Tắt Xmlrpc Trên WordPress | Chào mọi người ! mấy ngày hôm nay mình liên tục nhận được cảnh báo là Blog’s đang bị Local Brute Force và Network Brute Force, cũng may là mình có cấu hình mấy rule cơ bản để ngăn chặn, nhưng host nhà nghèo thì làm sao chống đỡ nỗi, sau khi host bị tèo thì mình có vào đọc Access Log.
Mình thấy là có rất nhiều request từ các anh giang hồ mạng đến cái file có tên xmlrpc.php trong thư mục chứa source của Blog’s. Nên mình cũng có tìm hiểu tại sao các anh lại scan và request đến file xmlrpc.php một cách dữ dằng như dậy. Sau một hồi tra gút gồ thì mình cũng tìm được một ít à mà cũng không ít đâu. Lúc đầu khi mình tìm được lý do tại sao cái file xmlrpc.php nó lại hấp dẫn như vậy thì mình nhảy số liền là vào source delete file done kèo, nhưng sau một hồi lượn lờ thì thấy có nhiều cách khác nữa. Dưới đây là những kiến thức mình tìm được về xml-rpc.
XMLRPC là gì ?
Đây là giao thức được sử dụng trên Web Server, dùng XML để mã hóa và trao đổi dữ liệu. Ngoài ra, mục đích thiết lập để hỗ trợ các API của một số CMS như: WordPress API, Blogger API, Movable API, Pingback API, MetaWeblog API…
XML-RPC là tính năng của WordPress để giúp truyền tải dữ liệu, với HTTP làm công cụ truyền và XML làm công cụ encode (mã hóa). WordPress không phải là một hệ thống đóng hoàn toàn. Tính năng XMLRPC được tạo ra để WordPress giao tiếp với nền tảng bên ngoài.
Ví dụ: người quản trị site muốn đăng bài viết lên site từ điện thoại và không có máy tính bên cạnh. Người quản trị có thể dùng tính năng truy cập từ xa được kích hoạt bởi xml-rpc để đăng bài.
Chức năng chính mà xml-rpc kích hoạt là cho phép giao tiếp giữa điện thoại và site của người dùng được thiết lập, thiết lập trackback và pingbacks từ các site khác và một số tính năng liên kết với plugin Jetpack.
Lý do XMLRPC từng được sử dụng phổ biến ?
Đường truyền mạng chưa phổ biến và mạnh như bây giờ. Việc truy cập không mượt hay mất nhiều thời gian không còn là nỗi lo vì đã có XML-RPC. Cụ thể, tính năng xml-rpc tạo ra một trang web offline, kết nối với Site chính. Người dùng có thể chỉnh sửa và đăng tải nội dung. Sau đó, việc cần làm chỉ là kích hoạt XML-RPC. Ngay lập tức, thông tin cần đăng sẽ xuất hiện trên trang web.
Hiện nay với sự ra đời của những ứng dụng cho phép người dùng truy cập trang web bằng điện thoại ra đời cùng mạng internet phát triển, XML-RPC không còn được sữ dụng nhiều nữa.
Tại sao nên tắt XMLRPC trên WordPress ?
Khuyết điểm lớn nhất của XML-RPC là độ bảo mật kém. Dẫn đến việc các hacker lợi dụng lỗ hỏng bảo mật trên xmlrpc để tấn công trang web.
Bằng việc sử dụng file xmlrpc.php, hacker có thể dùng nhiều phương pháp khác nhau để lấy cắp mật khẩu truy cập. Thậm chí, với hệ thống này, quá trình tấn công DdoS được thực hiện một cách thường xuyên, khiến trang web bị nhẹ thì quả tải, nặng thì tèo giống mình luôn.
Vì thế để giải quyết tình trạng này, một phương pháp hữu hiệu nhất chính là tắt XML-RPC đi. Vì khi cài đặt WordPress, XML-RPC đã được cài đặt sẵn nên người dùng cần thực hiện một vài thao tác để tắt nó đi. Trên thực tế, có nhiều cách để tiến hành vô hiệu hóa xml-rpc trên wordpress. Bên dưới là một số cách mình tìm được.
Hướng dẫn tắt XMLRPC.
Tắt XML-RPC qua Plugin iThemes Security.
Bước 1: tải và cài đặt Plugin iThemes Security.
Bước 2: Sau khi cài đặt Plugin xong, trên menu quản trị của WordPress vào Security >> Setting >> Advanced >> WORDPRESS TWEAKS >> Disable XML-RPC.
Sử dụng plugin Disable XML-RPC.
Bước 1: Truy cập vào giao diện WordPress.
Bước 2: Trên menu WordPress chọn Plugins > Nhấp vào Add New và search Disable XML-RPC > Cài đặt Plugin như hình bên dưới. Khi được kích hoạt, plugin này sẽ tự động chạy code cần thiết để tắt Xmlrpc.
Cách tắt xml-rpc mà không cần plugin.
Áp dụng cách này khi không muốn cài đặt plugin, người dùng có thể vô hiệu hóa xml-rpc bằng cách thêm mã vào file functions.php trong theme đang sữ dụng, hoặc tệp .htaccess. Hãy xem xét cả hai phương pháp.
Tắt xmlrpc.php bằng file functions.php, cách này sử dụng bộ lọc xmlrpc_enabled để tắt xmlrpc.php. Thêm đoạn code sau vào functions.php của giao diện đang sữ dụng.
add_filter( 'xmlrpc_enabled', '__return_false' );
Tắt xmlrpc bằng cách chỉnh sửa tệp .htaccess. Thêm mã sau vào tệp .htaccess trong thư mục chứa source của web.
<Files xmlrpc.php> Order Allow,Deny Deny from all </Files>
Nguồn tham khảo : Tìm hiểu về xmlrpc.php, rủi ro bảo mật và cách khắc phục (viblo.asia)
Xem thêm các Guide về mạng:
XMLRPC là gì ?
XMLRPC là một giao thức truyền thông giữa các máy tính trên mạng, cho phép các ứng dụng gửi và nhận các yêu cầu và phản hồi dưới dạng XML1. XMLRPC có thể được sử dụng để thực hiện nhiều tác vụ khác nhau, như quản lý nội dung, tương tác với các dịch vụ web, hoặc kết nối với các hệ thống khác
XMLRPC trên WordPress là gì ?
Trong WordPress, XMLRPC cho phép truy cập và chỉnh sửa nội dung WordPress từ xa, bằng cách sử dụng các ứng dụng khách hàng trên máy tính để bàn hoặc điện thoại di động. Tuy nhiên, XMLRPC cũng có một số nhược điểm về bảo mật và hiệu suất, khiến nhiều người dùng WordPress chọn cách vô hiệu hóa nó.