Làm thế nào để vô hiệu hóa XML-RPC trong WordPress [NEW]

Dịch vụ XML-RPC đã bị vô hiệu hóa theo mặc định trong thời gian dài nhất chủ yếu vì lý do bảo mật, nhưng trong WordPress 3.5, điều đó đã thay đổi. XML- RPC sẽ được bật theo mặc định và bạn sẽ không thể tắt nó khỏi bảng điều khiển WordPress. Trong bài viết này, chúng tôi sẽ hướng dẫn bạn cách tắt XML-RPC trong WordPress và nói thêm về việc quyết định bật nó theo mặc định.

XML-RPC là gì?

Theo Wikipedia, XML-RPC là một điều khiển từ xa sử dụng XML để mã hóa các cuộc gọi và HTTP như một cơ chế truyền tải. Nói tóm lại, đó là một hệ thống cho phép bạn xuất bản các bài viết lên blog WordPress của mình bằng các ứng dụng web phổ biến như Windows Live Writer. Nó cũng cần thiết nếu bạn đang sử dụng ứng dụng di động WordPress và khi kết nối với các dịch vụ như IFTTT.

Làm thế nào để vô hiệu hóa XML-RPC trong WordPress [NEW]

vô hiệu hóa XML-RPC

Nếu bạn muốn truy cập và đăng bài lên blog của mình từ xa, bạn cần bật XML-RPC.

Trước đây, có những lo ngại về bảo mật với XML-RPC nên nó bị tắt theo mặc định. Trong khi nhận xét về help trac # 21509, @nacin một trong những cộng tác viên chính của WordPress đã nói:

[mks_pullquote align=”left” width=”600″ size=”17″ bg_color=”#fffd97″ txt_color=”#c63d0f”]Đã có nhiều thay đổi kể từ khi chúng tôi giới thiệu XML-RPC. Mã của nó đã được cải thiện và không còn được coi trọng khi nói đến phát triển API nhờ vào công việc của một nhóm lớn những người đóng góp tuyệt vời. An ninh không còn là mối quan tâm nhiều hơn phần còn lại của cốt lõi. Bây giờ, không có lý do thuyết phục nào để tắt cài đặt này theo mặc định. Đã đến lúc chúng ta loại bỏ hoàn toàn tùy chọn này[/mks_pullquote]

Với việc sử dụng điện thoại di động ngày càng tăng, sự thay đổi này sắp xảy ra. Tuy nhiên, một số người am hiểu về bảo mật có thể nói rằng mặc dù tính bảo mật của XML-RPC không phải là vấn đề lớn, nhưng nó vẫn tiềm ẩn nguy cơ bị tấn công nếu tìm thấy bất kỳ lỗ hổng nào. Vì vậy, vô hiệu hóa nó sẽ có ý nghĩa hơn.

Chỉ để giữ cho mọi người hài lòng trong khi tùy chọn cơ sở dữ liệu và giao diện người dùng ngoài XML-RPC đã bị loại bỏ, bạn có thể sử dụng một bộ lọc để tắt nếu cần.

Cách tắt XML-RPC trong WordPress 3.5

Tất cả những gì bạn phải làm là dán đoạn mã sau vào một plugin dành riêng cho trang web:

add_filter('xmlrpc_enabled', '__return_false');

Ngoài ra, bạn có thể chỉ cần cài đặt plugin Disable XML-RPC. Tất cả những gì bạn phải làm là kích hoạt nó. Nó hoạt động giống như đoạn mã trên.

Cách tắt XML-RPC bằng .htaccess

Mặc dù các giải pháp trên là đủ, nhưng vẫn có thể một số tài nguyên web quan trọng đang bị tấn công.

Trong những trường hợp này, bạn sẽ muốn vô hiệu hóa tất cả các yêu cầu xmlrpc.php từ tệp .htaccess trước khi yêu cầu được chuyển vào WordPress.

Chỉ cần dán mã sau vào tệp .htaccess:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>

Vì chúng tôi không sử dụng bất kỳ ứng dụng di động hoặc kết nối từ xa nào để xuất bản trên Dieuhau, chúng tôi sẽ tắt XML-RPC theo mặc định. Bạn nghĩ sao về vấn đề này?