מהו xmlrpc.php ומה הוא עושה?
מערכת וורדפרס מגיעה עם XML-RPC פרוטוקול שמאפשר תוכנה חיצונית להשתמש בשירותי WordPress לפרסום פוסטים, שמירת עותקים, אפשרויות עריכה מתקדמות, פרסום למספר בלוגים בו-זמנית ועוד. הכל תחת ממשק נוח ומהיר. אפשרויות אלו מציבות סיכון ביטחוני מכיוון שהן פותחות את הדלת לקבלת מידע חיצוני ללא הפרעה. החל מגרסת WordPress 3.5, פונקציה זו מופעלת כברירת מחדל, ואין דרך לבטלה דרך ממשק ניהול ה-WordPress. עם זאת, ניתן לערוך קבצים דרך ממשק ניהול אחסון האתר כדי לבטל אותה.האם אני צריך את זה?
כנראה שלא. מרבית המשתמשים אינם צריכים את xmlrpc.php, ורוב האנשים מעדיפים את הממשק הוויזואלי שמגיע עם וורדפרס. עם זאת, אתרים כמו Blogger ו תכנות נייד ל-WordPress צריך את הפרוטוקול.השבתת xmlrpc.php מתוך קובץ .htaccess
נניח שאנחנו רוצים לאפשר גישה רק מכתובת ה-IP 123.123.123.123 ולחסום את כל השאר. כדי לחסום את כל הבקשות לקובץ xml-rpc.php למעט ה-IP שנציין, הכנס את השורות הבאות בקובץ .htaccess:# חסום בקשות ל-xmlrpc.php של WordPressorder deny,allow deny from all allow from 123.123.123.123
מתי השבתת XML-RPC עוזרת
השבתה או סינון של xmlrpc.php שימושיים כאשר ניסיונות כוח גס והשימוש לרעה ב-pingback יוצרים רעש גבוה. זה לא פתרון אוניברסלי, אבל בהרבה סביבות וורדפרס זה מצמצם באופן משמעותי את משטח ההתקפה.
- חסום או הגבל את xmlrpc.php ברמת WAF או שרת האינטרנט.
- שמור על התנהגות REST API ללא שינוי עבור האינטגרציות הדרושות.
- ניטור תכונות של תוספים שתלויות עדיין ב-XML-RPC.
אימות ומעקב
לאחר שינויים במדיניות, יש לבדוק את פונקציונליות ההתחברות, את דרישות הפרסום בנייד ואת התאימות של התוספים. עקוב אחרי יומני 403 ו-429 כדי לוודא גידול באבטחה دون לפגוע בזרימות עבודה חוקיות.
