Отключение XML-RPC (xmlrpc.php) в WordPress

Fozzy

xmlrpc.php в WordPress предоставлял возможность использовать офлайн-клиенты, в которых администраторы могли создавать и редактировать записи, а затем публиковать их на сайте с помощью xmlrpc.php. На сегодня этот инструмент уже неактуален, более того, он представляет потенциальную уязвимость. Поэтому доступ к xmlrpc.php желательно ограничивать.

Злоумышленники часто пытаются использовать эту точку входа для взлома административных паролей сайта или для запуска DDoS-атак, что, в свою очередь приводит к превышению использования ресурсов и недоступности вашего сайта.

По умолчанию на наших серверах виртуального хостинга (cPanel и DirectAdmin) включена фильтрация запросов к xmlrpc.php. Таким образом, вам дополнительно отключать его не нужно.

Но если ваша услуга расположена на виртуальном хостинге с панелью управления ISPmanager или на услуге VPS, тогда у нас для вас есть пару вариантов, как можно закрыть доступ через xmlrpc.php

  • Для начала необходимо понять, включен ли XML-RPC на вашем сайте.

Проверить можно с помощью XML-RPC Validator по ссылке http://xmlrpc.epizy.com/
В поле Address введите адрес вашего сайта и нажмите Check.

В зависимости от результата проверки следует:

«Failed to check your site at [ссылка] because of the following error», xmlrpc.php на сайте отключен.

«Congratulation! Your site passed the first check», xmlrpc.php на сайте включен и его нужно отключить.

  • Отключить XML-RPC можно парой способов:

1.В .htaccess в файлах вашего сайта добавить правило:

<Files xmlrpc.php>

order deny,allow

deny from all

</Files>

2.Установить плагин Disable XML-RPC и активировать его. Он сам укажет необходимые настройки и закроет доступ через xmlrpc.php.

Оцените статью
Поделитесь статьей
Подписаться
Уведомить о
guest
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии
In this article