WordPress Security Th6 15, 2018Hai G .5 tối thiểu Đọc

Xmlrpc là gì? Và vì sao ta nên vô hiệu file xmlrpc.php?

Xmlrpc là gì? Và vì sao ta nên vô hiệu file xmlrpc.php?

WordPress có sẵn các tính năng để bạn tương tác từ xa với site của bạn. Đôi khi, bạn cần truy cập vào website mà không có sẵn laptop để sử dụng. Trong một thời gian dài, giải pháp truy cập từ xa hoàn toàn phụ thuộc vào file xmlrpc.php. Trong những năm gần đây, file này bị lạm dụng và trở thành lỗ hổng bảo mật lớn.

Bên dưới chúng tôi sẽ lý giải file xmlrpc.php là gì. Chúng tôi cũng sẽ nói về những yếu tố bảo mật thông tin nó gây ra và làm thế nào để vá những lỗi bảo mật thông tin đó trên site WordPress của bạn .

Xmlrpc. php là gì ?

XML-RPC là tính năng của WordPress để giúp truyền tải tài liệu, với HTTP làm công cụ truyền và XML làm công cụ encode ( mã hóa ). Vì WordPress không phải là mạng lưới hệ thống đóng trọn vẹn nên tính năng này được tạo ra để khi WordPress cần tiếp xúc với những mạng lưới hệ thống bên ngoài .Ví dụ, bạn muốn đăng bài viết lên site từ điện thoại cảm ứng và không có máy tính bên cạnh. Bạn hoàn toàn có thể dùng tính năng truy vấn từ xa được kích hoạt bởi xmlrpc.php để đăng bài .Chức năng chính mà xmlrpc.php kích hoạt là được cho phép tiếp xúc giữa điện thoại thông minh và site của bạn được thiết lập, thiết lập trackback và pingbacks từ những site khác, và 1 số ít tính năng link với plugin Jetpac .

Vì sao Xmlrpc. php được tạo và trước đây nó được dùng làm gì ?

Sự sinh ra của XML-RPC ở vào những ngày đầu của WordPress trước khi được gọi là WordPress .Lúc trước, khi liên kết internet còn chậ, quy trình viết bài và xuất bản bài viết lên web còn khó khăn vất vả và tốn nhiều gian. Thay vì viết bài ngay trên trình duyệt, mọi người thường viết bài trên máy tính sau đó copy và dán nội dung vào web. Tuy nhiên, cách này cũng không phải tốt nhất .Giải pháp thay thế sửa chữa vào lúc ấy là tạo một blogging client offline, nơi bạn hoàn toàn có thể viết nội dung, sau đó liên kết tới blog của bạn để xuất bản nó. Kết nối này được thực hiệnt trải qua XML-RPC. Với nền tảng XML-RPC, những ứng dụng khởi đầu sử dụng loại liên kết này để giúp người dùng đăng nhập WordPress từ thiết bị của họ .

XML-RPC ngày nay

Vào năm 2008, với phiên bản WordPress 2.6, đã có lựa chọn để bạn hoàn toàn có thể kích hoạt hoặc vô hiệu XML-RPC. Tuy nhiên, sau khi có ứng dụng WordPress iPhone app, XML-RPC được kích hoạt mặc định, và không hề tắt trọn vẹn tính năng này được trong setting. Tình trạng này vẫn được giữ nguyên đến nay .Tuy nhiên, tính năng của files này đã giảm thiểu đáng kể theo thời hạn, và kích cỡ của file đã giảm từ 83 kb còn 3 kb, vì thế nó không đóng vai trò lớn như trước kia .

Tương lai của XML-RPC

Với WordPress API mới, tất cả chúng ta hoàn toàn có thể thấy XML-RPC sẽ sớm bị vô hiệu trọn vẹn. Mặc dù API mới vẫn đang trong quy trình tiến độ thử nghiệm và chỉ hoàn toàn có thể dùng khi kích hoạt plugin .Tuy nhiên, API mới sẽ được code trực tiếp vào trong WordPress core, để vô hiệu trọn vẹn file xmlrpc.php, vì lúc này nó trọn vẹn không thiết yếu nữa .API mới không tuyệt vời, nhưng qua thời hạn nó sẽ can đảm và mạnh mẽ hơn, bảo mật thông tin tốt hơn và xử lý tổng thể yếu tố mà xmlrpc.php đang có .

Tại sao bạn nên vô hiệu WordPress Xmlrpc. php

Vấn đề lớn nhất của XML-RPC là bảo mật thông tin. Chúng không tới từ bản thân XML-RPC, mà từ file xmlrpc.php bị dùng làm giải pháp tiến công brute force lên chính bản thân website chứa nó .Dĩ nhiên, bạn hoàn toàn có thể tự bảo vệ bằng cách tạo một mật khẩu cực mạnh, và dùng thêm plugin WordPress bảo mật thông tin. Nhưng cách tốt nhất là cứ vô hiệu hẵn nó đi .Có 2 yếu điểm của xmlrpc mà bị lạm dụng trước đây .Đầu tiên là dùng brute force attack để tiến công trọn vẹn vào website. Một hacker sẽ thử truy vấn website của bạn bằng cách tận dung file xmlrpc.php để truy vấn bằng nhiều tổng hợp đã được biết đến của username và password. Chỉ cần một command là hoàn toàn có thể chạy tự động hóa hằng trăm password khác nhau để thử truy vấn. Việc này bypass được những công cụ bảo mật thông tin vì những công cụ này không bảo vệ được nếu tiến công qua được xmlrpc .

Cách thứ 2 là tấn công DDoS vào website khiến nó bị down. Hackers có thể sử dụng tính năng pingback trong WordPress để gửi pingbacks tới hàng ngàn sites cùng lúc. Xmlrpc.php mở đường cho hacker phát tán việc tấn công DDoS bằng việc hỗ trợ gần như không giới hạn số IP address

Để kiểm tra xem XML-RPC có đang chạy không, bạn hoàn toàn có thể dùng tool XML-RPC Validator để chạy thử. Nếu site hoàn toàn có thể quản lý và vận hành được và nếu thấy báo lỗi có nghĩa là site của bạn chưa kích hoạt XML-RPC .Nếu không thấy lỗi, bạn hoàn toàn có thể ngưng xmlrpc.php lại bằng 2 chiêu thức bên dưới

Phương pháp 1 : Vô hiệu Xmlrpc. php bằng Plugins

Vô hiệu XML-RPC trên WordPress rất đơn thuần .

Bạn chỉ cần chuyển tới mục Plugins › Add New trong WordPress dashboard. Tìm plugin Disable XML-RPC và cài đặt plugin như bên dưới:

Cài đặt plugin disable XML-RPC

Kích hoạt plugin này là được. Plugin sẽ tự động hóa chạy code thiết yếu để tắt XML-RPC .Tuy nhiên, hoàn toàn có thể có nhiều plugin khác đang dùng một yếu tố của XML-RPC, thế cho nên, vô hiệu nó trọn vẹn hoàn toàn có thể gây lỗi xung đột plugin và khiến site không hoạt động giải trí .Nếu bạn chỉ muốn tắt từng phần của XML-RPC, nhưng vẫn được cho phép plugin và công dụng nào chạy, hãy cài những plugin khác như bên dưới :

  • Stop XML-RPC Attack. Plugin này sẽ chặn mọi tấn công bằng XML-RPC, nhưng nó vẫn cho phép các plugin như Jetpack, và nhiều công cụ tự động khác truy cập vào file xmlrpc.php.
  • Control XML-RPC Publishing. Cho phép kiểm soát và sử dụng công cụ6 xuất bản từ xa bằng xmlrpc.php.

Phương pháp 2: Vô hiệu WordPress Xmlrpc.php thủ công

Nếu bạn không thích plugin và thích tự thao tác này. Vậy hãy làm theo cách sau. Nó sẽ giúp bạn chặn tổng thể những nhu yếu tới xmlrpc.php trước khi được chuyển qua WordPress .Mở file. htaccess. Bạn hoàn toàn có thể dùng tính năng ‘ show hidden files ’ trong file manager hoặc FTP client để thấy file này .Bên trong file. htaccess, dán đoạn code sau vào :

# Block WordPress xmlrpc.php requests

order deny,allow
deny from all
allow from 123.123.123.123

Lời kết

Tóm lại, XML-RPC là một giải pháp cho việc xuất bản từ xa cho WordPress. Tuy nhiên, giải pháp này đi kèm với việc đánh đổi tính bảo đảm an toàn của WordPress site và thậm chí còn gây tổn hại nghiêm trọng không hề hồi sinh cho những site WordPress đó .Để bảo vệ site của bạn bảo đảm an toàn, hãy cứ vô hiệu xmlrpc.php trọn vẹn. Trừ khi bạn cần vài tính năng tương quan đến việc xuất bản từ xa, hoặc cho plugin Jetpack, thì hãy dùng plugin quản trị việc này, lấp hỗ hổng bảo mật thông tin nhưng vẫn duy trì tính năng này .Thời gian tới, tất cả chúng ta sẽ thấy là tính năng của XML-RPC sẽ tự được tích hợp vào WordPress API mới, sẽ được cho phép truy vấn từ xa thuận tiện hơn nhưng vẫn bảo vệ việc bảo mật thông tin wordpress. Nhưng trước khi tới lúc đó, hãy cứ bảo vệ bạn trước khỏi yếu tố của xmlrpc. Vì thực sự, lúc này bạn đã hoàn toàn có thể truy xuất WordPress bất kể khi nào từ bất kể thiết bị nào vào dashboard không cần trải qua xmlrpc .Bạn chặn truy vấn XML-RPC bằng plugin hay bằng tay thủ công ? Bạn có gặp bất kể yếu tố bảo mật thông tin nào tương quan đến nó không ? Hãy chia sẽ phản hồi của bạn bên comment bên dưới nhé .Author

Tác giả

Hai G .Hải G. là chuyên viên quản trị, quản lý và vận hành những dịch vụ website. Anh có nhiều năm kinh nghiệm tay nghề về VPS, Hosting, technical SEO, CMS. Đặc biệt thương mến WordPress và đã dùng nó hơn 5 năm nay. Sở thích của anh là đọc, viết blog, đi du lịch và tư vấn cho những bạn trẻ khởi nghiệp .

Leave a Reply

Email của bạn sẽ không được hiển thị công khai.