מהו xmlrpc.php ומה הוא עושה?
מערכת וורדפרס מגיעה עם XML-RPC פרוטוקול שמאפשר תוכנה חיצונית להשתמש בשירותי WordPress לפרסום פוסטים, שמירת עותקים, אפשרויות עריכה מתקדמות, פרסום למספר בלוגים בו-זמנית ועוד. הכל תחת ממשק נוח ומהיר. אפשרויות אלו מציבות סיכון ביטחוני מכיוון שהן פותחות את הדלת לקבלת מידע חיצוני ללא הפרעה. החל מגרסת WordPress 3.5, פונקציה זו מופעלת כברירת מחדל, ואין דרך לבטלה דרך ממשק ניהול ה-WordPress. עם זאת, ניתן לערוך קבצים דרך ממשק ניהול אחסון האתר כדי לבטל אותה.האם אני צריך את זה?
כנראה שלא. מרבית המשתמשים אינם צריכים את xmlrpc.php, ורוב האנשים מעדיפים את הממשק הוויזואלי שמגיע עם וורדפרס. עם זאת, אתרים כמו Blogger ו תכנות נייד ל-WordPress צריך את הפרוטוקול.השבתת xmlrpc.php מתוך קובץ .htaccess
נניח שאנחנו רוצים לאפשר גישה רק מכתובת ה-IP 123.123.123.123 ולחסום את כל השאר. כדי לחסום את כל הבקשות לקובץ xml-rpc.php למעט ה-IP שנציין, הכנס את השורות הבאות בקובץ .htaccess:# חסום בקשות ל-xmlrpc.php של WordPressorder deny,allow deny from all allow from 123.123.123.123
מתי השבתת XML-RPC עוזרת
השבתה או סינון של xmlrpc.php שימושיים כאשר ניסיונות כוח גס והשימוש לרעה ב-pingback יוצרים רעש גבוה. זה לא פתרון אוניברסלי, אבל בהרבה סביבות וורדפרס זה מצמצם באופן משמעותי את משטח ההתקפה.
- חסום או הגבל את xmlrpc.php ברמת WAF או שרת האינטרנט.
- שמור על התנהגות REST API ללא שינוי עבור האינטגרציות הדרושות.
- ניטור תכונות של תוספים שתלויות עדיין ב-XML-RPC.
אימות ומעקב
לאחר שינויים במדיניות, יש לבדוק את פונקציונליות ההתחברות, את דרישות הפרסום בנייד ואת התאימות של התוספים. עקוב אחרי יומני 403 ו-429 כדי לוודא גידול באבטחה دون לפגוע בזרימות עבודה חוקיות.
למה xmlrpc.php הוא יעד מועדף למתקפות
xmlrpc.php הוא נקודת קצה ישנה של וורדפרס שמיועדת לחיבור אפליקציות חיצוניות (אפליקציות סלולריות, Pingbacks, Trackbacks). הבעיה: היא מאפשרת ניסיונות התחברות מרובים בבקשת HTTP יחידה — מה שהופך אותה לנשק יעיל למתקפות Brute Force, פי 50-100 יותר יעיל מהתחברות רגילה דרך wp-login.php.
בנוסף, הפונקציות system.multicall ו-pingback.ping יכולות לשמש כווקטור DDoS — תוקף יכול לבקש מ-1000 אתרי וורדפרס לבצע pingback לאתר היעד במקביל, מה שמייצר עומס משמעותי.
איך לחסום באופן יעיל
שיטה 1: דרך .htaccess (Apache)
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>שיטה 2: דרך Nginx
location = /xmlrpc.php {
deny all;
return 403;
}שיטה 3: תוסף וורדפרס
תוסף "Disable XML-RPC" עושה את העבודה ב-3 קליקים. מתאים אם אין גישה ל-.htaccess או לקונפיגורציה של השרת.
מתי NOT לחסום
אם אתם משתמשים באפליקציית WordPress הרשמית לסלולר, ב-Jetpack, או בכלי פיתוח שמסתמכים על REST/XML-RPC — חסימת xmlrpc.php תשבור פונקציונליות. במקרה זה, עדיף להגן על xmlrpc.php עם Rate Limit ולא לחסום אותו לחלוטין.
אצלנו, חבילות אחסון מנוהל מגיעות עם Imunify360 שמזהה ומחסום מתקפות על xmlrpc.php בזמן אמת, גם אם הקובץ נשאר נגיש.
