آموزش غیر فعال کردن XML-RPC در وردپرس

تا نسخه 3.8 وردپرس XML-RPC به طور پیشفرض بر روی این سیستم مدیریت محتوا غیر فعال بود. بعد از نسخه 3.8 تیم وردپرس با اعلام این موضوع که حالا دیگر به اندازه ی سایر بخش های وردپرس میتوان به این امکان اعتماد کرد و از آنجایی که برای استفاده از اپلیکیشن موبایل وردپرس هم نیاز بود این امکان فعال باشد، به صورت پیشفرض XML-RPC را روی وردپرس فعال کرد. امروز با اینکه حفره ی امنیتی خاصی در رابطه با فایل xml.rpc وجود ندارد ولی این فایل هدف حمله ی بسیاری از افراد خرابکار قرار میگیرد که قصدشان چیزی جز داون کردن سایت شما نیست. بنابراین در آموزش امروز به همراه “بویر دیزاین” نحوه ی غیر فعال کردن XML-RPC و جلوگیری از دسترسی به آن در وردپرس را خواهیم آموخت. با ما همراه شوید.

XML-RPC چیست؟ چر باید آن را غیر فعال کنیم؟
اگر بخواهیم توضیحات را ساده و کالا قابل درک نگه داریم، XML-RPC به شما اجازه میدهد که از طریق نرم افزار هایی مانند Windows Live Writer به صورت ریموت به سایت خود مطلب ارسال کنید. از طرفی ابزار هایی مثل IFTTT و همچنین اپلیکیشن موبایل وردپرس هم برای برقراری ارتباط با سایت شما از همین روش استفاده میکنند. تا اینجا همه چیز خوب است! مشکل جایی شروع میشود که فایل xmlrpc.php در وردپرس با ارسال درخواست از طریق post مورد حمله ی دیداس (DDOS – Denial of Service Attak ) قرار میگیرد.
متاسفانه طی چند وقت اخیر در سایت های بسیاری شاهد این مطلب بوده ایم و بدیهی است که در عموم موارد اولین پاسخ میزبان شما در قبال چنین حمله ای، مسدود کردن سایت خواهد بود. بنابراین منطق حکم میکند که پیش از اینکه گرفتار چنین حملاتی شوید، اقدامات لازم را جهت پیشگیری به عمل آورید. از طرفی هم اگر از سه امکان ذکر شده در بالا استفاده نمیکنید، اصلا دلیلی ندارد که این روش ارتباطی را بر روی سایت خود باز بگذارید. در ادامه به شرح روش های غیر فعال کردن XML-RPC در وردپرس خواهیم پرداخت.

غیر فعال کردن XML-RPC از طریق وردپرس
روش اول غیر فعال کردن این امکان به این صورت است که میتوانید کد زیر را در فایل function.php یا افزونه site specific خود قرار دهید. طبعا قرار دادن آن در افزونه site specific بیشتر از ویرایش فایل functions.php توصیه میشود :

اگر هم به انجام دادن همه ی کار ها از طریق افزونه ها، علاقه ی ویژه ای دارید میتوانید بجای انجام روش فوق از افزونه Disable XML-RPC استفاده کنید.

غیر فعال کردن XML-RPC و جلوگیری از دسترسی به فایل xmlrpc.php از طریق htaccess
در روش دوم، عملا به جای غیر فعال کردن کامل XML-RPC، از طریق فایل htaccess، به طور کامل از دسترسی به فایل xmlrpc.php جلوگیری به عمل می آوریم. وقتی کسی نتواند به فایل xmlrpc.php دسترسی پیدا کند، از امکانات XML-RPC هم نمیتواند استفاده یا سوء استفاده کند. مزیت این روش این است که در این حالت میتوانید یک یا چند آی پی خاص را جهت دسترسی به این فایل مجاز کنید. بنابراین عملا میتوانید از سه امکان ذکر شده در بخش قبلی آموزش استفاده کنید و در عین حال از حمله به این فایل هم جلوگیری به عمل آورید. برای پیاده سازی این حالت کافی است کد زیر را در فایل htaccess سایت خود قرار دهید :

در خط پنجم میتوانید IP ای که مایلید دسترسی آن را به فایل xmlrpc.php مجاز نمایید وارد کنید. بدیهی است در صورتیکه به طور کلی از این امکان استفاده نمیکنید، میتوانید این خط را به طور کامل حذف کنید تا دسترسی به فایل xmlrpc.php برای همه غیر مجاز باشد.

بله … به همین سادگی میتوانید جلوی سوء استفاده از سایت خود را بگیرید. راستی پیش انجام هر یک از مراحل فوق، ایجاد پشتیبان از فایل/سایت فراموش نشود.

بویر دیزاین


کد QR مطلب: QR Code for آموزش غیر فعال کردن XML-RPC در وردپرس

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد.

عبارت امنیتی *

تعداد نظرهای در انتظار بررسی: 0