Как отключить доступ к Xmlrpc.php в WordPress

WordPress является одним из наиболее популярных CMS во всем мире. Наряду с легкостью в использовании и разнообразием готовых компонентов для создания собственного сайта,  пользователи Wordpress сталкиваются с одинаковыми трудностями.

Одна из таких трудностей – большое число POST запросов к странице xmlrpc.php. Лавина запросов создает чрезмерную нагрузку на сервер где расположен сайт WordPress, что может вызвать, в том числе, недоступность сайта. Если  WordPress API  – XML-RPC не нужен и не используется на вашем сайте (он позволяет удалённо работать с сайтом, благодаря ему работают различные приложения для iPhone, iPad и Android), можно просто его отключить.



XML-RPC — это функция WordPress, которая позволяет передавать данные по HTTP с использованием XML в качестве механизма кодирования. Первоначально он был создан для облегчения связи WordPress с другими системами. Примером использования этого варианта является размещение на вашем сайте с мобильного устройства с помощью функции удаленного доступа, включенной xmlrpc.php.

В последнее время возникают проблемы безопасности, связанные с XML-RPC, и с новым API WordPress использование XML-RPC будет устаревшим. Поскольку XML-RPC используется все меньше, его можно полностью отключить на вашем веб-сайте WordPress.

Отключаем Xmlrpc.php в WordPress — веб-сервер Apache

Если вы используете веб-сервер Apache, вы можете открыть файл конфигурации сайта и отключить доступ пользователей к xmlrpc.php, добавив следующий блок:



# Block access to WordPress xmlrpc.php
<Files xmlrpc.php>
  Order Deny,Allow
  Deny from all
</Files>

Если вы хотите разрешить доступ только из доверенной сети, добавьте IP-адрес, как показано ниже.

# Block access to WordPress xmlrpc.php
<Files xmlrpc.php>
  Order Deny,Allow
  Deny from all
  Allow from x.x.x.x
</Files>

Измените x.x.x.x на свой IP-адрес, чтобы получить доступ к xmlrpc.php с. Перезапустите сервер Apache после изменения.

--- Debian / Ubuntu ---
$ sudo systemctl restart apache2

--- CentOS / Fedora / RHEL ---
$ sudo systemctl restart httpd

Отключание Xmlrpc.php в WordPress — веб-сервер Nginx

Для пользователей Nginx отключите доступ к xmlrpc.php, добавив строку в файл конфигурации, которая выглядит следующим образом:

location = /xmlrpc.php {
          deny all;
          access_log off;
          log_not_found off;
}

Перезапустите сервер Nginx после изменения.

sudo systemctl restart nginx

Если вы попытаетесь получить доступ к скрипту PHP, вы должны получить сообщение об ошибке 403 Forbidden.

Отключаем Xmlrpc.php в WordPress с плагином

Есть плагины, которые могут помочь вам отключить Xmlrpc.php в WordPress.

 

 

Если вы перейдете в раздел плагинов и поищите по ключевому слову «Disable XML-RPC», вам покажут список доступных плагинов. Другие плагины безопасности, такие как Wordfence Security — Firewall & Malware Scan, также дают возможность отключить XML-RPC на WordPress.

В целом, XML-RPC был добротным решением некоторых проблем, которые возникали из-за удаленной публикации на вашем сайте WordPress. Однако вместе с тем появились некоторые дыры в безопасности, которые оказались довольно опасными для некоторых владельцев сайтов на WordPress.

Чтобы ваш сайт оставался в безопасности, рекомендуется полностью отключить xmlrpc.php, если вам не нужны некоторые функции, необходимые для удаленной публикации и плагина Jetpack. Затем вы можете использовать обходные плагины, которые позволяют использовать эти функции, при этом исправляя дыры в безопасности.

RuCoreNET - лучшее для вас!


Поделись статьей с друзьями


260 просмотров


0 0 vote
Рейтинг статьи
Подписаться
Уведомление о
guest
0 Комментарий
Inline Feedbacks
View all comments


Do NOT follow this link or you will be banned from the site!
0
Would love your thoughts, please comment.x
()
x

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: