Что такое XML RPC WordPress и как его отключить

Зачем создавался XML RPC и как он помогал владельцам сайтов?

Пример XML RPC

Протокол для удаленного обращения к сайту XML RPC существует уже два десятка лет. С его помощью вы можете внести изменения на сайте используя внешние приложения, не используя при этом админку WordPress.

XML RPC WordPress стандартизирует связь между различными системами. Например с платформами для ведения блога, такими как Blogger или Movable Type, или при отправке данных с десктопных клиентов или официальных мобильных приложений. Раньше XML RPC был в этом незаменимым помощником. Протокол использует HTTP как механизм транспорта и XML как механизм кодирования, который позволяет передавать большой объем данных.

Одними из основных функций xmlrpc.php являются управление веб-сайтом с помощью мобильного приложения (IOS и Android), а также осуществление трекбеков и пингбеков с других ресурсов.

 

Актуальность XML RPC WordPress

Десять лет назад в редакции WordPress 2.6 появилась возможность активации и деактивации XML RPC. Но с появлением Вордпресс приложения для iPhone поддержка протокола была активирована без возможности отключения. Так система работает до сих пор.

С созданием нового Интерфейса программирования приложений Вордпресс (Rest API) мы можем предположить, что XML RPC в будущем будет полностью деактивирован и упразднен. Rest API внедрен в само ядро Вордпресс, необходимости в работе файла xmlrpc.php почти нет. Созданный Rest API не подвергает риску безопасность сайта, чем не может похвастать xmlrpc.php.

 

Чем опасен хmlrpc.php?

Безопасность – самое уязвимое место XML RPC WordPress. Дело в том, что его можно использовать как мишень для DDoS  атак на ваш сайт. Хакеры используют обратное уведомление в Вордпресс для отправки его огромному количеству сайтов единовременно. Такая уязвимость дает злоумышленникам почти неограниченное число IP-адресов для распространения атаки.

Другое слабое место XML RPC – это уязвимость перед хакерской атакой. Специальная программа использует файл xmlrpc.php для прямого подбора паролей и имен пользователей до тех пор пока не получит доступ.

Конечно можно обезопасить себя, установив специальные плагины WordPress, которые переименовывают файл xmlrpc.php. Но гораздо легче просто отключить XML RPC на вашем сайте.

 

Отключение XML RPC с помощью бесплатного плагина Clearfy

Мы предлагаем вам повысить защиту сайта с помощью плагина Clearfy. Всего в несколько кликов. Достаточно лишь выполнить следующие шаги:

  1. Скачайте и установите бесплатный плагин Clearfy
  2. В левом боковом меню перейдите в раздел «Защита»
  3. В верхней части настроек вы увидите вкладку “Защита”, внутри «Базовые настройки»

Отключить XML RPC Wodpress с помощью Clearfy
Следует нажать кнопку «ВКЛ» в строке «Отключить XML-RPC». Теперь ваш сайт стал еще более защищенным, нежели вы бы просто установили надежный пароль.

 

Отключение XML RPC с помощью кода

Однако если вы не готовы пользоваться плагином и хотите самостоятельно решить проблему безопасности сайта, то добавьте код в functions.php:

add_filter( 'xmlrpc_enabled', '__return_false' );

Но тут важно помнить, что изменение параметров Вордпресса самостоятельно может иметь печальные последствия. Действуйте по принципу “Не навреди”. Вы должны понимать, что решение проблем с помощью php кода не самый лучший из приведенных нами вариантов. Давайте разберем плюсы и минусы работы с нашим плагином.

Преимущества:

  • Использование кода позволяет сэкономить ресурсы вашего сервера, однако эта экономия невелика. Вы только отказываетесь от интерфейса администратора.
  • Может быть полезно для улучшения своих навыков
  • Вы можете адаптировать это решение конкретно для своего сайта

Недостатки:

  • Эта часть кода не обновляется и не поддерживается разработчиками, поэтому в какой-то момент он может быть не совместим с новой версией WordPress
  • Вы используете его на свой страх и риск
  • Код может быть несовместим с вашими плагинами и темами
  • Вы не получите поддержку, в случае если ваш сайт будет сломан
  • Если у вас много сайтов, обновление кода превратится в сплошную рутину

Важно: Код на сайте нужно редактировать очень осторожно. Не забудьте сделать резервную копию сайта перед тем, как внести изменения. Если у вас совсем нет опыта и уверенности в своих силах, лучше прибегнуть к услугам разработчика или воспользоваться готовым решением в виде плагина Clearfy.