Plik xmlrpc.php a bezpieczeństwo WordPress

Bezpieczeństwo informatyczne

Plik xmlrpc.php w WordPress jest jedną z rzeczy na jaka warto zwrócić uwagę, dbając o bezpieczeństwo witryny opartej na WordPress. To jest jedna z wielu rzeczy którą powinienem rozwinąć artykuły takie jak ten o zakładaniu nowej strony internetowej: https://sukcesstudio.pl/zakladanie-strony-internetowej-podstawy/

Co to jest xmlrpc.php?

Nazwa pliku xmlrpc.php wiąże się z protokołem XML-RPC, który jest używany przez WordPressa do komunikacji z innymi systemami zewnętrznymi. Sama jego obecność nie jest niebezpieczna, jednak użycie już tak..

Uruchomiona dzięki plikowi funkcja XML-RPC, stanowią świetne miejsce do włamu, a tym samym narobienia szkód w witrynie. Przede wszystkim zwykle dochodzi do 2 przypadków wykorzystania luki w tym skrypcie:

  • nieautoryzowana wysyłka spamu
  • ataki DDOS na stronę internetową

Jednak to nie koniec możliwości. Warto wiedzieć, że XML-RPC jest stosowany w obecnym środowisku WordPressa o wiele rzadziej niż jeszcze kilka lat temu. Jednak, jego obecność jest potencjalnym zagrożeniem dla samej witryny, tak samo jak nie używane wtyczki czy też motywy.

Włam z wykorzystaniem xmlrpc.php
Włam z wykorzystaniem xmlrpc.php

Czy usunąć ten plik?

Tak jak zwykle nie warto tego robić, można jednak jego zablokować. Dostępne są dwie opcje przez sam WordPress lub poprzez wykorzystanie pliku .htaccess na hostingu.

Blokada pliku xmlrpc z wykorzystaniem edytora WordPress

Aby zablokować plik w ten sposób użyj pliku functions.php, który znajdziesz w zakładce Wygląd -> Edytor motywu. Do obecnych już funkcji (ten plik może być również pusty) dodaj linijkę:

add_filter('xmlrpc_enabled', '__return_false');

zapisz i to powinno wystarczyć.

Blokada pliku xmlrpc.php z wykorzystaniem pliku .htaccess

Aby zablokować plik na hostingu edytuj plik .htaccess w katalogu ze stroną internetową. Do zawartości pliku dodaj wpis o treści:

<files xmlrpc.php>
Order allow,deny
Deny from all
</files>

Jak sprawdzić, czy strona korzysta z XML-RPC?

Nie sprawdzisz tego w prosty sposób. Najprościej wykonać test, w tym celu przejdź do serwisu pod adresem https://xmlrpc.eritreo.it/ i wpisz pełny adres URL swojej strony internetowej.

Jeżeli test zakończy się powodzeniem (zielonym ptaszkiem) – strona nadal korzysta z tej funkcji i jest niezabezpieczona. Czerwony krzyżyk oznacza, że dostęp do skryptu i funkcji jest zablokowany – Twoja strona jest przynajmniej, pod tym kontem bezpieczna.

Dodaj komentarz