Технология XML-RPC применяется в системе WordPress для разных приятных фишек по типу пингбэков, трекбеков, удаленного управления сайтом без входа в админку и т.п.

К сожалению, злоумышленники могут использовать ее для DDoS атаки на сайты. То есть вы создаете красивые интересные WP проекты для себя или на заказ и при этом, ничего не подозревая, можете быть частью ботнета для DDoS`а. Соединяя воедино десятки и сотни тысяч площадок, нехорошие люди создают мощнейшую атаку на свою жертву. Хотя при этом ваш сайт также страдает, т.к. нагрузка идет на хостинг, где он размещен.

Свидетельством такой нехорошей активности могут быть логи сервера (access.log в nginx), содержащие следующие строки:

103.238.80.27 - - [30/Jul/2015:23:59:01 +0300] "POST /xmlrpc.php HTTP/1.0" 499 0 "-"
103.238.80.27 - - [30/Jul/2015:23:59:01 +0300] "POST /xmlrpc.php HTTP/1.0" 499 0 "-"

Вы видите, что обращения идут к файлу xmlrpc.php причем с кодом 499, означающим, что клиент закрыл соединение до получения ответа сервера.

Визуально уязвимость XML-RPC она проявляется в медленном открытии сайтов на вашем сервере или же невозможностью их загрузки вообще (502 ошибка Bad Gateway).

Есть три простых способа отключить XML-RPC. Прежде чем что-то делать с сайтом обновите WordPress до последней версии вместе с плагинами.

  1. Установить плагин Disable XML-RPC Pingback.

1. Установка Disable XML-RPC Pingback

Найти и скачать Disable XML-RPC Pingback можно тут либо установив его непосредственно из админки системы. Вам не нужно ничего дополнительно настраивать, модуль сразу же начинает работать. Он удаляет методы pingback.ping и pingback.extensions.getPingbacks из XML-RPC интерфейса. Кроме того, удаляет X-Pingback из HTTP заголовков.

2. Отключение XML-RPC в шаблоне.

Для этого в файл функций темы functions.php добавляется строка:

add_filter('xmlrpc_enabled', '__return_false');

Минусом есть то, что при смене темы настройка пропадет. Кстати, в некоторых шаблонах в header.php есть вызов XML-RPC — его можно оттуда удалить вручную.

Читайте  Команды Google Now на русском - Окей Гугл

3. Отключение XML-RPC в htaccess

Вам нужно отредактировать файл .htaccess в корневой директории системы (там где wp-config.php). Добавляете в него строки:

<Files xmlrpc.php>
    Order Deny,Allow
    Deny from all
</Files>

(via)

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

[Всего голосов: 0    Средний: 0/5]