Hur inaktiverar du XML-RPC i WordPress manuellt och Plugins?

WordPress inaktivera XMLRPC

 hur du inaktiverar XMLRPC.php i WordPress-Xml RPC WordPress Plugins

XMLRPC.PHP är ett system som tillåter fjärruppdateringar till WordPress från olika andra applikationer. Det här inlägget om WordPress Xmlrpc hjälper dig att förstå varför inaktivera WordPress XMLRPC är en bra ide och 4 sätt att inaktivera xmlrpc i wordpress, manuellt & med hjälp av plugins.

Vad är WordPress XMLRPC?

XMLRPC.php är en funktion som tillåter fjärranslutning till WordPress. Detta API erbjuder utvecklare av stationära appar och mobilappar en förmåga att kommunicera med din WordPress-webbplats. Detta API erbjuder utvecklare att skriva applikationer som ger Dig möjlighet att göra många saker när du är inloggad på WordPress via webbgränssnitt inklusive–

  • när du laddar upp en ny fil, till exempel en bild för ett inlägg.
  • när du redigerar kommentarer.
  • när du redigerar ett inlägg.
  • när du tar bort ett inlägg.
  • när du publicerar ett inlägg.
  • när du får en lista med kommentarer.

för att få en bättre förståelse för xmlrpc.php-fil, det är absolut nödvändigt att känna till följande grunder–

  • RPC är Remote Procedure Call-detta hjälper dig att ringa ett förfarande på distans från en arbetsstation eller en enhet.
  • XML (Extensible Markup Language) – det här språket är inramat för att lagra och transportera data, ungefär som HTTP.
  • HTTP (Hyper Text Transfer Protocol) – det är ett applikationsprotokoll som definierar hur meddelandena ska formateras och vidare överföras över World Wide Web. Protokollet bestämmer också åtgärderna för både webbservrar och webbläsare som svar på kommandona. I det här fallet, med hjälp av HTTP, kan data enkelt överföras från en fjärrenhet till en webbplats.
  • PHP (Hypertext Pre-processor) – det är ett skript och programmeringsspråk. Detta specifika språk tjänar främst dynamiska webbplatser. Det används för att slå en konversation mellan –
  • användaren
  • webbplatsen
  • databaserna

så tekniskt sett med xmlrpc.php-fil ett fjärrprocedursamtal underlättas. Detta görs med hjälp av XML för att koda meddelandet och skicka det över HTTP. Med hjälp av detta kan information utbytas mellan enheter eller datorer.

what-is-xmlrpc-how-xml-Rpc-works

varför ska du inaktivera XML-RPC i WordPress

även om det låter fantastiskt att uppdatera en webbplats med ett enda kommando som utlöses på distans. men tyvärr väcker det också en stor röd flagga , och det är precis vad som hände med XML-RPC-funktionen i WordPress.

ursprungligen var det bra att inkludera den här funktionen i wordpress, men snart insåg man att det kan öppna en bakdörr i wordpress för hackare, skriptbots eller någon som försöker komma åt din wordpress-webbplats för att komma in och missbruka den. Innan WordPress 3.5 inaktiverades denna funktion som standard men snart efter idag är wordpress xmlrps aktiverat som standard.

utan tvekan har detta blivit den mest missbrukade funktionaliteten på wordpress. Det kan leda till massor av felaktiga förfrågningar från hackare, bots och skript, alla försöker hacka in på din WordPress-webbplats via en organiserad XML-RPC WordPress DDOS-attack.

vanliga XML-RPC-attacker

under de senaste två åren, efter två attacker på XMLRPC har fått enorm täckning, låt oss diskutera dem i detalj–

  • Brute force attacker via XML-RPC-du behöver inte oroa dig om du har expert vägledning av WP hackad hjälp eftersom när hacker har nått gränsen inloggningsförsök, vi helt enkelt blockera hacker. Enligt attacken försöker hackaren logga in på din WordPress-webbplats med hjälp av xmlrpc.php. Låt oss se i detalj nedan hur detta görs och hur du ska dra nytta av detta medan du testar en webbplats för potentiella WordPress-sårbarheter. Med ett enda kommando kan hackare undersöka hundratals olika lösenord. Som ett resultat gör det möjligt för dem att kringgå säkerhetsverktyg som upptäcker och blockerar brute force-attacker i wordpress. Du kan skydda din webbplats från hackare med våra WordPress-säkerhetstjänster.
  • DDoS via XML-RPC pingbacks – detta kan inte betecknas som en effektiv typ av DDoS och många anti-spam plugins kunde framgångsrikt upptäcka denna typ av missbruk. Med detta använde hackare pingback-funktionen i WordPress för att skicka pingbacks till tusentals webbplatser samtidigt. Denna xmlrpc.php-funktionen erbjuder hackare med många IP-adresser för att skicka sina DDoS-attacker.

BrutForce Attack

1 – när du öppnar xmlrpc.php, du kommer att se detta beläget på–

http://<xyz.com>/<wordpress directory>/xmlrpc.php

WordPress XML-RPC Attack

2- Öppna nu din proxy och du måste skicka begäran igen.

 Xml RPC WordPress

3- i detta skede måste du skicka en postförfrågan och göra en lista över alla metoder som är tillgängliga för dig. Du kanske undrar varför? Så här kommer du att känna till alla åtgärder som är möjliga att göra och använda den för attacken.

för att lista alla metoder måste du skicka en postförfrågan med postdata som nämns nedan i bilden, du får en feedback med alla tillgängliga metoder.

<methodCall><methodName>system.listMethods</methodName><params></params></methodCall>

WordPress XML-RPC sårbarhet

titta närmare på följande, om de är med dig kan vi gå vidare med attacken

*)wp.getUserBlogs*)wp.getCategories*)metaWeblog.getUsersBlogs

3- Du måste skicka följande i postförfrågan för att kunna utföra brute force-inloggning. Om du känner till några andra giltiga användarnamn, wp-scan kan hjälpa dig att hitta giltiga användarnamn.

<methodCall><methodName>wp.getUsersBlogs</methodName><params><param><value>admin</value></param><param><value>pass</value></param></params></methodCall>

 brute force xmlrpc wordpress

4 – Allt du behöver för att ange detta i inkräktare och brute force bort. Det spelar ingen roll om du har angett ett korrekt lösenord eller fel, du kommer att få ett korrekt svar. Det är här du måste bestämma mellan fel och korrekt baserat på svarets storlek. Om du använder intruder kommer svaret på rätt inloggning att vara som följer–

 XML-RPC sårbarhet wordpress

vad kan XML-RPC användas för

XMLRPC har sin rättvisa andel av användningarna, låt oss diskutera dem–

  • applicera pingbacks och trackbacks – enligt denna metod meddelas bloggar att du har länkat till dem. XMLRPC trackbacks görs manuellt och kort utdrag måste delas. Xmlrpc pingbacks är automatiserade och inget kort extrakt behöver delas.
  • tillhandahållande av åtkomst till din webbplats på distans och kunna göra ändringar – Låt oss anta en situation där du måste göra ändringar i din WordPress-blogg, men tyvärr har du inte tillgång till din bärbara dator eller dator.

du kan installera WordPress-applikationen på din smartphone för att posta på din webbplats. Appen kan utföra detta med hjälp av en funktion som kallas fjärråtkomst som aktiveras av en fil som kallas xmlrpc.php.

  • gör JetPack plugin för att ansluta till WordPress.com – under de senaste åren har plugin fått enorm popularitet över hela världen. Med JetPack plugin kan du designa, säkra och växa din WordPress-webbplats. Om du använder en sammanslagning av WordPress-appen och JetPack behöver du xmlrpc.php-fil för dess väl fungerande.

Hur inaktiverar du XMLRPC i WordPress?

varför inte bara inaktivera xmlrpc helt och hållet

det är lätt att göra detta med hjälp av plugin som diskuterats ovan; men om du använder kända plugins som JetPack kommer dessa plugins att sluta fungera helt.

det är här vi kommer att diskutera tre sätt att använda som du enkelt kan inaktivera XML-RPC i WordPress webbplats.

inaktivera XML-RPC i WordPress 3.5

allt du behöver göra är att klistra in följande kod i ett platsspecifikt plugin:

1
add_filter('xmlrpc_enabled', '__return_false');

inaktivera XML-RPC med ett plugin –

eftersom det finns flera plugins i WordPress-förvaret, inaktiverar xmlrpc.php kommer att vara lätt-peasy. Vi ska visa dig hur du gör det steg för steg med hjälp av ’inaktivera xmlrpc-plugin’.

  • i det första steget måste du logga in på din wp-admin-instrumentpanel. När du har loggat in måste du gå till Plugins.
  • du kommer att se Lägg till nytt bredvid plugins.

plugin inaktivera xmlrpc

med hjälp av en sökfält måste du leta efter inaktivera Xmlrpc. Du måste se följande plugin i resultaten–

plugin inaktivera xmlrpc wordpress

det är här du måste aktivera och installera en inaktivera xmlrpc plugin. När du aktiverar plugin kommer xmlrpc-funktionen att inaktiveras. Versionen av din WordPress-webbplats måste vara 3,5 och högre.

eftersom plugin är gratis, så du bör hålla koll på de regelbundna uppdateringar som plugin får, se till att det fortfarande används av dess skapare.

WordPress inaktivera xmlrpc Plugins

inaktivera XML-RPC

detta plugin fungerar på WordPress webbplats version som körs på 3.5 eller högre. WordPress-webbplatser som körs på version 3.5 eller senare är xmlrpc aktiverat som standard. Dessutom har alternativet som aktiverar och inaktiverar xmlrpc tagits bort. Det finns många anledningar på grund av vilka ägarna kanske vill inaktivera funktionaliteten. Med hjälp av detta plugin kan det enkelt göras. Så här kan du installera detta plugin–

  • för att installera detta plugin måste du ladda upp xmlrpc-katalogen till/wp-content/plugins / – katalogen medan du installerar WordPress.
  • du kan aktivera plugin genom att gå igenom ’Plugins’ – menyn i WordPress.
  • i detta skede är din xmlrpc inaktiverad.

ta bort & inaktivera XML-RPC Pingback

du behöver inte vara offer för pingback denial of service-attacker. När du har aktiverat plugin inaktiveras xml-rpc automatiskt. Det bästa med detta plugin är att du inte behöver konfigurera någonting. När du inaktiverar xmlrpc pingback kommer du att kunna skära ner serverns CPU-användning.

 wordpress xmlrpc pingback attack

installera plugin med WordPress instrumentpanelen–

  • i plugin-instrumentpanelen måste du navigera till ’Lägg till nytt’.
  • det är här du måste leta efter ’ta bort xmlrpc Pingback Ping’.
  • i detta skede måste du slå ’Installera nu’.
  • nu måste du aktivera plugin på plugin dashboard.

uppladdning i WordPress Dashboard–

  • i plugin-instrumentpanelen måste du navigera till ’Lägg till nytt’.
  • flytta till området ’Ladda upp’.
  • det är här du måste välja Ta bort-xmlrpc-ping.zip från din bärbara dator / dator.
  • du måste slå ’Installera nu’.
  • nu måste du aktivera plugin på plugin dashboard.

använda FTP–

  • i det första steget måste du ladda ner remove-xmlrpc-pingback-ping.zip.
  • du måste extrahera katalogen remove-xmlrpc-pingback-ping till din bärbara dator/dator.
  • i detta skede måste du ladda upp katalogen remove-xmlrpc-pingback-ping till katalogen /wp-content/plugins/.
  • nu måste du aktivera plugin på plugin dashboard.

Loginizer

Detta är en av de mest effektiva WordPress plugins som hjälper dig att bekämpa en brutforce attack. Plugin gör detta genom att blockera inloggningen för IP när den har nått de högsta tillåtna pensionerna. Med hjälp av detta plugin kan du enkelt svartlista eller vitlista IP-adresser för inloggningsändamål. Du har möjlighet att använda andra funktioner som-re, Lösenordslös inloggning, Tvåfaktorförfattare etc.

Följ nedanstående steg för att installera plugin–

  • först och främst måste du logga in på din WordPress-administratörspanel.
  • det andra steget innebär att gå till fliken Plugins och sedan gå vidare för att lägga till nya.
  • det är här du måste leta efter Loginizer.
  • tryck på knappen Installera nu.
  • för att aktivera plugin måste du trycka på knappen Aktivera.
  • gå till instrumentpanelen, gå vidare till Inställningar och sedan vidare till Loginizer.
  • det är upp till dig om du vill konfigurera inställningar eller vill använda standardinställningarna.
  • Detta är gjort och du är redo att gå.

enkel inloggning

allt du behöver är ett slumpmässigt tresiffrigt nummer för WordPress-inloggning. Du kan se rätt nummer som visas ovanför fältet genom en JavaScript-kod. Det bästa med plugin är att det är kompatibelt med WooCommerce inloggningsformulär.

ungefär som alla andra plugin, du behöver bara installera och aktivera plugin. Det saknar inställningar.

  • för det första måste du besöka dina Plugins Lägg till ny skärm.
  • du kan leta efter plugin genom att söka enkel inloggning .
  • tryck på knappen ’Installera nu’ för att installera plugin.
  • tryck på knappen ’Aktivera’ för att aktivera plugin.

inaktivera XML-RPC via .htaccess –

talar om Apache webbserverprogramvara,.htaccess-filer ändrar konfigurationen av filerna. Som ett resultat, innan det överförs till WordPress, är åtkomstförfrågningarna inaktiverade.

du kan enkelt inaktivera xmlrpc i WordPress genom att följa nedanstående steg–

  • med hjälp av File Transfer Protocol client-Filezilla kan du enkelt komma åt din webbplats.
  • nu måste du komma åt .htaccess i din rotmapp.
  • det kan finnas en situation där standardinställningarna kan dölja filen. Om du stöter på en sådan situation, gå till inställningarna och tryck på knappen ’Visa dolda mappar’. Du måste se till att du har sparat ändringarna. I detta skede bör du kunna se din fil.
  • när du har öppnat filen måste du skriva in den nedan nämnda koden–
# Block WordPress xmlrpc.php requests<Files xmlrpc.php>order deny,allowdeny from allallow from 123.123.123.123</Files>

äntligen, spara alla ändringar du har gjort och du är bra att gå.

om du fortfarande har några frågor eller tvivel om hur du inaktiverar xmlrpc i WordPress kan du komma i kontakt med oss och vårt expertteam hjälper dig.

också kolla in vår GUIDE på – vanligaste WordPress fel i 2020

fix wordpress xmlrpc-problem hjälp

andra WordPress-problem & deras korrigeringar:

  • så här fixar du Vit dödsskärm i WordPress
  • så här fixar du fil-och Mappbehörighetsfel WordPress
  • så här säkrar du din WordPress-webbplats 2020
  • så här tar du bort ”den här webbplatsen kan hackas” från WordPress
  • så här tar du bort dold administratörsanvändare i WordPress
  • hur man fixar ”länken du följde har gått ut” i WordPress
  • hur man fixar Pluggable.php-filfel i WordPress?
  • hur man fixar ”Ladda upp: Det gick inte att skriva fil till Disk ”WordPress Error
  • Hur fixar” är du säker på att du vill göra detta ” WordPress
  • Hur fixar 503 Tjänsten otillgänglig fel i WordPres
  • Hur fixar Parse Error: Syntax Error i WordPress?
  • Hur fixar ”detta konto har stängts av” fråga
  • Hur tar man bort skadlig kod från hackad WordPress webbplats
  • Hur fixar WordPress Malware omdirigera hacka?
  • Hur Tar Man Bort Favicon .ICO hack i WordPress

detta inlägg ändrades senast den 7 September 2020