מה זה xmlrpc.php ומה הוא עושה?
מערכת וורדפרס מגיעה עם פרוטוקול XML-RPC אשר מאפשר לתוכנות חיצוניות להשתמש בשירותים של וורדפרס על מנת לפרסם פוסטים, לשמור עותקים, אפשרויות עריכה מתקדמות, פרסום למספר רב של בלוגים בו זמנית, ועוד. הכל תחת ממשק נוח ומהיר. האפשרויות הללו מהוות סיכון אבטחה מכיוון שהם פותחות פתח לקבלת מידע חיצוני ללא הפרעה.
החל מגירסה 3.5 של וורדפרס, הפונקציה הזאת פעילה כברירת מחדל, ואין דרך להפסיק אותה דרך ממשק הניהול של וורדפרס. עם זאת, ניתן לערוך קבצים דרך ממשק הניהול של אחסון האתר כדי לעצור אותה.
האם אני זקוק לזה?
כנראה שלא. רוב המשתמשים לא צריכים את xmlrpc.php ורוב האנשים מעדיפים את הממשק הוויזואלי שמגיע עם וורדפרס. עם זאת, אתרים כמו בלוגר, ותכנות המובייל לוורדפרס זקוקים לפרוטוקל.
ביטול xmlrpc.php מקובץ ה-.htaccess
נניח שאנו רוצים לאפשר גישה רק מכתובת האינטרנט 123.123.123.123 ולחסום מכל השאר. על מנת לחסום את כל הבקשות לקובץ xml-rpc.php חוץ מה-IP שאנחנו מגדירים, יש להזין את השורות הללו בקובץ ה-.htaccess:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>