Plik xmlrpc.php a bezpieczeństwo WordPress

Bezpieczeństwo informatyczne

Plik xmlrpc.php w WordPress jest jedną z rzeczy na jaka warto zwrócić uwagę, dbając o bezpieczeństwo witryny opartej na WordPress. To jest jedna z wielu rzeczy którą powinienem rozwinąć artykuły takie jak ten o zakładaniu nowej strony internetowej: https://sukcesstudio.pl/zakladanie-strony-internetowej-podstawy/

Co to jest xmlrpc.php?

Nazwa pliku xmlrpc.php wiąże się z protokołem XML-RPC, który jest używany przez WordPressa do komunikacji z innymi systemami zewnętrznymi. Sama jego obecność nie jest niebezpieczna, jednak użycie już tak..

Uruchomiona dzięki plikowi funkcja XML-RPC, stanowią świetne miejsce do włamu, a tym samym narobienia szkód w witrynie. Przede wszystkim zwykle dochodzi do 2 przypadków wykorzystania luki w tym skrypcie:

  • nieautoryzowana wysyłka spamu
  • ataki DDOS na stronę internetową

Jednak to nie koniec możliwości. Warto wiedzieć, że XML-RPC jest stosowany w obecnym środowisku WordPressa o wiele rzadziej niż jeszcze kilka lat temu. Jednak, jego obecność jest potencjalnym zagrożeniem dla samej witryny, tak samo jak nie używane wtyczki czy też motywy.

Włam z wykorzystaniem xmlrpc.php
Włam z wykorzystaniem xmlrpc.php

Czy usunąć ten plik?

Tak jak zwykle nie warto tego robić, można jednak jego zablokować. Dostępne są dwie opcje przez sam WordPress lub poprzez wykorzystanie pliku .htaccess na hostingu.

Blokada pliku xmlrpc z wykorzystaniem edytora WordPress

Aby zablokować plik w ten sposób użyj pliku functions.php, który znajdziesz w zakładce Wygląd -> Edytor motywu. Do obecnych już funkcji (ten plik może być również pusty) dodaj linijkę:

add_filter('xmlrpc_enabled', '__return_false');

zapisz i to powinno wystarczyć.

Blokada pliku xmlrpc.php z wykorzystaniem pliku .htaccess

Aby zablokować plik na hostingu edytuj plik .htaccess w katalogu ze stroną internetową. Do zawartości pliku dodaj wpis o treści:

<files xmlrpc.php>
Order allow,deny
Deny from all
</files>

Jak sprawdzić, czy strona korzysta z XML-RPC?

Nie sprawdzisz tego w prosty sposób. Najprościej wykonać test, w tym celu przejdź do serwisu pod adresem https://xmlrpc.eritreo.it/ i wpisz pełny adres URL swojej strony internetowej.

Jeżeli test zakończy się powodzeniem (zielonym ptaszkiem) – strona nadal korzysta z tej funkcji i jest niezabezpieczona. Czerwony krzyżyk oznacza, że dostęp do skryptu i funkcji jest zablokowany – Twoja strona jest przynajmniej, pod tym kontem bezpieczna.

Warto dbać o bezpieczeństwo strony w WordPress – to i inne jeszcze ustawiania są podstawowymi zadaniami osoby administrującej witryną.

Kim jestem?

Nazywam się Maciej Ziegler, jestem inżynierem informatykiem, specjalistą od rozwiązań internetowych, oraz od poprawiania biznesów.

Na co dzień przede wszystkim jestem właścicielem firmy, w której razem z współpracownikami staram się zapewniać kompleksowe wsparcie moich klientów, począwszy od dobrej strony internetowej, budowę / naprawę lejków sprzedażowych, obsługę social media, po video marketing.

Z wykształcenia jestem informatykiem, więc w materiałach które przygotowuje i udostępniam często usłyszysz o nowoczesnych technologiach i o tym jak wykorzystywać je w swojej firmie.

Dzielę się tutaj wiedzą, zdobytym już przez lata doświadczeniem i umiejętnościami które zdobyłem, „naprawiając” biznesy moich klientów.



Zainteresował Ciebie ten artykuł? Chcesz więcej?
Cały czas przeglądam ciekawe rzeczy w internecie.
Przede wszystkim subskrybuje też kilka darmowych, a także płatnych newsletterów, oraz słucham podcastów.
Chętnie dzielę się tym co odkryłem z moją społecznością.
Jeżeli chcesz, bym także z Tobą podzielił się swoimi odkryciami, nowościami, publikacjami to zapraszam – zapisz się na mój newsletter. Raz w tygodniu otrzymasz wiadomość na swojego maila.
UWAGA – Po zapisaniu się, na adres który podasz poniżej, przyjdzie wiadomość którą należy potwierdzić. Dopiero potwierdzenie tego spowoduje zapis na newsletter.
Jeżeli w ciągu 15 minut nie otrzymasz wiadomości warto też sprawdzić folder SPAM.

[newsletter_form button_color=”#F39C12″]

Dodaj komentarz