Atunci când gestionați un site WordPress, securitatea și performanța sunt întotdeauna prioritare. Un fișier care apare adesea în discuțiile despre ambele este xmlrpc.php. În acest articol, vom explica ce face acest fișier, de ce este considerat un risc de securitate și cum îl puteți dezactiva dacă nu este necesar.

Ce este xmlrpc.php?

Fișierul xmlrpc.php este o componentă de bază a WordPress care permite comunicarea la distanță între site-ul WordPress și aplicațiile externe. Acesta utilizează protocolul XML-RPC pentru a trimite date, permițând caracteristici precum:

  • Publicarea conținutului de la distanță prin intermediul aplicației mobile WordPress sau a instrumentelor externe de blogging

  • Trackbacks și pingbacks

  • Jetpack și alte funcționalități ale plugin-urilor care se bazează pe accesul de la distanță

În versiunile anterioare ale WordPress (înainte de REST API), xmlrpc.php era esențial pentru activarea operațiunilor de la distanță. Cu toate acestea, API REST a devenit de atunci alternativa modernă și mai sigură.

De ce este xmlrpc.php o problemă de securitate?

Deși xmlrpc.php servește unor scopuri legitime, acesta a fost adesea exploatat pentru activități rău intenționate, în special atunci când nu este securizat corespunzător. Amenințările comune includ:

  • Atacuri prin forță brută: Hackerii îl pot utiliza pentru a încerca mii de combinații nume de utilizator-parolă într-o singură cerere.

  • Atacuri DDoS: Fișierul poate fi folosit abuziv pentru a trimite pingback-uri de pe site-ul dvs. către alții, participând la atacuri distribuite de tip denial-of-service.

  • Vulnerabilități de execuție a codului de la distanță: Versiunile mai vechi sau slab configurate ale WordPress ar putea fi expuse riscului.

Dacă nu utilizați niciun serviciu sau plugin care se bazează pe xmlrpc.php, este în general o idee bună să îl dezactivați.

Cum să dezactivați xmlrpc.php

1. Utilizarea unui plugin

Cel mai simplu mod de a dezactiva xmlrpc.php este cu ajutorul unui plugin de securitate precum:

  • Wordfence Security

  • Dezactivați XML-RPC

  • All In One WP Security & Firewall

Aceste pluginuri oferă comutatoare cu un singur clic pentru a dezactiva accesul la fișier.

2. Dezactivarea prin .htaccess

Dacă utilizați un server Apache, puteți bloca accesul la xmlrpc.php prin adăugarea acestei reguli la fișierul .htaccess din directorul rădăcină:


Ordine Deny,Allow
Deny from all 

3. Utilizarea Nginx

Pentru serverele Nginx, adăugați următoarele la fișierul de configurare:

location = /xmlrpc.php {
deny all;
access_log off;
log_not_found off;
}

4. Dezactivarea prin functions.php (limitată)

De asemenea, puteți dezactiva unele metode xmlrpc adăugând următoarele la functions.php al temei dvs:

add_filter('xmlrpc_enabled', '__return_false');

Notă: Acest lucru nu împiedică accesul la fișier, ci doar dezactivează funcționalitatea.

Când ar trebui să îl păstrați activat?

S-ar putea să fie necesar să păstrați xmlrpc.php activat dacă:

  • Utilizați aplicația mobilă WordPress pentru publicare

  • Vă bazați pe Jetpack sau pe alte instrumente de publicare la distanță

  • Site-ul dvs. web se integrează cu sisteme sau aplicații vechi care necesită XML-RPC

În aceste cazuri, asigurați-vă că utilizați măsuri de securitate precum autentificarea cu doi factori, parole puternice și limitarea ratei.

Concluzie

Fișierul xmlrpc.php din WordPress a fost odată o componentă critică pentru activarea accesului de la distanță, dar acum este adesea considerat o responsabilitate de securitate. Dacă nu utilizați în mod activ caracteristici care depind de acesta, dezactivarea xmlrpc.php este o modalitate simplă și eficientă de a vă întări site-ul WordPress. Întotdeauna faceți o copie de rezervă a site-ului înainte de a face orice modificări și testați după dezactivare pentru a vă asigura că nicio funcționalitate nu este întreruptă.