Почему и как отключить XML-RPC в WordPress? – Tehnografi.com – Технологические новости, обзоры и советы

WordPress поставляется с множеством функций для настройки и создания красивого веб-сайта. Однако пользователю не обязательно использовать все доступные функции. Например, комментирование блога — это простая функция, которую можно отключить на всем сайте, если вы не хотите использовать комментарии на своем сайте. XML-RPC — это одна из таких старых функций WordPress, которую многие пользователи не используют на своих сайтах. Проблема здесь в том, что пользователи не знают о существовании такой функции, если только она не вызывает проблемы. В этой статье мы объясним, что такое XML-RPC в WordPress и почему его следует сразу же отключить.

Что такое XML-RPC?

XML означает расширяемый язык разметки, а RPC означает удаленный вызов процедур. Сочетая XML и RPC вместе, легко понять, что XML-RPC — это удаленный протокол для подключения к WordPress с использованием XML. Сначала причина наличия XML-RPC в WordPress заключается в том, чтобы разрешить или включить передачу данных с другими системами. Эти данные используют XML в качестве механизма кодирования и HTTP в качестве средства передачи между WordPress и любым совместимым приложением.

WordPress имеет собственный XML-RPC API по разным причинам, как описано в этой документации. Ранее пользователям необходимо было включить XML-RPC, чтобы использовать сторонние мобильные приложения и интеграции с WordPress. Однако версии WordPress 3.5 и выше по умолчанию поставляются с предустановленным на вашем сайте файлом XML-RPC.

Где вы можете найти файл XML-RPC в WordPress?

Вы можете найти файл xmlrpc.php в корневой папке установки вашего сайта, используя FTP или приложение File Manager. Когда вы посмотрите на содержимое файла, у него есть API для подключения к WordPress.com, Blogger, MetaWeblog и Movable Type.

Вы можете найти этот файл xmlrpc.php в исходном коде вашего сайта как URL-адрес RSD (служба Really Simple Discovery), как показано ниже:

При нажатии на URL-адрес отобразится его содержимое, как показано ниже.

Ссылка XML-RPC RSD в заголовке WordPress

Кроме того, в шапке будет дополнительная ссылка для пингбэка, как показано ниже.

Когда вы нажмете на эту ссылку xmlrpc.php, появится сообщение с упоминанием «Сервер XML-RPC принимает только запросы POST».

Что вы можете сделать с XML-RPC?

Как видите, протокол полезен, когда вы хотите подключить любые сторонние сервисы к WordPress.

Некоторые старые плагины также могут использовать XML-RPC для целей интеграции.

Проблемы с XML-RPC в WordPress

Хотя XML-RPC был полезен для определенных нужд, он может создать множество проблем для тех, кто не использует его на своем сайте. На сайтах WordPress xmlrpc.php будет наиболее популярным URL-адресом при просмотре файла журнала сервера. Это связано с тем, что многие хакеры попытаются разместить контент на вашем сайте, используя этот удаленный протокол. Вот некоторые из проблем, которые файл xmlrpc.php может вызвать на вашем сайте:

Существует множество проблем безопасности, с которыми сталкиваются многие веб-сайты, и двумя наиболее распространенными являются атаки типа «отказ в обслуживании» (DOS) и атаки методом грубой силы. Эти вторжения запутываются в XML-RPC, и необходимость его отключения в WordPress пригодится в качестве дискурса.

В заголовке есть ненужная ссылка, и боты будут постоянно пытаться получить доступ к xmlrpc.php. Это может привести к тому, что ваш веб-сайт, вероятно, станет настолько медленным из-за ресурсов (очень много), которые файл использует с сервера.

Кроме того, некоторые плагины несовместимы с XML-RPC, и при их активации возникают технические проблемы.

Наконец, с появлением REST API отпала необходимость в XML-RPC. Вы можете использовать REST API для подключения к сторонним приложениям, таким как мобильное приложение Jetpack для самостоятельного размещения WordPress и ко всем другим платформам для ведения блогов, перечисленным в файле xmlrpc.php.

Как отключить XML-RPC в WordPress?

Поскольку xmlrpc.php устарел, а REST API может работать лучше, рекомендуется отключить xmlrpc.php на вашем сайте. Вы можете отключить XML-RPC в WordPress, добавив код в файл .htaccess или используя плагин, который в конечном итоге добавит код за вас.

Отключить XML-RPC в WordPress с помощью плагина

Многие плагины для этой цели или даже плагины безопасности имеют функцию отключения XML-RPC. Но мы рекомендуем плагин «Отключить XML-RPC-API», так как он отлично справляется со своей задачей. Перейдите на панель администратора WordPress, наведите указатель мыши на «Плагины» и нажмите меню «Добавить новый». Используйте ключевое слово в поле поиска и найдите плагин. Затем установите и активируйте плагин на своем сайте.

Найдите новое боковое меню «Безопасность XML-RPC» и нажмите на него. Прокрутите вниз, отключите кнопки «XML-RPC Api Master Switch» и «Enable xml-rpc for Jetpack». Затем укажите список IP-адресов в поле «Белый список IP-адресов», если вы хотите получить доступ к функции с любого определенного IP-адреса. В противном случае вы можете оставить это поле пустым, чтобы полностью отключить xmlrpc.php.

Отключить XML-RPC в WordPress через htaccess

Если вы не хотите устанавливать дополнительный плагин для отключения XML-RPC на своем сайте, проверьте, поддерживает ли ваш плагин безопасности эту функцию. Если нет, альтернативный вариант — вручную добавить несколько строк кода в файл .htaccess. Этот файл доступен в корневой папке установки любой установки WordPress.

Войдите в учетную запись хостинга своего веб-сайта и перейдите на панель управления cPanel или настраиваемой панели.

Найдите и откройте приложение «Диспетчер файлов» и перейдите в папку «public_html». Это корневой каталог вашего сайта, который содержит основные файлы WordPress и серверные файлы для правильной работы WordPress.

Выберите файл .htaccess и нажмите «Изменить». Скопируйте следующий код и вставьте в конец файла.

# Блокировать запросы WordPress xmlrpc.php заказать отказ, разрешить отказ от всех файлов

При редактировании файл должен выглядеть примерно так, как показано ниже.

После вставки кода нажмите кнопку «Сохранить», чтобы изменения вступили в силу.

Отключение только пингбеков и трекбеков

Между тем, чтобы отключить только функцию проверки связи и оставить доступными другие функции XML-RPC, вместо этого установите и активируйте плагин «Удалить и отключить проверку связи XML-RPC». Кроме того, вы можете перейти в раздел «Настройки > Обсуждение» и отключить опцию «Разрешить уведомления о ссылках из других блогов (обратные ссылки и обратные ссылки) для новых сообщений». Это отключит обратные ссылки только для новых сообщений, которые вы опубликуете в будущем.

Использование плагина Perfmatter Premium

После отключения XML-RPC API на вашем сайте вы увидите 403 Forbidden при попытке открыть файл xmlrpc.php.

Однако ссылки в шапке по-прежнему будут доступны без использования. Если это вас беспокоит, то вы можете использовать плагины для удаления раздувания, чтобы удалить ненужные ссылки в заголовке, вставленные WordPress. Мы рекомендуем использовать премиальный плагин Perfmatters, так как он может помочь оптимизировать многие другие параметры, такие как управление скриптами и удаление неиспользуемого CSS.

Купите плагин, используя этот код скидки 10%, и активируйте его на своем сайте, используя лицензионный код.

Перейдите в меню «Настройки» > «Параметры», а затем перейдите в раздел «Параметры > Общие».

Включите параметр «Отключить XML-RPC».

Прокрутите вниз и нажмите кнопку «Сохранить изменения».

Теперь откройте любую страницу вашего сайта и проверьте исходный код. Вы не найдете ссылки на xmlrpc.php в разделе заголовка.

Подведение итогов по отключению XML-RPC в WordPress

Помните, что вы всегда можете отменить предпринятый шаг, если по-прежнему чувствуете необходимость снова использовать XML-RPC. Это может быть необходимо, когда вы используете мобильное приложение Jetpack для публикации контента. Однако мы настоятельно рекомендуем использовать приложения REST API и отключать XML-RPC. Это поможет избежать угроз безопасности и защитить ваш сайт от хакеров.