ما هو xmlrpc.php وماذا يفعل؟
يأتي نظام ووردبريس مع إكس إم إل-آر بي سي بروتوكول يسمح برنامج خارجي لاستخدام خدمات ووردبريس لنشر المشاركات، وحفظ النسخ، وخيارات التحرير المتقدمة، والنشر على عدة مدونات في الوقت نفسه، وأكثر من ذلك. وكل ذلك تحت واجهة سهلة وسريعة. هذه الخيارات تشكل خطراً أمنياً لأنها تفتح الباب لتلقي المعلومات الخارجية دون أي انقطاع. بدءًا من نسخة ووردبريس 3.5، يتم تفعيل هذه الوظيفة بشكل افتراضي، ولا توجد طريقة لتعطيلها عبر واجهة إدارة ووردبريس. ومع ذلك، يمكنك تعديل الملفات من خلال واجهة إدارة تخزين الموقع لتعطيلها.هل أحتاجه؟
من المحتمل لا. معظم المستخدمين لا يحتاجون إلى xmlrpc.php، ومعظم الأشخاص يفضلون الواجهة البصرية التي تأتي مع ووردبريس. ومع ذلك، هناك مواقع مثل بلوجر و برمجة الهواتف المحمولة لووردبريس أحتاج إلى البروتوكول.تعطيل xmlrpc.php من ملف .htaccess
لنفترض أننا نريد السماح بالوصول فقط من عنوان IP 123.123.123.123 ومنع جميع العناوين الأخرى. من أجل حظر جميع الطلبات إلى ملف xml-rpc.php باستثناء عنوان IP الذي نحدده، أدخل هذه الأسطر في ملف .htaccess:# حظر طلبات WordPress إلى xmlrpc.phporder deny,allow deny from all allow from 123.123.123.123
عندما يساعد تعطيل XML-RPC
تعطيل أو تصفية xmlrpc.php مفيد عندما تتسبب محاولات القوة الغاشمة وإساءة استخدام pingback في توليد ضوضاء عالية. ليست هذه حلًا شاملاً، لكن في العديد من بيئات ووردبريس، يقلل ذلك من سطح الهجوم بشكل كبير.
- حظر أو تحديد معدل الوصول إلى xmlrpc.php على مستوى جدار الحماية للتطبيقات أو خادم الويب.
- الحفاظ على سلوك REST API دون تغيير للتكاملات المطلوبة.
- راقب ميزات الإضافات التي لا تزال تعتمد على XML-RPC.
التحقق والمراقبة
بعد تغييرات السياسات، تحقق من وظائف تسجيل الدخول، ومتطلبات النشر عبر الهاتف المحمول، وتوافق الإضافات. تتبع سجلات 403 و429 للتأكد من تحقيق الأمان دون تعطيل سير العمل القانوني.
