چگونه XML-RPC را در وردپرس غیرفعال کنیم

چگونه XML-RPC را برای امنیت بهتر وردپرس غیرفعال کنیم

احتمالا نمی دانستید که باید XMLRPC را در وب سایت وردپرس خود غیرفعال کنید. امروزه با سرعت بیشتر اینترنت، عملکرد XML-RPC برای اکثر کاربران بلا استفاده شده است. اما هنوز هم این قابلیت وجود دارد زیرا هسته وردپرس و برخی افزونه ‌ها مانند JetPack از این ویژگی استفاده می‌ کنند. اگر از هیچ یک از این افزونه ها، برنامه های تلفن همراه یا اتصالات راه دور استفاده نمی کنید، بهتر است آن را غیرفعال کنید. چرا؟ هر عنصر اضافی در سایت شما به هکرها یک فرصت دیگر می دهد تا سعی کنند به سایت شما نفوذ کنند. غیرفعال کردن این ویژگی باعث امنیت بیشتر سایت شما می شود. در این مقاله، به شما نشان خواهیم داد که چرا و چگونه XML-RPC را غیرفعال کنید.

XML-RPC چیست؟

XML-RPC یکی از ویژگی های وردپرس است. یک برنامه در تلفن هوشمند، شما را قادر می سازد تا داده ها را به وب سایت وردپرس شما ارسال کند. اگر می خواهید مقاله ای را در وب سایت وردپرس خود از طریق سرویس‌های جدا از پنل اصلی وردپرس منتشر کنید، XML-RPC چیزی است که شما را قادر می سازد این کار را انجام دهید.

اگر به عبارت XML-RPC نگاه کنید، دو قسمت دارد. RPC یک فراخوان رویه از راه دور است که به این معنی است که می توانید از راه دور برای انجام اقدامات فراخوانی کنید. و در اینجا، XML (Extensible Markup Language) برای رمزگذاری داده هایی که باید ارسال شوند استفاده می شود.

آیا به XML-RPC نیاز دارید؟

برای تصمیم گیری در مورد نیاز به XMLRPC، ابتدا باید بدانید که XMLRPC چه عملکردهایی را در وب سایت وردپرس شما انجام می دهد. این فایل سه عملکرد اصلی را انجام می دهد:

• سرویس ارسال پست به وردپرس: اگر از سرویسهای جدا از وردپرس در دستگاه تلفن همراه خود برای ارسال پست به سایت خود استفاده می کنید، به XML-RPC نیاز دارید. این سرویس یا اپلیکیشن از این عملکرد برای برقراری ارتباط با وب سایت وردپرس شما برای ایجاد یک اتصال از راه دور استفاده می کند.
• پیگیری و پینگ بک: وقتی محتوایی را منتشر می کنید، اگر لینکی به وبلاگ یا وب سایت دیگری ارائه کرده باشید، این ویژگی به وب سایت دیگری که به آنها لینک داده اید هشدار می دهد. ردیابی ها به صورت دستی ایجاد می شوند در حالی که پینگ بک ها خودکار هستند. اگر از این گزینه ها استفاده می کنید، باید به فایل XML-RPC.php دسترسی داشته باشید تا فعال شود.
• پلاگین JetPack – JetPack یک افزونه محبوب است که توسط بیش از ۵ میلیون سایت وردپرس استفاده می شود. خدمات مربوط به امنیت، عملکرد و مدیریت سایت را ارائه می دهد. از XML-RPC برای ارتباط با com استفاده می کند. اگر مشترک JetPack هستید، باید XML-RPC را فعال کنید.

آیا XML-RPC خطرناک است؟

پاسخ سرراست خیر است. اما ما نمی توانیم در اینجا متوقف شویم. بیایید یک قدم به عقب برداریم.

در ابتدای نصب دستی وردپرس، XML-RPC به طور پیش فرض غیرفعال بود. برای فعال کردن آن، باید به Settings > Writing > Remote Publishing بروید. با این حال، از نسخه ۳٫۵ به بعد، وردپرس آن را به طور پیش فرض فعال کرده و گزینه فعال یا غیرفعال کردن آن حذف شده است. در سپتامبر ۲۰۱۵، یک آسیب پذیری در تابع XML-RPC ظاهر شد. وردپرس بلافاصله یک پچ را در نسخه ۴٫۴٫۱ منتشر کرد. اما میلیون ‌ها وب ‌سایت هنوز با نسخه‌ های قدیمی کار می ‌کنند که آنها را در معرض خطر بالقوه هک قرار می‌ دهد. تا زمانی که وردپرس نسخه ۴٫۴٫۱ یا بالاتر را نصب کرده باشید، XML-RPC ایمن است. ۷۵ درصد از سایت های وردپرس با نسخه های قدیمی اجرا می شوند. وب سایت خود را به روز کنید تا از خطر هک شدن جلوگیری کنید.

پس چرا توصیه می کنیم آن را غیرفعال کنید؟

هکرها سعی می کنند هر عنصری را در وب سایت شما پیدا کنند که دارای نقطه ضعف باشد. آنها از آن سو استفاده می کنند و به سایت شما نفوذ می کنند. در XML-RPC، دو نقطه ضعف وجود دارد که احتمالا توسط هکرها مورد سو استفاده قرار می گیرد:

1. هنگامی که می خواهید محتوا را از یک دستگاه راه دور منتشر کنید، یک درخواست XML-RPC ایجاد می شود. این درخواست ها با یک نام کاربری و رمز عبور ساده احراز هویت می شوند. این یک باگ امنیتی اساسی است. اگر یک هکر موفق به دریافت این اعتبارنامه ها شود، می تواند از آن برای ارسال درخواست های خود استفاده کند. به این ترتیب آنها به سایت شما دسترسی پیدا می کنند.
2. XML-RPC برای کاربران طراحی شده است تا محتوا را در حجم بالا منتشر کنند. این امکان حملات brute force را فراهم می کند که در آن هکرها از ربات ها برای حدس زدن نام کاربری و رمز عبور شما استفاده می کنند. از طریق تابع XML-RPC، آنها می توانند با ارسال مقادیر زیادی برای حدس زدن نام کاربری و پسورد شما، تلاش هایی برای ورود انجام دهند.

در نهایت اگر یک هکر قبلا به سایت شما دسترسی پیدا کرده باشد، می تواند از عملکرد پینگ بک XML-RPC برای انجام حملات DDoS سو استفاده کند. در چنین حمله ‌ای، هکرها وب ‌سایت ‌ها (معمولا برندهای بزرگ یا دولت ‌ها) را با ارسال پینگ ‌بک از هزاران سایت از بین می ‌برند. این افزایش ناگهانی داده های دریافتی، وب سرور هدف را بیش از حد بارگذاری می کند و احتمالا می تواند سایت را از کار بیندازد.

در بخش قبل دلیل نیاز به XMLRPC اشاره کردیم. اما اگر از برنامه ارسال پست از خارج از پنل وردپرس یا پلاگین JetPack استفاده نمی کنید و اگر پیگیری لینک‌ها و پینگ بک برای شما مفید نیست، بهتر است فایل xmlrpc.php را غیرفعال کنید.

با غیرفعال کردن آن، مطمئن خواهید شد که این ویژگی/عملکرد نمی تواند برای هک وب سایت وردپرس شما استفاده شود.

نحوه غیرفعال کردن XML-RPC در وردپرس

می توانید ویژگی XML-RPC را در وب سایت وردپرس خود به صورت دستی مسدود کنید یا می توانید از یک افزونه استفاده کنید. توصیه می کنیم از یک افزونه استفاده کنید زیرا سریع تر است، ساده تر است و خطری ندارد. روش دستی شامل ایجاد تغییرات در فایل ‌های وردپرس شما است که ممکن است یک کار خطرناک باشد. ما هر دو روش را به شما توضیح خواهیم داد.

XML-RPC را با استفاده از افزونه غیرفعال کنید

برای مسدود کردن درخواست ‌های وردپرس xmlrpc.php، افزونه ‌ای به نام « Disable XML-RPC» وجود دارد که می ‌توانید از آن استفاده کنید. در اینجا نحوه نصب و راه اندازی آن آورده شده است:

• وارد داشبورد wp-admin خود شوید.
• در منوی سمت چپ، “افزونه‌ها” را انتخاب کنید.
• در اینجا، روی «افزودن» کلیک کنید.
• در اینجا افزونه «Disable XML-RPC» را جستجو کنید. این افزونه با هر سایت وردپرسی که در نسخه ۳٫۵ و بالاتر اجرا می شود سازگار است.
• افزونه را نصب و فعال کنید. پس از فعال کردن افزونه، به طور خودکار php غیرفعال می‌شود.
• زمانی که می خواهید XMLRPC را فعال کنید، فقط افزونه را غیرفعال کنید.

XML-RPC را به صورت دستی غیرفعال کنید

همانطور که قبلا اشاره کردیم، روش دستی ممکن است ایجاد مشکل کند، بنابراین قبل از غیرفعال کردن XMLRPC در سایت وردپرس خود، باید اقدامات احتیاطی را انجام دهید.

• از سایت وردپرسی خود یک نسخه پشتیبان کامل بگیرید. در روش دستی، فایل‌ های وردپرس را تغییر می ‌دهیم که ریسک بالایی دارد. اشتباهات کوچک می تواند منجر به خرابی وب سایت شما شود. اگر مشکلی پیش آمد، همیشه می ‌توانید نسخه پشتیبان خود را بازیابی کنید.

با رعایت این اقدامات احتیاطی، می توانیم با روش دستی غیرفعال کردن XML-RPC در سایت وردپرس خود شروع کنیم:

1. وارد حساب پلتفرم میزبانی وردپرس خود شوید و به «cPanel یا Direct Admin» بروید. در اینجا (در سی پنل) “File Manager” را خواهید دید.

2. پس از ورود به فایل منیجر، لیستی از پوشه ها را مشاهده خواهید کرد. پوشه های وب سایت شما باید دارای زیر پوشه ای به نام «public_html» باشند که دارای سه پوشه اصلی wp-admin، wp-content و wp-includes است.

3. فایل htaccess را در اینجا پیدا کنید. و اگر این کار را نکردید، می توانید از نوار جستجو برای جستجوی آن استفاده کنید.

توجه داشته باشید:

اگر وب ‌سایت شما یک فایل htaccess. دارد اما نمی‌توانید آن را ببینید، به تنظیمات بروید و روی «نمایش فایل‌ های مخفی» کلیک کنید.

اگر وب سایت شما فایل htaccess ندارد، می توانید آن را ایجاد کنید. از گزینه «+File» در گوشه سمت چپ بالای صفحه استفاده کنید.

4. فایل htaccess. را با کلیک راست و انتخاب «ویرایش» باز کنید.
5. کد زیر را که XML-RPC را غیرفعال می کند در این فایل قرار دهید:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
 deny from all
 allow from xxx.xxx.xxx.xxx
</Files>

اگر می‌خواهید XML-RPC را از یک IP خاص حفظ کنید، آدرس IP مورد نظر را جایگزین «xxx.xxx.xxx.xxx» کنید، در غیر این صورت، می ‌توانید به سادگی این خط را حذف کنید.

6. فایل را ذخیره کرده و ببندید.

عدم دسترسی به فایل منیجر

اگر به File Manager دسترسی ندارید، می توانید همان فرآیند را با استفاده از یک سرویس گیرنده FTP انجام دهید. XML-RPC وردپرس باید در وب سایت شما غیرفعال باشد. توصیه می کنیم از سایت خود دیدن کنید و صفحات خود را بررسی کنید تا مطمئن شوید همه چیز به خوبی کار می کند.

نتیجه گیری

به یاد داشته باشید، اگر می خواهید از تابع XML-RPC استفاده کنید، مطمئن شوید که وردپرس شما به روز شده است. شما باید از نسخه ۴٫۴٫۱ یا بالاتر استفاده کنید تا مطمئن شوید که وب سایت شما در معرض خطر هک نیست. اگر به ویژگی XML-RPC نیاز ندارید، غیرفعال کردن آن سایت شما را در برابر هکرها ایمن تر می کند.

اما این محافظت همه جانبه از سایت وردپرس شما را تضمین نمی کند. حتی اگر XML-RPC را در وردپرس غیرفعال کنید، راه های زیادی برای هک کردن وب سایت شما وجود دارد. برای محافظت از وب سایت خود در برابر انواع حملات هک، توصیه می کنیم از یک افزونه امنیتی مانند Sucuri یا Wordfence استفاده کنید. این پلاگین‌ها وب سایت شما را به طور منظم نظارت می کنند و به طور فعال دسترسی ترافیک مخرب را مسدود می کنند.