افزایش امنیت وردپرس با غیر فعال کردن فایل Xmlrpc.php

xwordpress disable xml rpc.jpg.pagespeed.ic .YKvukxxWHG e1620850306984

Xmlrpc.php چیست؟

XML rpc یک قابلیت وردپرس برای انتقال داده ها به سایت میباشد. این ویژگی با استفاده از کدهای xml و از طریق پروتکل http انتقال داده ها را انجام میدهد.

Xml rpc در واقع یک فایل اجرایی در هاست و سرور سایت وردپرسی شما است که به شما و کاربران دیگر سایت اجازه میدهد تا از طریق دستگاه های دیگری مانند موبایل و نیز به پنل وردپرس وارد شوید.

این فایل برای ایجاد دسترسی به سایت برای تولید محتوا و ویرایش های دیگر ایجاد شده است و به صورت پیش فرض برای سایت های وردپرسی فعال میشود.

وردپرس مدتی این فایل را از سیستم مدیریت محتوای خود حذف کرده بود اما در ورژن های اخیر دوباره این قابلیت به عنوان یک ویژگی پیش فرض به وردپرس اضافه شد.

Xml چیست؟

Xml یا Extensible Markup Language به معنای “زبان نشانه گذاری توسعه پذیر” میباشد.

Xml بر مبنای متن (متن محور) میباشد و به گونه ای طراحی شده است که برای هردوی انسان و ماشین قابل درک باشد.

XML یک زبان عمومی و open source است که از طرف کنسرسیوم جهانی وب در سال 1998 ارائه شد.

کاربرد XML : بر خلاف زبان نشانه گذاری HTML که عموما برای نمایش اطلاعات در وب استفاده میشود، از xml معمولا برای ذخیره سازی و مرتب کردن اطلاعات و داده های تحت وب استفاده میشود.

xml rpc چه فایده ای دارد؟

XML RPC یک قابلیت مفید در دوران اولیه وردپرس بود که دسترسی شما را به سایت وردپرسی خود بسیار آسان تر و سریع تر میکرد.

همچنین دسترسی به اینترنت و سیستم های کامپیوتری مانند امروز وسیع و گشترده نبود و همه در هرجا به اینترنت دسترسی نداشتند.

به همین دلیل هم در وردپرس امکانی برای دسترسی به سایت از طریق دستگاه های مختلف ایجاد شده تا از طریق آنها بتوانیم اطلاعات لازم را در هر زمان به سایت انتقال دهیم.

ما حتی نرم افزارها ، فایل ها  و اطلاعات هاست سایت را نیز با استفاده از xml rpc میتوانیم به وردپرس منتقل کنیم.

چرا باید xml rpc را غیر فعال کنیم؟

با وجود این که وردپرس این ویژگی را به طور پیش فرض برای فعال کرده و آن را برای کاربران سایت های وردپرسی لازم دانسته است، این قابلیت میتواند امنیت سایت وردپرس شما را به خطر بیاندازد.

علت این موضوع ساده است! شما هیچ چیزی بیشتر از نام کاربری و رمز عبور برای ورود به سایت از طریق xml-rpc نیاز ندارید.

در این حالت کد ریکپچا ، ورود دو مرحله ای یا … هیچکدام برای ورود کاربران مختلف به سایت با ip ها یا دستگاه های مختلف نیاز نیست.

افزایش امنیت سایت با غیر فعال کردن فایل Xmlrpc.php

حملات اینترنتی با استفاده از هزاران آی پی به سایت های دارای این قابلیت همواره اتفاق می افتد و از طریق این فایل ها میتوانند به درون سایت شما و کدهای آن نفوذ کنند.

حملات brute force و یا ارسال pingback های متعدد در حملات DDOS نمونه هایی از این تهدیدها میباشند.

اما نگران نباشید این قابلیت را میتوانیم هر زمان که بخواهیم غیر فعال کنیم و یا دسترسی کاربران و بات ها را به این فایل ببندیم.

غیر فعال کردن xml rpc با افزونه

برای غیر فعال سازی این فایل در وردپرس افزونه های زیادی ایجاد و منتشر شده اند که با استفاده از آنها می توانیم امنیت سایت خود را ارتقا دهیم.

معروف ترین و مهمترین پلاگین های وردپرس برای غیر فعال کردن xml-rpc.php:

  • Disable XML-RPC plugin
  • iThemes Security plugin
  • NinjaFirewall plugin
  • XML-RPC Pinkback plugin
  • و…

مدیریت سرور، پشتیبانی و کانفیگ سرور – آفاق هاستینگ

نوشته های مشابه

اصلاح چندین آسیب پذیری در PHP + کد POC 8.3.5

اوسینت (OSINT) چیست؟ جاسوسی مؤدبانه

splunk enterprise 9 0 0 1 5

Splunk Enterprise 9.2.0.1 +ES

MdaemonLogo2 Cmflgf

Alt-N MDaemon 23.5.0