511
WordPress XML-RPC: Maksymalna elastyczność i płynna integracja. Jednak powoduje to również zwiększoną podatność na luki w zabezpieczeniach.
xmlrpc.php – proste wyjaśnienie
XML-RPC to skrót od „Extensible Markup Language Remote Procedure Call”.
- Jest to specyfikacja protokołu, która umożliwia przesyłanie zdalnych żądań w sieciach komputerowych.
- Często używany przez zewnętrzne aplikacje lub usługi do interakcji z serwerem WordPress bez konieczności bezpośredniego dostępu do interfejsu administratora WordPress.
- Użycie XML-RPC wymaga uwierzytelnienia, zazwyczaj poprzez użycie nazwy użytkownika i hasła lub tokena.
- W starszych wersjach WordPressa ten interfejs był wyłączony.
- Od wersji WordPress 3.5, XML-RPC jest domyślnie włączony, aby umożliwić aplikacji mobilnej komunikację z instalacją WordPress.
xmlrpc.php – Bezpieczeństwo
XML-RPC może być zarówno użyteczny, jak i potencjalnie ryzykowny. Umożliwia automatyzację zadań i integracji, ale może również otwierać luki w zabezpieczeniach.
- Wraz z wprowadzeniem REST API w rdzeniu WordPress, XML-RPC nie jest już wymagany do celów komunikacji.
- Z powodów bezpieczeństwa zaleca się wyłączenie XML-RPC.
- Zakres systemów, z którymi REST API może wchodzić w interakcje, jest również znacznie szerszy niż w przypadku XML-RPC.
xmlrpc.php – Wyłącz
W związku z zastąpieniem XML-RPC przez REST API zaleca się wyłączenie xmlrpc.php w witrynie.
- Aby wyłączyć interfejs w kodzie, należy dodać następujący kod do pliku .htaccess:
- Order Allow,Deny ().
- Deny from allAlternatywnie, można zminimalizować ryzyko bezpieczeństwa za pomocą wtyczki WordPressDisable XML-RPC Pingback.
- W niektórych przypadkach dostawca hostingu może również wyłączyć XML-RPC.
