Jak wyłączyć XML-RPC w WordPress

Usługa XML-RPC była domyślnie wyłączana przez dłuższy czas, głównie ze względów bezpieczeństwa. W WordPress 3.5, to ma się zmienić. XML-RPC będzie domyślnie włączony, a możliwość wyłączenia go z pulpitu WordPress zniknie. W tym artykule pokażemy, jak wyłączyć XML-RPC w WordPress i porozmawiamy o decyzji o domyślnym włączeniu.

Co to jest XML-RPC?

Według Wikipedii, XML-RPC jest zdalnym wywołaniem procedury, które wykorzystuje XML do kodowania swoich wywołań i HTTP jako mechanizm transportu. Krótko mówiąc, jest to system, który pozwala publikować na swoim blogu WordPress za pomocą popularnych klientów blogów, takich jak Windows Live Writer. Jest to również potrzebne, jeśli korzystasz z aplikacji mobilnej WordPress. Jest to również potrzebne, jeśli chcesz nawiązać połączenia z usługami takimi jak IFTTT.

Jeśli chcesz uzyskać dostęp i opublikować na swoim blogu zdalnie, musisz włączyć XML-RPC.

W przeszłości istniały problemy z bezpieczeństwem XML-RPC, więc był on domyślnie wyłączony. W swoim komentarzu na Trac ticket #21509, @ nacin jeden z głównych współpracowników WordPress powiedział:

Sporo się zmieniło od czasu wprowadzenia off-by-default dla XML-RPC. Ich kod poprawił się i nie jest już uważany za obywatela drugiej klasy, jeśli chodzi o rozwój API, dzięki pracy dużego zespołu niesamowitych współpracowników. Bezpieczeństwo nie jest większym problemem niż reszta rdzenia.

Nie ma już przekonującego powodu, aby domyślnie wyłączyć tę funkcję. Czas całkowicie usunąć tę opcję.

Wraz z rosnącym wykorzystaniem urządzeń mobilnych, zmiana ta była nieuchronna. Jednak niektórzy ostrożni w zakresie bezpieczeństwa mogą powiedzieć, że chociaż bezpieczeństwo XML-RPC nie jest tak dużym problemem, nadal zapewnia dodatkową powierzchnię do ataku, jeśli kiedykolwiek wykryto lukę. W ten sposób utrzymanie go wyłączonego miałoby większy sens.

Aby wszyscy byli zadowoleni, podczas gdy opcja interfejsu użytkownika i opcja bazy danych, aby wyłączyć XML-RPC została usunięta, istnieje Filtr, którego możesz użyć, aby go wyłączyć w razie potrzeby.

Jak wyłączyć XML-RPC w WordPress 3.5

Wszystko, co musisz zrobić, to wkleić następujący kod do wtyczki specyficznej dla witryny:

add_filter ('xmlrpc_enabled', '_ _ return _ false');

Alternatywnie, możesz po prostu zainstalować wtyczkę o nazwie Disable XML-RPC. Wszystko, co musisz zrobić, to go aktywować. Robi dokładnie to samo, co powyższy kod.

Jak wyłączyć WordPress XML-RPC z .htaccess

Chociaż powyższe rozwiązanie jest wystarczające dla wielu, nadal może być zasobochłonne dla witryn, które są atakowane.

W takich przypadkach możesz wyłączyć wszystkie xmlrpc.żądania php z .plik htaccess przed przekazaniem żądania na WordPress.

Po prostu wklej poniższy kod w swoim .plik htaccess:

# Block WordPress xmlrpc.żądania php
< Pliki xmlrpc.php>
order deny, allow
zaprzecz wszystkim
pozwól od 123.123.123.123
< / Files>

Ponieważ nie używamy żadnej aplikacji mobilnej ani zdalnych połączeń do publikowania na WPBeginner, domyślnie wyłączymy XML-RPC. Jakie są Twoje opinie na ten temat?