Vô hiệu hóa XML-RPC trong WordPress

Tính năng XML-PRC giúp bạn đăng bài lên blog Wordpress từ xa thông qua các ứng dụng bên ngoài như Windows Live Writer, IFTTT,… nhưng với một người sử dụng Wordpress thông thường thì tính năng này hoàn toàn không cần thiết.

Tương tự như với Rest Api, tính năng XML-RPC rất dễ bị hacker lợi dụng để tấn công Brute Force Attack hoặc DDOS cho nên tôi khuyên bạn hãy tắt nó đi nếu không sử dụng.

Kể từ phiên bản Wordpress 3.5, XML-RPC đã được kích hoạt mặc định và bạn không thể tắt nó từ WP Dashboard nữa.

Hướng dẫn tắt XML-RPC

1. Đơn giản nhất bạn cài plugin này.

2. Cách thứ 2 là sửa .htaccess, thêm vào đoạn mã dưới đây:

# DISABLE XML RPC
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
# END

Bạn cũng có thể thêm vào Allow from [IP] để cho phép tính năng XML-RPC vẫn hoạt động nếu kết nối từ địa chỉ IP đó. Chẳng hạn như tại nhà hoặc văn phòng làm việc của bạn.

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
Order Deny,Allow
Deny from all </Files>
Allow from 123.456.789.123
</Files>

3. Đối với server nginx, thêm đoạn code sau vào file cấu hình domain trên nginx:

location = /xmlrpc.php {
deny all;
access_log off;
log_not_found off;
}

Nếu bạn đã cài 1 số plugin bảo mật cho Wordpress thì kiểm tra xem plugin có tính năng chặn xmlrpc chưa nhé. Ví dụ iThemes Security là có đấy.

Tại sao không xóa luôn file xmlrpc.php đi?

Dù bạn xóa đi thì mỗi lần Wordpress cập nhật thì nó lại xuất hiện nên tốt nhất là chặn chứ không xóa.

Bởi vì tôi không sử dụng bất kỳ ứng dụng di động hoặc kết nối từ xa nào để xuất bản trên blog này nên tôi đã vô hiệu hóa XML-RPC để phòng trừ rủi ro bị tấn công. Còn bạn thì sao?

Theo dõi bài viết
Nhận thông báo
guest
0 Bình luận
mới nhất
cũ nhất
Inline Feedbacks
Xem tất cả bình luận
0
Gửi bình luận của bạn về bài viết này.x