări, să le discutăm–
- aplicați pingbacks și trackbacks – conform acestei metode, blogurile sunt notificate că le-ați legat. Xmlrpc trackback sunt realizate manual și extract scurt trebuie să fie partajate. Xmlrpc pingbacks sunt automatizate și nici un extract scurt trebuie să fie partajate.
- furnizarea de acces la site – ul dvs. de la distanță și capabil să facă modificări-să presupunem o situație în care trebuie să facă modificări la blog-ul WordPress, dar, din păcate, nu aveți acces la laptop sau computer.
puteți instala aplicația WordPress pe smartphone-ul dvs. pentru a posta pe site-ul dvs. web. Aplicația poate efectua acest lucru cu ajutorul unei funcții cunoscute sub numele de acces la distanță, care este activată de un fișier cunoscut sub numele de xmlrpc.php.
- permite pluginului JetPack să se conecteze la WordPress.com – în ultimii doi ani, plugin-ul a câștigat popularitate imensă pe tot globul. Cu JetPack plugin, puteți proiecta, securiza și dezvolta site-ul dvs. Dacă utilizați o fuziune a aplicației WordPress și JetPack, veți avea nevoie de xmlrpc.fișier php pentru buna funcționare.
cum să dezactivați XMLRPC în WordPress?
de ce nu dezactivați doar xmlrpc cu totul
este ușor să faceți acest lucru cu ajutorul pluginului discutat mai sus; cu toate acestea, dacă utilizați pluginuri celebre, cum ar fi JetPack, atunci acele pluginuri nu vor mai funcționa complet.
aici vom discuta despre trei moduri prin care puteți dezactiva cu ușurință XML-RPC în site-ul WordPress.
dezactivați XML-RPC în WordPress 3.5
tot ce trebuie să faceți este să lipiți următorul cod într-un plugin specific site-ului:
1
|
add_filter( 'xmlrpc_enabled' , '__return_false' ); |
dezactivarea XML-RPC cu un plugin –
deoarece există mai multe pluginuri în depozitul WordPress, dezactivarea xmlrpc.php va fi ușor-peasy. Vă vom arăta cum să o faceți, pas cu pas, cu ajutorul ‘dezactivați pluginul xmlrpc’.
- în primul pas, trebuie să vă conectați la tabloul de bord wp-admin. După ce v-ați conectat, trebuie să accesați pluginuri.
- veți vedea adăugați noi lângă pluginuri.
cu ajutorul unei bare de căutare, trebuie să căutați disable Xmlrpc. Trebuie să vedeți următorul plugin în rezultate–
aici trebuie să activați și să instalați un plugin disable xmlrpc. După ce activați pluginul, funcția xmlrpc va fi dezactivată. WordPress trebuie să fie 3.5 și mai sus.
deoarece plugin-ul este gratuit, deci ar trebui să păstreze o verificare pe actualizări regulate care plugin-ul primește, asigurându-se că este încă în uz de creatorul său.
WordPress dezactivează pluginurile xmlrpc
dezactivează XML-RPC
acest plugin va funcționa pe versiunea site-ului WordPress care rulează pe 3.5 sau mai sus. Site-uri WordPress care rulează pe versiunea 3.5 sau mai sus, xmlrpc este activat în mod implicit. În plus, opțiunea care activează și dezactivează xmlrpc a fost eliminată. Există numeroase motive pentru care proprietarii ar putea dori să dezactiveze funcționalitatea. Folosind acest plugin, se poate face cu ușurință. Iată cum puteți instala acest plugin–
- Pentru a instala acest plugin, trebuie să încărcați directorul xmlrpc în directorul /wp-content/plugins/în timp ce instalați WordPress.
- puteți activa pluginul accesând meniul ‘Plugins’ din WordPress.
- în această etapă xmlrpc-ul dvs. este dezactivat.
Remove & Disable XML-RPC Pingback
nu trebuie să fie o victimă a pingback denial of Service atacuri. După ce ați activat pluginul, xml-rpc este dezactivat automat. Cel mai bun lucru despre acest plugin este că nu trebuie să configurați nimic. Când dezactivați xmlrpc pingback, veți putea reduce utilizarea procesorului serverului.
instalați plugin-ul folosind tabloul de bord WordPress–
- în tabloul de bord plugin – uri, trebuie să navigați la ‘Add New’.
- aici trebuie să căutați ‘eliminați Pingback-ul xmlrpc’.
- în această etapă, trebuie să apăsați ‘Install Now’.
- acum, trebuie să activați pluginul în tabloul de bord al pluginului.
încărcarea în tabloul de bord WordPress–
- în tabloul de bord plugin, aveți nevoie pentru a naviga la ‘Add New’.
- mutați în zona ‘Încărcare’.
- aici trebuie să selectați remove-xmlrpc-ping.zip de la laptop / computer.
- trebuie să apăsați ‘Install Now’.
- acum, trebuie să activați pluginul în tabloul de bord al pluginului.
folosind FTP–
- în primul pas, trebuie să descărcați remove-xmlrpc-pingback-ping.zip.
- trebuie să extrageți directorul remove-xmlrpc-pingback-ping pe laptop/computer.
- în această etapă, trebuie să încărcați directorul remove-xmlrpc-pingback-ping în directorul /wp-content/plugins/.
- acum, trebuie să activați pluginul în tabloul de bord al pluginului.
Loginizer
acesta este unul dintre cele mai eficiente pluginuri WordPress care vă ajută să luptați împotriva unui atac brutforce. Pluginul face acest lucru blocând datele de conectare pentru IP odată ce a atins cele mai mari retrageri permise. Cu ajutorul acestui plugin, puteți lista neagră sau lista albă IP-uri cu ușurință în scopuri de conectare. Aveți furnizarea de a utiliza alte caracteristici – cum ar fi-re, autentificare fără parolă, doi factori de autor, etc.
urmați pașii menționați mai jos pentru a instala pluginul–
- în primul rând, trebuie să vă conectați la panoul de administrare WordPress.
- al doilea pas implică accesarea filei Plugins, apoi trecerea la adăugarea de noi.
- aici trebuie să căutați Loginizer.
- apăsați butonul de instalare acum.
- Pentru a activa plugin-ul, aveți nevoie pentru a lovi butonul de activare.
- accesați tabloul de bord, trecând la Setări, apoi la Loginizer.
- depinde de dvs. dacă doriți să configurați setările sau doriți să utilizați setările implicite.
- acest lucru este făcut și sunteți gata să mergeți.
conectare simplă
tot ce aveți nevoie este un număr aleatoriu din trei cifre pentru conectarea WordPress. Puteți vedea numărul corect care este afișat deasupra câmpului printr-un cod JavaScript. Cel mai bun lucru despre plugin este că este compatibil cu formularul de conectare WooCommerce.
la fel ca orice alt plugin, trebuie doar să instalați și să activați pluginul. Îi lipsesc setările.
- în primul rând, trebuie să vizitați pluginurile dvs. adăugați un ecran nou.
- puteți căuta pluginul căutând autentificare simplă .
- apăsați butonul ‘Install Now’ pentru a instala plugin-ul.
- apăsați butonul ‘Activare’ pentru a activa plugin-ul.
dezactivarea XML-RPC prin .htaccess-
vorbind despre software-ul serverului web Apache,.fișierele htaccess modifică configurația fișierelor. Drept urmare, înainte de a fi transmis către WordPress, cererile de acces sunt dezactivate.
puteți dezactiva cu ușurință xmlrpc în WordPress urmând pașii menționați mai jos–
- cu ajutorul File Transfer Protocol client-Filezilla, puteți accesa cu ușurință site-ul dvs. web.
- acum, trebuie să accesați .htaccess în folderul rădăcină.
- poate exista o situație în care setările implicite pot ascunde fișierul. Dacă întâlniți o astfel de situație, accesați setările și apăsați butonul ‘Afișați folderele ascunse’. Trebuie să vă asigurați că ați salvat modificările. În această etapă, ar trebui să puteți vizualiza fișierul.
- după ce ați deschis fișierul, trebuie să introduceți codul menționat mai jos–
# Block WordPress xmlrpc.php requests<Files xmlrpc.php>order deny,allowdeny from allallow from 123.123.123.123</Files>
în cele din urmă, salvați toate modificările pe care le-ați făcut și sunteți bine să mergeți.
dacă mai aveți întrebări sau îndoieli cu privire la modul de dezactivare a xmlrpc în WordPress, puteți lua legătura cu noi și echipa noastră de experți vă va ajuta.
de asemenea, consultați ghidul nostru-cele mai frecvente erori WordPress în 2020
alte probleme WordPress & remedierile lor:
- cum să remediați ecranul alb al morții în WordPress
- cum să remediați eroarea permisiunilor de fișiere și foldere WordPress
- cum să vă securizați site-ul WordPress în 2020
- cum să eliminați „acest Site poate fi Hacked” din WordPress
- cum să ștergeți utilizatorul Admin ascuns în WordPress
- cum să remediați „linkul pe care l-ați urmat a expirat” în WordPress
- cum să remediați conectabil.erori de fișiere php în WordPress?
- cum să remediați ” încărcați: Eroare la scrierea fișierului pe disc” eroare WordPress
- cum să remediați „sunteți sigur că doriți să faceți acest lucru” WordPress
- cum să remediați eroarea indisponibilă a serviciului 503 în WordPres
- cum să remediați eroarea de analiză: eroare de sintaxă în WordPress?
- cum să remediați problema” acest cont a fost suspendat ”
- cum să eliminați Malware-ul de pe site-ul WordPress Hacked
- cum să remediați hack-ul de redirecționare a malware-ului WordPress?
- Cum Să Eliminați Favicon .ico hack în WordPress
această postare a fost modificată ultima dată pe 7 septembrie 2020