Отключение XML-RPC (xmlrpc.php) в WordPress
xmlrpc.php в WordPress предоставлял возможность использовать офлайн-клиенты, в которых администраторы могли создавать и редактировать записи, а затем публиковать их на сайте с помощью xmlrpc.php. На сегодня этот инструмент уже неактуален, более того, он представляет потенциальную уязвимость. Поэтому доступ к xmlrpc.php желательно ограничивать.
Злоумышленники часто пытаются использовать эту точку входа для взлома административных паролей сайта или для запуска DDoS-атак, что, в свою очередь приводит к превышению использования ресурсов и недоступности вашего сайта.
По умолчанию на наших серверах виртуального хостинга (cPanel и DirectAdmin) включена фильтрация запросов к xmlrpc.php. Таким образом, вам дополнительно отключать его не нужно.
Но если ваша услуга расположена на виртуальном хостинге с панелью управления ISPmanager или на услуге VPS, тогда у нас для вас есть пару вариантов, как можно закрыть доступ через xmlrpc.php
- Для начала необходимо понять, включен ли XML-RPC на вашем сайте.
Проверить можно с помощью XML-RPC Validator по ссылке http://xmlrpc.epizy.com/
В поле Address введите адрес вашего сайта и нажмите Check.
В зависимости от результата проверки следует:
«Failed to check your site at [ссылка] because of the following error», xmlrpc.php на сайте отключен.
«Congratulation! Your site passed the first check», xmlrpc.php на сайте включен и его нужно отключить.
- Отключить XML-RPC можно парой способов:
1.В .htaccess в файлах вашего сайта добавить правило:
<Files xmlrpc.php> order deny,allow deny from all </Files>
2.Установить плагин Disable XML-RPC и активировать его. Он сам укажет необходимые настройки и закроет доступ через xmlrpc.php.