Blog Wer.pl - wszystko o hostingu i rejestracji domen

Najnowsze informacje ze świata hostingu, domen i stron www od Wer.pl

Blokada pliku xmlrpc.php w WordPress

przez · Opublikowano · Zaktualizowano

Spis treści

Do czego służy xmlrpc.php
Sprawdź czy xmlrpc.php jest uruchomiony
Jak wyłączyć xmlrpc.php

Do czego służy xmlrpc.php

WordPress posiada możliwość zdalnego zarządzania za pomocą zewnętrznych aplikacji. To ciekawe rozwiązanie wykorzystuje plik o nazwie xmlrpc.php. Jest to jednak funkcjonalność wykorzystywana stosunkowo rzadko. Jednocześnie to rozwiązanie jest często przyczyną potencjalnych zagrożeń. Bardzo często plik ten jest wykorzystany np. do łamania haseł do WordPress, wykorzystywania występujących w nich luk bezpieczeństwa, wysyłki spamu i ataków DDOS na stronę www użytkownika.

W ostatnim czasie obserwujemy wzmożoną aktywność uruchomienia tego pliku. Na jednym z kont klientów w ciągu jednego dnia funkcjonalność została wywołana ponad 33 mln razy i to nie są pojedyncze przypadki. Taka aktywność jawnie świadczy o próbach włamania do systemu WordPress. Adresy z których prowadzone są tego typu wywołania należą do zagranicznych usługodawców często o wschodnim lub daleko wschodnim pochodzeniu.

Wobec powyższych faktów sugerujemy zablokowanie pliku xmlrpc.php . Bardzo często aktywna funkcja xml-rpc w WordPress-ie zachęca hakerów do wykorzystywania wszelkich luk, które mogą się pojawić w tym skrypcie. Wielokrotne, a dokładniej wielomilionowe otwarcia tego pliku generują zbędne obciążenie na serwerze i zmniejszają szybkość wczytywania się twojej strony. Takie nadmierne wywołania często przyczyniają się przekroczenia limitów obciążenia dostępnych dla wykupionych pakietów hostingowych, generując niepotrzebne koszty.

Sprawdź czy xmlrpc.php jest uruchomiony

Jeżeli chcesz się dowiedzieć czy funkcjonalność dostępna za pomocą pliku xmlrpc.php jest aktywna aktywna w WordPress zainstalowanym na twoim koncie, to wystarczy, że przejdziesz na stronę WordPress XML-RPC Validation Service. W polu „Address” wystarczy podać adres swojej strony www , a następnie należy wybrać przycisk ’Check’.

W tym momencie dokonuje się sprawdzenie twojego serwisu po kątem możliwości komunikacji za pomocą pliku xmlrpc.php . Jeżeli w wyniku tej operacji pojawi się zielony ptaszek z napisem:

Congratulations! Your site passed the first check (patrz poniżej):

co oznacza, że wskazana strona ma możliwość komunikacji za pomocą xml-rpc, a co za tym idzie warto rozważyć jej wyłączenie.

Jak wyłączyć xmlrpc.php

Najlepiej rozważy całkowite zablokowanie wykonywania wszelkich skryptów za pomoca xmlrpc.php, W tym celu wystarczy do pliku .htaccess na serwerze w katalogu głównym w którym zainstalowana jest twoja strona www dodać następujący wpis:

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Zmianę najlepiej wprowadzić za pomocą dowolnego programu / klienta ftp. O tym jak połączyć się z ftp możesz sprawdzić np. tutaj.

Jeżeli nie chcesz wprowadzać tych zmian samodzielnie to zawsze możesz zlecić to swojej firmie hostingowej np. Wer.pl . Więcej informacji o optymalizacji twojego WordPress dowiesz się również na dedykowanej stronie.

Możesz również polubić…

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

+ 68 = 71